форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Internet -> Cisco -> NAT -> Isa Proxy -> Users"	+/–
Сообщение от Nerian on 02-Авг-10, 17:44
Всем привет! Есть ISA прокси, через которую пользователи выходят в интернет, ISA в свою очередь выходит через Cisco 2801 (через NAT) и при такой схеме на Cisco создаются тысячи динамических правил NAT для ISA из за чего происходим много интераптов и большая нагрузка CPU. возможно есть метод указать один из внешних адресов чисто для ISA, чтобы динамические правила не создавались? пробовал статический NAT сделать для ISA - всё равно создаёт динамические правила... Help ;)
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Internet -> Cisco -> NAT -> Isa Proxy -> Users"	+/–
Сообщение от j_vw on 02-Авг-10, 21:26
>Всем привет! > >Есть ISA прокси, через которую пользователи выходят в интернет, ISA в свою >очередь выходит через Cisco 2801 (через NAT) и при такой схеме >на Cisco создаются тысячи динамических правил NAT для ISA из за >чего происходим много интераптов и большая нагрузка CPU. Дежавю ;) Ну, во первых, трафик какой? Во, вторых, на Кошке, дайте команду sh proc c s | e 0.0 Что кажет ? > >возможно есть метод указать один из внешних адресов чисто для ISA, чтобы >динамические правила не создавались? пробовал статический NAT сделать для ISA - >всё равно создаёт динамические правила... Ну, извините ;) NAT по другому не умеет А сколько адресов пров дает? > >Help ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Internet -> Cisco -> NAT -> Isa Proxy -> Users"	+/–
	Сообщение от Nerian on 03-Авг-10, 09:35
	LBZ-RTR1#sh proc c s | e 0.0 CPU utilization for five seconds: 94%/66%; one minute: 86%; five minutes: 84% PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process 103    96052248  38651363       2485 26.77% 22.61% 21.67%   0 IP Input 278     2964968   5939439        499  0.41%  0.34%  0.34%   0 IP SLAs Event Pr   43     1247440    941698       1324  0.24%  0.23%  0.24%   0 Per-Second Jobs   18     2100344   3614634        581  0.16%  0.15%  0.14%   0 ARP Input --- LBZ-RTR1#sh proc c s | e 0.0 CPU utilization for five seconds: 68%/54%; one minute: 84%; five minutes: 84% PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process 103    96058828  38652643       2485 11.71% 20.83% 20.35%   0 IP Input 109         864       114       7578  0.98%  0.39%  0.11% 514 SSH Process 278     2965128   5939546        499  0.40%  0.35%  0.35%   0 IP SLAs Event Pr 280     1793564   1799181        996  0.24%  0.13%  0.12%   0 IP SNMP   43     1247560    941714       1324  0.24%  0.22%  0.23%   0 Per-Second Jobs   18     2100396   3614698        581  0.16%  0.15%  0.14%   0 ARP Input Как я отсюда вижу - очень много интераптов (66%/54%) --- Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет выставлять. --- Трафик примерно следующий: в пиках на отправку 9 мегабит (удалённые филиалы по vpn), на приём 6 мегабит (я так понимаю интернет). И ещё важное уточнение: CISCO 2811 (не 2801 как я вначале написал) + включен Netflow.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Internet -> Cisco -> NAT -> Isa Proxy -> Users"	+/–
	Сообщение от ДорогойДрук on 03-Авг-10, 09:51
	>Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет >выставлять. А пробовали на циске НАТ настраивать на пул адресов вместо одного?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Internet -> Cisco -> NAT -> Isa Proxy -> Users"	+/–
	Сообщение от Nerian on 03-Авг-10, 10:31
	> >>Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет >>выставлять. > >А пробовали на циске НАТ настраивать на пул адресов вместо одного? Нет. А это как нибудь может повлиять на загрузку?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Internet -> Cisco -> NAT -> Isa Proxy -> Users"	+/–
	Сообщение от jaguar1975 on 03-Авг-10, 15:43
	>[оверквотинг удален] >Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет >выставлять. > >--- > >Трафик примерно следующий: в пиках на отправку 9 мегабит (удалённые филиалы по >vpn), на приём 6 мегабит (я так понимаю интернет). > >И ещё важное уточнение: CISCO 2811 (не 2801 как я вначале написал) >+ включен Netflow. При правильной настройке ISA можете ее совершенно спокойно выставлять в Инет. 2801 не вытянет, если Вы еще захотите что то публиковать в Инет или организовать удаленный доступ. Все будет нормально, правильно настройте на исе файервол и будет Вам счастье.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Internet -> Cisco -> NAT -> Isa Proxy -> Users"	+/–
	Сообщение от Алексей (??) on 03-Авг-10, 18:34
	Никакое железо имеющее доступ во внутреннюю сеть напрямую НЕЛЬЗЯ(!!!!!!!!) выставлять напрямую в Инет, именно для этого куча умных людей придумали всякие DMZ, SAFE и т.п. По теме: заменяйте маршрутизатор или договаривайтесь с провайдером (или еще с кем во внешнем мире), чтобы связать Ваш и их прокси либо туннелем, либо перенаправлением запросов (родительский/дочерний прокси). В данном случае будет одна сессия, но мне кажется не спасет это - железо слабое.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Internet -> Cisco -> NAT -> Isa Proxy -> Users"	+/–
	Сообщение от j_vw on 04-Авг-10, 00:59
	Ну чего сказать.. Железка работает, как умеет ;) Ищите альтернативу... 1.Либо Кошка "по-жирнее".... Кстати, если телефонии нет, то можно использовать серию 1ХХХ 2. Либо вариант с "выставлением наружу" 3. Либо, что то, типа микротика.....
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема