老大，这次靠你了，7609 NAT问题，会否cisco ios bug？

knightxp

Cisco 7609: 

! 
ip nat translation timeout 10800 
ip nat pool internet 192.168.1.5 192.168.1.126 netmask 255.255.255.128 
ip nat inside source list 101 pool internet overload 
ip nat inside source static 10.1.0.1 192.168.1.1
ip nat inside source static 10.1.0.2 192.168.1.2
! 
access-list 101 permit ip any any 
access-list 101 permit icmp any any 
access-list 101 permit tcp any any 
access-list 101 permit udp any any 
! 


使用NAT的网段有10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,
实际使用的才200多人，

但是却有大量如下错误出现
1w5d: %IPNAT-4-ADDR_ALLOC_FAILURE: Address allocation failed for 10.1.0.98, pool internet might be exhausted
1w5d: %IPNAT-4-ADDR_ALLOC_FAILURE: Address allocation failed for 10.1.0.113, pool internet might be exhausted

使用show ip nat tran查看有10100多条，clear ip nat tran后，还是会出现相同问题


IOS (tm) s72033_rp Software (s72033_rp-ADVIPSERVICESK9_WAN-M), Version 12.2(1S



问题一直没有解决，cisco方面的答复也比较含糊，说7609NAT的性能不太好，现在临时使用pix525单臂路由模式接入做NAT，故障解决，后续将加一个FWSM替换PIX525。

关于 cheveu 的解释，感觉也是有问题的，因为根据观察一次NAT translations达到100K的统计看：
show ip nat statistics 
Total active translations: 106485 (3 static, 106482 dynamic; 106359 extended)
Outside interfaces:
  GigabitEthernet3/1.1, GigabitEthernet3/2.2
Inside interfaces: 
  Vlan101
Hits: 375709164  Misses: 0
CEF Translated packets: 312114347, CEF Punted packets: 1084925942
Expired translations: 109929073
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 103 pool internet refcount 39564
 pool internet: netmask 255.255.255.128
        start 192.168.1.5 end 192.168.1.126
        type generic, total addresses 122, allocated 122 (100%), misses 2759737

106482 dynamic - 106359 extended =123



[ 本帖最后由 knightxp 于 2008-8-20 14:52 编辑 ]

puding

检查下nat表项，看下是不是所有的IP都被转换成了192.168.1.5 ？

knightxp

没有，即使都被转化成192.168.1.5 ，1w多个也用不完啊

seven007

sh ip nat s
看看

puding

做overload的话NAT地址池设置一个IP就够了，多了也没意义，以前测试过，转换时候总是使用第一个IP。

如果NAT的时候不停的在NAT POOL里面的IP地址里面轮询的话，估计应用就没法用了，。

试一下内网络的IP进行分段，然后用多个pool来转换。

knightxp

原帖由 puding 于 2008-7-25 10:19 发表
做overload的话NAT地址池设置一个IP就够了，多了也没意义，以前测试过，转换时候总是使用第一个IP。

如果NAT的时候不停的在NAT POOL里面的IP地址里面轮询的话，估计应用就没法用了，。

试一下内网络的IP进 ...

你的建议可以考虑，呵呵

不过show ip nat tran 看pool里边的地址还是都用到了

knightxp

原帖由 seven007 于 2008-7-25 08:14 发表
sh ip nat s
看看

Total active translations: 8662 (2 static, 8660 dynamic; 8540 extended)
Outside interfaces:
  GigabitEthernet3/1.1, GigabitEthernet3/2.2
Inside interfaces:
  Vlan101
Hits: 42107901  Misses: 8654286
Expired translations: 12865012
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 103 pool internet refcount 8660
pool internet: netmask 255.255.255.128
        start 192.168.1.5 end 192.168.1.126
        type generic, total addresses 122, allocated 121 (99%), misses 842309

puding

看看
sh ip nat trans | in 192.168.1.5
sh ip nat trans | in 192.168.1.6
sh ip nat trans | in 192.168.1.125
sh ip nat trans | in 192.168.126

看看CISCO是如何在NAT POOL里轮循的。

ssffzz1

ip nat translation timeout 10800  ##这个时间默认是多少，试着缩短它

access-list 101 permit ip any any  ##为什么是any any 指定一个源
access-list 101 permit icmp any any ##后面的都没有哦，因为以一个已经全匹配了。
access-list 101 permit tcp any any
access-list 101 permit udp any any

如果可以你限制连接数试试，如果有机器中毒哪怕是200台，连接数也是N大的。