сори за задержку итак давайте попробуем. Выдержка с этого же форума
>ip nat translation timeout 300
>ip nat translation tcp-timeout 600
>ip nat translation max-entries 25000
>
>Остальное по дефолту.
>
>Для разгрузки проца логичней наверное уменьшать таймуат, чтобы таблица быстрее циской самостоятельно
>подчищалась? Или наоборот - частая подчистка таблицы будет отнимать больше процессорных
>ресурсов, чем обработка и поиск в большой таблице НАТа?Может кто-то пояснить эту тонкость?
Эксперименты показывают, что если значение "ip nat translation tcp-timeout" ставить небольшое (например 600), то память циски не забивается таблицей трансляций (таблица не разрастается), проц не прогружается, но сам НАТ субъективно (со стороны пользователей) совершенно четко подтормаживает. Увеличивая это значение, увеличиваем все: размер таблицы, размер используемой памяти, загрузку проца, но НАТ начинает работать шустрее. Осталось понять где та грань, при которой все работает оптимально.
Экспериментально же установлено: если это значение оставить по дефолту (86400 кажется), то даже при 40-50 пользователях за НАТом и скорости порядка 1,5 Мбит/сек таблица трансляций довольно быстро разрастается до параметра, заданного в "ip nat translation max-entries " и проц прогружается практически на 100%.
Эксперименты - хорошо, но может кто-то пояснит методику подбора этих параметров, а также других параметров тайм-аутов НАТа?
1. уберите ip nat translation max-entries all-host 100 вообще - пусть железка колбасит сама на свой вкус.
2. С inside и outside уберите ip virtual-reassembly - на практике у меня из за неё 871 часто подвисали забивалась память и проц загружен был.
3. Обязательно отпишитесь :) помогло или нет
