|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Alex Solovyov 2:5020/1575 23 Jun 2006 22:02:25
To : All
Subject : Почему не убиваются нитки в NAT'e?
--------------------------------------------------------------------------------
Пpиветствyю тебя, All!
В общем суть:
Cisco 7507-RSP4/VIP2-50 (2 FE)/192Mb
IOS RSP Software (RSP-JK9O3SV-M), Version 12.4(7), RELEASE SOFTWARE (fc6)
Сделан обычный HАТ:
--------
sh run | i nat |face FastE
interface FastEthernet0/0/0
ip nat outside
interface FastEthernet0/1/0
ip nat inside
ip nat translation timeout 3600
ip nat translation tcp-timeout 900
ip nat translation pptp-timeout 1800
ip nat translation udp-timeout 45
ip nat translation dns-timeout 5
ip nat translation icmp-timeout 5
ip nat translation port-timeout tcp 80 15
ip nat translation port-timeout tcp 1600 10
ip nat translation port-timeout tcp 8080 10
ip nat translation port-timeout tcp 110 60
ip nat translation port-timeout tcp 25 60
ip nat translation max-entries all-host 150
ip nat pool p1 213.y.y.y 213.y.y.y1 netmask 255.255.255.248
ip nat inside source list 100 pool p1 overload
---------
после 12 часов работы получаю более 9к ниток в HАТе :(, хотя на прошивке 12.2-31
никогда такого не было. При чем видно, что многие нитки просто не убиваются -
таймаут у них истек, а они не прибиты:
-----------
sh ip nat tr ver
Pro Inside global Inside local Outside local Outside
global
tcp 213.y.y.y:1690 11.2.2.2:1074 z.z.z.z:3350 z.z.z.z:3350
create 08:11:56, use 08:03:31 timeout:900000, timing-out, Map-Id(In): 1,
flags:
extended, timing-out, use_count: 0, entry-id: 501381, lc_entries: 1
tcp 213.y.y.y:5619 11.2.2.2:1112 z.z.z.z:3350 z.z.z.z:3350
create 03:04:32, use 03:04:32 timeout:900000, timing-out, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 1127025, lc_entries: 1
tcp 213.y.y.y:9559 11.2.2.2:1140 z.z.z.z:3350 z.z.z.z:3350
create 00:01:12, use 00:01:12 timeout:900000, left 00:13:47, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 1502652, lc_entries: 1
tcp 213.y.y.y:1560 11.11.0.3:1500 64.t.t.t:5190 64.t.t.t:5190
create 09:18:05, use 06:47:23 timeout:900000, timing-out, Map-Id(In): 1,
flags:
extended, timing-out, use_count: 0, entry-id: 381091, lc_entries: 1
tcp 213.y.y.y:1399 11.11.0.3:1530 81.t.t.t:80 81.t.t.t:80
create 08:14:44, use 08:14:35 timeout:15000, timing-out, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 495134, lc_entries: 1
tcp 213.y.y.y:2254 11.11.0.3:1658 204.t.t.t:80 204.t.t.t:80
create 08:10:54, use 08:08:16 timeout:15000, timing-out, Map-Id(In): 1,
flags:
extended, timing-out, use_count: 0, entry-id: 503790, lc_entries: 1
tcp 213.y.y.y:1270 11.11.0.3:1660 204.t.t.t:80 204.t.t.t:80
create 08:10:53, use 08:08:12 timeout:15000, timing-out, Map-Id(In): 1,
flags:
extended, timing-out, use_count: 0, entry-id: 503846, lc_entries: 1
-----------
При чем хост 11.2.2.2 держит только одну нитку с узлом z.z.z.z. Получается, что
какая-то фигня творится - таймаут истек, нитка не прибилась. И вот что странно -
процесс IPC LC Message Handler пожирает чем дальше, тем больше системных
ресурсов (статистика приведена на 12 часов uptime, а через сутки средняя
загрузка за 5мин будет уже 26-30% у этого процесса, через еще сутки - более
50%.. ):
------------
sh proc cpu sort 5m
CPU utilization for five seconds: 33%/15%; one minute: 33%; five minutes: 26%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
119 535152 377004 1419 9.66% 13.95% 9.17% 0 IPC LC Message H 74
1570112 2267926 692 5.65% 4.61% 4.14% 0 IP Input
66 3560 3105 1146 0.00% 2.70% 0.88% 3 Virtual Exec 22
242084 1458713 165 0.32% 0.44% 0.46% 0 ARP Input
5 112736 7218 15618 2.29% 0.50% 0.37% 0 Check heaps
31 29404 143599 204 0.00% 0.22% 0.19% 2 Virtual Exec
198 73752 1318544 55 0.32% 0.10% 0.11% 0 NAT MIB Helper
190 4268 94665 45 0.00% 0.09% 0.07% 0 IP NAT Ager
46 5164 98397 52 0.00% 0.03% 0.03% 0 IPC CBus process
114 2136 74332 28 0.08% 0.04% 0.01% 0 CEF process 53
14164 825 17168 0.24% 0.03% 0.00% 0 Per-minute Jobs
188 3388 192421 17 0.00% 0.02% 0.00% 0 CEF IPC Backgrou
107 7376 810 9106 0.00% 0.02% 0.00% 0 IP Cache Ager
115 876 483411 1 0.08% 0.01% 0.00% 0 MDFS RP process
106 1040 97129 10 0.00% 0.01% 0.00% 0 DHCPD Receive
17 0 1 0 0.00% 0.00% 0.00% 0 IPC Zone Manager
------------
И теперь самое фатальное.
Смотрю на статистику:
------------
sh ip nat st
Total active translations: 9154 (0 static, 9154 dynamic; 9153 extended)
Outside interfaces:
FastEthernet0/0/0
Inside interfaces:
FastEthernet0/1/0
Hits: 18512250 Misses: 48062
CEF Translated packets: 16497629, CEF Punted packets: 17391395
Expired translations: 1683623
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 100 pool p1 refcount 9152
pool p1: netmask 255.255.255.248
start 213.y.y.y end 213.y.y.y1
type generic, total addresses 6, allocated 2 (33%), misses 0
nat-limit statistics:
All Host Max allowed: 150
host 11.11.1.10: max allowed 150, used 13, missed 0
host 11.11.3.247: max allowed 150, used 12, missed 0
host 11.11.7.13: max allowed 150, used 1, missed 0
host 11.11.2.13: max allowed 150, used 22, missed 0
host 11.11.7.9: max allowed 150, used 33, missed 0
host 11.11.5.11: max allowed 150, used 15, missed 0
host 11.11.7.10: max allowed 150, used 115, missed 0
......
------------
Видим немерянное кол-во ниток.. если взять и сложить по всей таблице nat-limit
stat по колонке used, то получается значение не в 9154 нитки, а всего 3139
ниток!
Hо видя, что ниток реально дофига (по sh ip nat tr), хочу очистить всю фигню в
HАТ-таблице и говорим циске просто очистить принудительно всю таблицу
трансляций:
------------
clear ip nat tr *
------------
после нажатия на enter циска 100% теряется полностью - РСП уходит в глубокий
бесконечный цикл и ни на какие более пинания не реагирует (даже по перегреву не
перегружается, хотя перегрев начинается после уже 10 мин пребывания в таком
состоянии, так как после выключения в таком состоянии циска не поднимается сразу
из-за перегрева и ее нужно сначала охладить-проветрить - после это циска
нормально включается и заводится)
До этого стоял иос 12.2-31 :
-----
dir
Directory of disk0:/
1 -rw- 29934632 Jun 14 2006 16:56:42 +04:00 rsp-jk9o3sv-mz.124-7.bin
2 -rw- 18388440 Sep 22 2005 05:38:36 +04:00 rsp-jk9o3sv-mz.122-31.bin
------
и на нем все хорошо работало - не было никаких "не прибитых ниток в HАТе", не
было возрастания прожорливости процесса IPC LC Message Handler.., но только в
12.4 появилась возможность лимитировать кол-во ниток на каждый хост и на все
хосты сразу задавать лимит и эта фича очень важна.. очень хочется ее юзать - да
и статистика по HАТу в более приятном виде показывается (отсортирована по
хостам), ВИП более правильно работает с ИОСом 12.4 (дистрибьют работает в обе
стороны и на полную катушку)..
Пробовал 12.4-5 - та же история.
Люди - чего делать? :( Спасайте :( Чего может надо прикрутить в конфиге
дополнительно? Я уже весь cisco.com перевернул в поиске решения данной проблемы
- не нашел :( Может, конечно, плохо искал .. но все же.
PS: сертификата нет - нет и доступа к всяким вкусностям на cisco.com. Поэтому
просьба не закидывать ссылками на ресурсы, требующие наличие сертификата.
Sincerely yours - Alex-First [Team Realm 7:359@Realm]
"Роза пpи имени пpежнем - с нагими мы впpедь именами"
(с) Умбеpто Эко "Имя pозы"
... "..Мы на летy сpывали вечность, а доpога шипела змеей.." (с) Аpия
--- Коцать тут..
* Origin: Hacker's Stone BBS (095) 344-1488 [00:00-12:00] (2:5020/1575)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Почему не убиваются нитки в NAT\'e? |
Alex Solovyov |
23 Jun 2006 22:02:25 |
|
|
