老大，这次靠你了，7609 NAT问题，会否cisco ios bug？

knightxp

Cisco 7609: \r\n\r\n! \r\nip nat translation timeout 10800 \r\nip nat pool internet 192.168.1.5 192.168.1.126 netmask 255.255.255.128 \r\nip nat inside source list 101 pool internet overload \r\nip nat inside source static 10.1.0.1 192.168.1.1\r\nip nat inside source static 10.1.0.2 192.168.1.2\r\n! \r\naccess-list 101 permit ip any any \r\naccess-list 101 permit icmp any any \r\naccess-list 101 permit tcp any any \r\naccess-list 101 permit udp any any \r\n! \r\n\r\n\r\n使用NAT的网段有10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,\r\n实际使用的才200多人，\r\n\r\n但是却有大量如下错误出现\r\n1w5d: %IPNAT-4-ADDR_ALLOC_FAILURE: Address allocation failed for 10.1.0.98, pool internet might be exhausted\r\n1w5d: %IPNAT-4-ADDR_ALLOC_FAILURE: Address allocation failed for 10.1.0.113, pool internet might be exhausted\r\n\r\n使用show ip nat tran查看有10100多条，clear ip nat tran后，还是会出现相同问题\r\n\r\n\r\nIOS (tm) s72033_rp Software (s72033_rp-ADVIPSERVICESK9_WAN-M), Version 12.2(1S\r\n\r\n\r\n\r\n问题一直没有解决，cisco方面的答复也比较含糊，说7609NAT的性能不太好，现在临时使用pix525单臂路由模式接入做NAT，故障解决，后续将加一个FWSM替换PIX525。\r\n\r\n关于 cheveu 的解释，感觉也是有问题的，因为根据观察一次NAT translations达到100K的统计看：\r\nshow ip nat statistics \r\nTotal active translations: 106485 (3 static, 106482 dynamic; 106359 extended)\r\nOutside interfaces:\r\n  GigabitEthernet3/1.1, GigabitEthernet3/2.2\r\nInside interfaces: \r\n  Vlan101\r\nHits: 375709164  Misses: 0\r\nCEF Translated packets: 312114347, CEF Punted packets: 1084925942\r\nExpired translations: 109929073\r\nDynamic mappings:\r\n-- Inside Source\r\n[Id: 1] access-list 103 pool internet refcount 39564\r\n pool internet: netmask 255.255.255.128\r\n        start 192.168.1.5 end 192.168.1.126\r\n        type generic, total addresses 122, allocated 122 (100%), misses 2759737\r\n\r\n106482 dynamic - 106359 extended =123\r\n\r\n\n\n[ 本帖最后由 knightxp 于 2008-8-20 14:52 编辑 ]

puding

检查下nat表项，看下是不是所有的IP都被转换成了192.168.1.5 ？

knightxp

没有，即使都被转化成192.168.1.5 ，1w多个也用不完啊

puding

做overload的话NAT地址池设置一个IP就够了，多了也没意义，以前测试过，转换时候总是使用第一个IP。\r\n\r\n如果NAT的时候不停的在NAT POOL里面的IP地址里面轮询的话，估计应用就没法用了，。\r\n\r\n试一下内网络的IP进行分段，然后用多个pool来转换。

puding

看看\r\nsh ip nat trans | in 192.168.1.5\r\nsh ip nat trans | in 192.168.1.6\r\nsh ip nat trans | in 192.168.1.125\r\nsh ip nat trans | in 192.168.126\r\n\r\n看看CISCO是如何在NAT POOL里轮循的。

ssffzz1

ip nat translation timeout 10800  ##这个时间默认是多少，试着缩短它\r\n\r\naccess-list 101 permit ip any any  ##为什么是any any 指定一个源\r\naccess-list 101 permit icmp any any ##后面的都没有哦，因为以一个已经全匹配了。\r\naccess-list 101 permit tcp any any \r\naccess-list 101 permit udp any any \r\n\r\n如果可以你限制连接数试试，如果有机器中毒哪怕是200台，连接数也是N大的。

knightxp

7609还没有版本支持针对所有host的最大NAT session限制；\r\n但还是决定升级版本，修改配置文件，使用nbar限制bt，emule

ssffzz1

估计BUG的可能不大。还是你内网机器中毒的可能大。你没统计一下NAT SESSION的情况吗？\r\n看看是那个IP占用的最多。

ssffzz1

ip nat translation timeout 10800\r\n\r\n天啊3个小时哦。\r\n\r\nip nat translation timeout 10