The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"CISCO 3825 теряет запросы DNS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение [ Отслеживать ]

"CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 22-Июл-13, 16:09 
Здравствуйте!

Прошу помощи с CISCO 3825. Ситуация следующая:
Роутер теряет запросы DNS. В итоге юзерам приходится обновлять страницу, пока DNS запрос не пройдет. В момент проблемы, если пинговать с роутера DNS сервера, то все ок. Помогает перезагрузка маршрутизатора. На время.
На роутер приходит линия от провайдера + поток Е1. Кроме этого, маршрутизатор держит на себе внутреннюю телефонную сеть порядка 120 телефонов. Есть еще момент, после перезагрузки некоторые телефоны не загружаются. ТО есть продолжвают перезагрузкук в цикле, пока не вытащищь и не воткнешь кабель обратно. Посоветуйте где и как искать. Опыт настройки Циски небольшой. Максимум что получилось сделать это связать Циску с GSM шлюзом.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 23-Июл-13, 01:17 
Надежды не теряю...


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от fantom (??) on 23-Июл-13, 10:53 
> Надежды не теряю...

1. схема включения абонентов?
2. какой DNS у абонента прописан/выдан?
3. какие еще шаги для диагностики предпринимались кроме попингать с роутера (почему не от абонента?) DNS сервер?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 23-Июл-13, 11:40 
1. схема включения абонентов?
Не совсем понял. Есть терминальный сервер, с которого выходят в интернет. Есть клиенты, которые через другой маршрутизатор. Сам интернет приходит на эту циску.  

> 2. какой DNS у абонента прописан/выдан?

Пробовал разные, от провайдера, от гугла, от яндекса. DNS настраивается на самом клиенте. Дело не в сервере, есть другие клиенты с такими же проблемами.

> 3. какие еще шаги для диагностики предпринимались кроме попингать с роутера (почему
> не от абонента?) DNS сервер?

NSLOOKUP с клиента. На самой циске не знаю какие инструменты использовать.

Пингать с абонента не получается. В системе есть еще центральный свич (тоже циска, модель не помню, от серверной счас далеко) к которому и подключен этот терминальный сервер и все остальное, на нем закрыт ICMP трафик. То что не в нем дело, выяснил перезагрузив его и увидев, что проблема осталась.
Перезагружал также оборудование провайдера. Помогает только перезагрузка сабжа.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от fantom (ok) on 23-Июл-13, 16:37 
>[оверквотинг удален]
> проблемами.
>> 3. какие еще шаги для диагностики предпринимались кроме попингать с роутера (почему
>> не от абонента?) DNS сервер?
> NSLOOKUP с клиента. На самой циске не знаю какие инструменты использовать.
> Пингать с абонента не получается. В системе есть еще центральный свич (тоже
> циска, модель не помню, от серверной счас далеко) к которому и
> подключен этот терминальный сервер и все остальное, на нем закрыт ICMP
> трафик. То что не в нем дело, выяснил перезагрузив его и
> увидев, что проблема осталась.
> Перезагружал также оборудование провайдера. Помогает только перезагрузка сабжа.

Ну пальцем в небо - на циске НАТ и проблема в нем, как вариант - обновить ИОС.
А так... "терминальный сервер" - если браузер тоже из него работает, дык с клинта проверять бесполезно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 23-Июл-13, 17:08 
> А так... "терминальный сервер" - если браузер тоже из него работает, дык
> с клинта проверять бесполезно.

Ну интернет то сам пашет. Скажем если я IP вместо адреса в браузер ввожу (конечно если IP = сайт), то попаду на сайт. Не резолвятся конкретно адреса.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от fantom (ok) on 24-Июл-13, 09:39 
>> А так... "терминальный сервер" - если браузер тоже из него работает, дык
>> с клинта проверять бесполезно.
> Ну интернет то сам пашет. Скажем если я IP вместо адреса в
> браузер ввожу (конечно если IP = сайт), то попаду на сайт.
> Не резолвятся конкретно адреса.

Судя по описанию - NAT таки присутствует; открытие сайта - TCP, DNS запрос - UDP.
1. Смотрим логи циски на предмет аномалий.
2. смотрим статистику по NAT-у на той же циске.

если после перезагрузки циски какое-то время все номально работает и потом вдруг начинает подглючивать, то очень похоже на утечку памяти или переполнение какой-нить таблицы..
Первое решается обновлением ИОС-а, второе тюнингом/обновлением/добавлением памяти (зависит от симптомов)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 24-Июл-13, 11:48 
> Судя по описанию - NAT таки присутствует; открытие сайта - TCP, DNS
> запрос - UDP.
> 1. Смотрим логи циски на предмет аномалий.
> 2. смотрим статистику по NAT-у на той же циске.

Nat конечно есть. А как смотреть статистику и логи на Циске?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от fantom (ok) on 24-Июл-13, 14:07 
>> Судя по описанию - NAT таки присутствует; открытие сайта - TCP, DNS
>> запрос - UDP.
>> 1. Смотрим логи циски на предмет аномалий.
>> 2. смотрим статистику по NAT-у на той же циске.
> Nat конечно есть. А как смотреть статистику и логи на Циске?

sh logging
sh ip nat ?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 24-Июл-13, 20:56 
> sh logging
> sh ip nat ?

Вот что есть в конфиге:
!
ip nat translation udp-timeout 5
ip nat translation max-entries 5000
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip nat inside source list 2 interface GigabitEthernet0/1 overload //Это внешний интерфейс
!

Не может быть, что срабатывает ограничение?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от mr_noname (ok) on 25-Июл-13, 09:11 
> Не может быть, что срабатывает ограничение?

Ты админ? Сними, посмотри, что будет. Кардинально ничего не завалится, зато немного локализуешь проблему. Тем более, что косвенно и так всё указывает на проблемы с NAT-ом для UDP. Короче:
no ip nat translation udp-timeout 5
no ip nat translation max-entries 5000

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 25-Июл-13, 15:18 
> Ты админ? Сними, посмотри, что будет. Кардинально ничего не завалится, зато немного
> локализуешь проблему. Тем более, что косвенно и так всё указывает на
> проблемы с NAT-ом для UDP. Короче:
> no ip nat translation udp-timeout 5
> no ip nat translation max-entries 5000

Спасибо, в момент напряга попробую.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 25-Июл-13, 16:50 
Так, похоже причина найдена:
moscow-rp1#sh ip nat statistics
Total active translations: 4894 (0 static, 4894 dynamic; 4894 extended)
Peak translations: 5000, occurred 00:32:33 ago
Outside interfaces:
GigabitEthernet0/1
Inside interfaces:
GigabitEthernet0/0.2, GigabitEthernet0/0.3, Integrated-Service-Engine1/0
Loopback0
Hits: 12797308 Misses: 0
CEF Translated packets: 12514379, CEF Punted packets: 283014
Expired translations: 319630
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 interface GigabitEthernet0/0 refcount 0
[Id: 2] access-list 2 interface GigabitEthernet0/1 refcount 4894
Appl doors: 0
Normal doors: 0
Queued Packets: 0

------------------------------

!
ip nat translation udp-timeout 5
ip nat translation max-entries 5000
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip nat inside source list 2 interface GigabitEthernet0/1 overload
!

Мы упираемся в это ограничение. Я уменьшил значение max-entry до 2000 и пропажа DNS запросов сразу появилась. Теперь вопросы знающим:
1. Зачем выставляется это ограничение, что будет если я увеличу его до, скажем 10 000? И что это за 5000 записей? За какой период времени? Единомоментно? Не многовато ли для 70 пользователей?
2. Что делает параметр ip nat translation udp-timeout 5? Как он связан с п.1? Это время хранения трансляции? Что будет если его уменьшить? Или это время пока он ждет ответа и если его нет, повторяет снова? Этот параметр может влиять на количество, которое упирается в max-entry?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "CISCO 3825 теряет запросы DNS"  +1 +/
Сообщение от crash (ok) on 26-Июл-13, 06:38 

> Мы упираемся в это ограничение. Я уменьшил значение max-entry до 2000 и
> пропажа DNS запросов сразу появилась. Теперь вопросы знающим:
> 1. Зачем выставляется это ограничение, что будет если я увеличу его до,
> скажем 10 000? И что это за 5000 записей? За какой
> период времени? Единомоментно? Не многовато ли для 70 пользователей?

естественно одновременно. Но таблица не чистится моментально. А насчет много или мало, кто же вас знает что делают ваши 70 пользователей
> 2. Что делает параметр ip nat translation udp-timeout 5?

видимо очищает трансляцию nat для udp, после указанного времени таймаута
>Что будет если его уменьшить?

раньше очистится, разве нелогично?
> Или это время пока он ждет ответа и если его нет,
> повторяет снова?

кто он?
>Этот параметр может влиять на количество, которое упирается в max-entry?

может, если трансляция не чистится, то количество трансляций увеличивается до максимума.

Вам выше сказали, уберите строчки, посмотрите как будет работать. Ну или укажите свои значения, какие вам большенравятся

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 26-Июл-13, 15:35 
> Вам выше сказали, уберите строчки, посмотрите как будет работать. Ну или укажите
> свои значения, какие вам больше нравятся

Я ж уже написал, что причина найдена. Устранена изменением значения с 5000 на 10000. Выключить/включить/ресетнуть - это я сам могу дойти. Я прошу помощи в том, чтобы знающие люди объяснили, что конкретно значат и на что влияют эти настройки.
Вот например, изменил я это значение и что, не будет ли такого, что дальше что-нибудь всплывет. Эта настройка предусмотрена производителем и установлена специалистами внедрявшими систему - значит она должна иметь смысл? Вот я хочу понять, зачем она там стоит, почему 5000, а не 10000 и к чему может привести ее увеличение.


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Andrey (??) on 26-Июл-13, 16:04 
> Я ж уже написал, что причина найдена. Устранена изменением значения с 5000
> на 10000. Выключить/включить/ресетнуть - это я сам могу дойти. Я прошу
> помощи в том, чтобы знающие люди объяснили, что конкретно значат и
> на что влияют эти настройки.
> Вот например, изменил я это значение и что, не будет ли такого,
> что дальше что-нибудь всплывет. Эта настройка предусмотрена производителем и установлена
> специалистами внедрявшими систему - значит она должна иметь смысл? Вот я
> хочу понять, зачем она там стоит, почему 5000, а не 10000
> и к чему может привести ее увеличение.

Уже давно писали, что пользоваться поисковиками считается хорошим тоном. Канючить на форуме чтобы что-то объяснили - моветон.
Конкретно для вас на сайте Cisco сказано следующее:

To limit the size of a Network Address Translation (NAT) table to a specified maximum, use the ip nat translation max-entries command in global configuration mode. To remove a specified limit, use the no form of this command.

ip nat translation max-entries { all-host | all-vrf | host ip-address | list { list-name | list-number } | redundancy redundancy-id number-of-entries | vrf name } number

no ip nat translation max-entries { all-host | all-vrf | host ip-address | list { list-name | list-number } | redundancy redundancy-id number-of-entries | vrf name } number


Ищущий, да обрящет! (с)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 27-Июл-13, 13:53 
> Уже давно писали, что пользоваться поисковиками считается хорошим тоном. Канючить на форуме
> чтобы что-то объяснили - моветон.
> Конкретно для вас на сайте Cisco сказано следующее:
>  To limit the size of a Network Address Translation (NAT) table
> to a specified maximum, use the ip nat translation max-entries command
> in global configuration mode. To remove a specified limit, use the
> no form of this command.

Уважаемый, у вас по теме вопроса есть что сказать? То что на циско.ком я прочитал до того, как вопрос задать. Я спрашиваю, зачем нужно ограничивать эту таблицу, если нужно вообще. И вообще зачем нужен форум, если не для того, чтобы просить, чтобы что-то объяснили. Короче, моветон, то что вы тут написали.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от mr_noname (ok) on 26-Июл-13, 22:54 
> Я ж уже написал, что причина найдена. Устранена изменением значения с 5000
> на 10000. Выключить/включить/ресетнуть - это я сам могу дойти. Я прошу
> помощи в том, чтобы знающие люди объяснили, что конкретно значат и
> на что влияют эти настройки.
> Вот например, изменил я это значение и что, не будет ли такого,
> что дальше что-нибудь всплывет. Эта настройка предусмотрена производителем и установлена
> специалистами внедрявшими систему - значит она должна иметь смысл? Вот я
> хочу понять, зачем она там стоит, почему 5000, а не 10000
> и к чему может привести ее увеличение.

Не так уж много цисок повидал, но вот ограничений на количество трансляций ни разу не встречал.
Если снять ограничение, самое плохое, что может случиться из-за разрастания таблицы - подскочит нагрузка на проц/заполнится память на маршрутизаторе и как результат начнут глобально теряться пакеты.
Во-первых, логично было бы помониторить вообще трафик - может там кто-то просто торренты качает, потому что добрый прошлый админ по дружбе открыл доступ. Тут ключевое слово для поиска в гугле - "Netflow".
Во-вторых, снимай ограничение в 5000 и мониторь состояние устройства - память и загрузку проца. Циски эти значения умеют отдавать по SNMP, так что ставь любую систему мониторинга, поднимай на Циске SNMP, снимай значения и потом смотри графики. Или просто смотри руками на самой циске:
show processes cpu sorted
show processes memory sorted
Если всё норм, то и забей.

Ни на что другое это ограничение не повлияет.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от mr_noname (ok) on 26-Июл-13, 23:20 
Невнимательно прочитал. Трафик мониторить смысла нет - это всё наверняка от телефонии такой загруз. Там как раз udp. И ограничения видимо от этого выставлены были (по умолчанию таймаут udp - 60 секунд, а ограничений на количество трансляций вообще нет) - видимо телефония вешала циску, вот её и подрезали.

В качестве примера того, что может быть в итоге:
http://habrahabr.ru/post/111990/

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 27-Июл-13, 13:55 
> Невнимательно прочитал. Трафик мониторить смысла нет - это всё наверняка от телефонии
> такой загруз. Там как раз udp. И ограничения видимо от этого
> выставлены были (по умолчанию таймаут udp - 60 секунд, а ограничений
> на количество трансляций вообще нет) - видимо телефония вешала циску, вот
> её и подрезали.
> В качестве примера того, что может быть в итоге:
> http://habrahabr.ru/post/111990/

Спасибо большле. Вот конкретные внятные рекомендации и ответы!


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

15. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от ShyLion (ok) on 26-Июл-13, 11:40 
> подключен этот терминальный сервер и все остальное, на нем закрыт ICMP
> трафик.

Интересно что сие означает? Тупо блокировать весь ICMP траффик чревато проблемами хотябы с PathMTU. Не говоря уже об остальном.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 26-Июл-13, 15:37 
>> подключен этот терминальный сервер и все остальное, на нем закрыт ICMP
>> трафик.
> Интересно что сие означает? Тупо блокировать весь ICMP траффик чревато проблемами хотябы
> с PathMTU. Не говоря уже об остальном.

Нет, тупо его не блокируют. Блокируют только пинг.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

4. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 23-Июл-13, 16:25 
Дополнительная информация:
Описание системы:

1. От провайдера приходит E1 и Интернет по кабелю rj45. Заходит на GigabiEthernet Interface X в Cisco с выделением белого IP адреса.
2. С одного физического GigabiEthernet Interface идет  несколько логических (VLAN) 0.0/1, 0.0/2 и так далее. В их числе телефонная VLAN, локальная внутренняя, локальная с интернетом. Это кабель идет через фаервол в Core Switch (Это насколько я понимаю управляемый свич, котороый держит на себе сеть).Также Кор свич раздает DHCP по тонким клиентам. Он спарен из двух для обеспечения балансировки нашгрузки на спраренных сетевых картах трех серверов, которые к нему подкючены. Эти три сервера являются терминальными, два из них находятся во внетренней сети без доступа в интернет, а третий (наш клиент) в сети с доступом в интернет. На нем сидят 50-80 пользователей и смотрят в браузеры.
3. Также в корсвич подключен обычный маршрутизатор TP-Link в той же VLAN, что и интеренет-сервер (терминальный №3). К этому маршрутизатору подключены клиенты напрямую для получения интернета. Испытывают те же проблемы.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от ShyLion (ok) on 26-Июл-13, 11:41 
> Дополнительная информация:
> Описание системы:
> Это кабель идет через фаервол в Core Switch

о как, "незначительные" нюансы на пути

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "CISCO 3825 теряет запросы DNS"  +/
Сообщение от Noromich (ok) on 26-Июл-13, 15:37 
>> Дополнительная информация:
>> Описание системы:
>> Это кабель идет через фаервол в Core Switch
> о как, "незначительные" нюансы на пути

Как подтвердилось, это именно незначительные нюансы, не имеющие отношения к проблеме.


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру