(no subject)

[redtigra]

Люди, кто поумнее, я понимаю, что я нормально тупею на этой войне, и все-таки.
Cisco 2621, IOS (tm) C2600 Software (C2600-IPBASE-M), Version 12.3(6a), RELEASE SOFTWARE (fc4)

ip nat pool sun_spb X.X.X.67 X.X.X.70 netmask 255.255.255.224 type rotary
ip nat inside source list good_for_nat pool sun_spb overload

Тем не менее sh ip nat tran показывает, что на 68 и 69 адреса мапится по одному хосту, на 70 ни одного, все остальные - (а их пара сотен так) - на 67. Это, типа, round robin теперь так выглядит? Или я какую-то мелочь пропустила?

Comments

[wannasleep.livejournal.com]

Ну так оверлоад.
Никакого раунд-робина, всё на первый же адрес.
Если я, конечно, тоже не гоню. :-)

[furry.livejournal.com]

А ты что хочешь сделать? У меня такое воспоминание, что "type rotary" обычно применяют для TCP load distribution - т.е. для destination трансляций. Поэтому не исключаю, что при описании обычного inside global pool оно может роли не играть, а применяться обычна технология - сначала PAT на 1 адрес, потом берем следующий и т.п.
http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/prodlit/iosnt_qp.htm

[furry.livejournal.com]

Тогда мы вдвоем гоним ;-)

[wannasleep.livejournal.com]

type rotary (Optional) Indicates that the range of address in the address pool identify real, inside hosts among which TCP load distribution will occur.

Так шта жди, пока у тебя TCP забьётся целиком. :-)))
На паре сотен хостов это ой-как проблематично. :-)

[redtigra.livejournal.com]

Ага. Ну да. Это просто один чайник на двоих гонщиков :(

Братцы, подскажите мне, как организовать случайное равномерное распределение мапирования хостов по всем адресам пула? С той стороны гейтвей имеет ограничение числа коннекций с одного IP, а на гейтвей лезет вся контора. ACL-ами?

Пойти повеситься со стыда, что ли...

[leonid-.livejournal.com]

пока pat pool для адреса 67 не кончится, на следующий адрес оно не пойдет.

у нас при 150 активных пользователях и несколько большем количестве хостов второй адрес практически не используется.

так что все правильно - так и должно быть.

[wannasleep.livejournal.com]

Зачем вешаться?
Надо гордиццо!
Я те как ЦЦИЁ ответственно заявляю, что я тоже не знаю.
И горжусь этим. :-)

[furry.livejournal.com]

Ну если реальных ip меньше, чем внутрених - то извращениями с несколькими пулами можно попробовать

[furry.livejournal.com]

А как ты думаешь - если им сделать несколько пулов?

Как-то так?

[redtigra.livejournal.com]

ip nat pool sun_spb Y.Y.Y.67 Y.Y.Y.67 netmask 255.255.255.224
ip nat pool sun_spb Y.Y.Y.68 Y.Y.Y.68 netmask 255.255.255.224
ip nat pool sun_spb Y.Y.Y.69 Y.Y.Y.69 netmask 255.255.255.224
ip nat pool sun_spb Y.Y.Y.70 Y.Y.Y.70 netmask 255.255.255.224

ip nat inside source list good_for_nat_124 pool sun_spb overload
ip nat inside source list good_for_nat_125 pool sun_spb overload
ip nat inside source list good_for_nat_126 pool sun_spb overload
ip nat inside source list good_for_nat_127 pool sun_spb overload

ip access-list extended good_for_nat_124
foo
bar
permit ip X.X.124.0 0.0.0.255 any
deny ip any any

ip access-list extended good_for_nat_125
foo
bar
permit ip X.X.125.0 0.0.0.255 any
deny ip any any

ip access-list extended good_for_nat_126
foo
bar
permit ip X.X.124.0 0.0.0.255 any
deny ip any any

ip access-list extended good_for_nat_127
foo
bar
permit ip X.X.124.0 0.0.0.255 any
deny ip any any

[redtigra.livejournal.com]

Тебе уже нету сраму. ЦЦИЕ по ту сторону стыда.

[redtigra.livejournal.com]

ага. thanx.

Re: Как-то так?

[furry.livejournal.com]

Ну типа..(я так понимаю, в good_for_nat_12[6,7] должны быть сети
X.X.12[6,7].0 - ты просто опечаталась?
Ну и deny можно убрать - оно ж и так есть
Тогда у тебя при более-менее равномерном распределении юзеров по сетям не будет такого перекоса в числе сессий. Соотв, при наличии неравномерного распределения - можно еще как-то поиграться с распределением юзеров по пулам..

Re: Как-то так?

[redtigra.livejournal.com]

Порправка. Разумеется:

ip access-list extended good_for_nat_124
foo
bar
permit ip X.X.124.0 0.0.0.255 any
deny ip any any

ip access-list extended good_for_nat_125
foo
bar
permit ip X.X.125.0 0.0.0.255 any
deny ip any any

ip access-list extended good_for_nat_126
foo
bar
permit ip X.X.126.0 0.0.0.255 any
deny ip any any

ip access-list extended good_for_nat_127
foo
bar
permit ip X.X.127.0 0.0.0.255 any
deny ip any any

Re: Как-то так?

[redtigra.livejournal.com]

Да, я только что запостила поправку :)

У меня параноидйльная привычка deny any any всегда явно писать. Атавизм :)

Гуд. Ясно. Спасибо огромное!

Re: Как-то так?

[furry.livejournal.com]

>У меня параноидйльная привычка deny any any всегда явно писать. Атавизм :)


Я тоже часто явно описываю дефолтные вещи - особенно когда чуть менее очевидно. ;-)
Я, собственно, свой совет не проверила - это так, идея, пришедшая в голову..

Re: Как-то так?

[redtigra.livejournal.com]

Сами проверим :)

Спасибище.

[wannasleep.livejournal.com]

Почитал комменты.
Жжоте!
:-)))

[furry.livejournal.com]

Писать ищщо или КГАМ? ;-))))

[wannasleep.livejournal.com]

На ваше усмотрение. :-)

[redtigra.livejournal.com]

А что такое КГАМ?

[furry.livejournal.com]

http://www.livejournal.com/users/shoo_/218401.html

[redtigra.livejournal.com]

*тщательно изучив документацию* ужоснах...

[zloy-homyak.livejournal.com]

:-)
ну это ж надо! я как раз сегодня нашел аналогичное, только более связное :-))