Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Не проходят dns ответы через cisco.

Здравствуйте.

Есть cisco asr 1001 (ip base)

Есть внутренняя подсеть 20.0/22 на одном интерфейсе и Инет провайдера на другом. Поднят nat и dns - провайдерские прописаны. При пинге с самой циски c интерфейса внетреннего (20.160)

DTC#ping ya.ru source 10.10.20.160

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.180.204.3, timeout is 2 seconds:

Packet sent with a source address of 10.10.20.160

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 13/13/13 ms

Всё ок.

Если запустить комп в подсеть 20.0/22 По dhcp приходит шлюз 20.160 и dns провайдера - всё ок. По ip пингуются все ресурсы. По  доменному - ничего. Пишет domain unknown хотя, ip его прописывает ( и он пингуется). firewall и антивир на компе выключенны. Если в комп напрямую вставлять комп - всё работает. Через cisco не хочет.

В wireshark'e не видно dns ответов.

Трансляция есть

udp  x.x.57.18:1051     10.10.20.22:57479       x.x.50.218:53     x.x.50.218:53

x.x.57.18  - мой белый ip

x.x.50.218 - dns провайдера.

10.10.20.160 - шлюз в локальной подсети

10.10.20.22 - ip компа.

Конфиг cisco

Building configuration...

No l4r_shim subsystem is included in this platform.

Current configuration : 2666 bytes

!

! Last configuration change at 08:54:52 UTC Tue Jan 21 2014 by a.trushchelev

!

version 15.3

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

no platform punt-keepalive disable-kernel-core

!

hostname xxx

!

boot-start-marker

boot-end-marker

!

!

vrf definition Mgmt-intf

!

address-family ipv4

exit-address-family

!

address-family ipv6

exit-address-family

!

security authentication failure rate 3 log

!

aaa new-model

!

!

!

!

!

!

!

aaa session-id common

!

!

!

!

!

ip domain name xxx.local

ip name-server x.x.50.218

ip name-server 8.8.8.8

ip dhcp excluded-address 10.10.20.1

ip dhcp excluded-address 10.10.20.2

ip dhcp excluded-address 10.10.20.3

ip dhcp excluded-address 10.10.20.4

ip dhcp excluded-address 10.10.20.5

ip dhcp excluded-address 10.10.20.6

ip dhcp excluded-address 10.10.20.7

ip dhcp excluded-address 10.10.20.8

ip dhcp excluded-address 10.10.20.9

ip dhcp excluded-address 10.10.20.10

ip dhcp excluded-address 10.10.20.11

ip dhcp excluded-address 10.10.20.12

ip dhcp excluded-address 10.10.20.13

ip dhcp excluded-address 10.10.20.14

ip dhcp excluded-address 10.10.20.15

ip dhcp excluded-address 10.10.20.16

ip dhcp excluded-address 10.10.20.17

ip dhcp excluded-address 10.10.20.18

ip dhcp excluded-address 10.10.20.19

ip dhcp excluded-address 10.10.20.20

!

ip dhcp pool LOCAL

network 10.10.20.0 255.255.252.0

dns-server x.x.50.218 8.8.8.8

default-router 10.10.20.160

!

!

!

login on-failure log

!

!

multilink bundle-name authenticated

license boot level ipbase

!

!

!

!

!

!

username xxx privilege 15 secret 4 0KNWIUPrm4Wz13p8CVtCOWmYhARDPtwzMum

jVLD8QlE

!

redundancy

mode none

!

!

!

ip tftp source-interface GigabitEthernet0

!

!

!

!

!

!

!

interface GigabitEthernet0/0/0

description L2

ip address 10.10.3.55 255.255.252.0

negotiation auto

!

interface GigabitEthernet0/0/1

description LOCAL

ip address 10.10.20.160 255.255.252.0

ip nat inside

negotiation auto

!

interface GigabitEthernet0/0/2

description INET

ip address x.x.57.18 255.255.255.0

ip nat outside

negotiation auto

!

interface GigabitEthernet0/0/3

no ip address

shutdown

negotiation auto

!

interface GigabitEthernet0

vrf forwarding Mgmt-intf

no ip address

shutdown

negotiation auto

!

ip nat pool INET x.x.57.18 x.x.57.18 netmask 255.255.255.252

ip nat inside source list 100 pool INET overload

ip forward-protocol nd

!

no ip http server

ip route 0.0.0.0 0.0.0.0 x.x.57.1

!

access-list 100 permit ip 10.10.20.0 0.0.3.255 any

!

!

!

!

control-plane

!

!

line con 0

stopbits 1

line aux 0

stopbits 1

line vty 0 4

exec-timeout 60 0

privilege level 15

transport input telnet

!

!

end

Есть ещё один интерфейс в другую локалку gi0/0/0 - но он здесь роли не играет.

Схожая схема у меня реализована на cisco 881 , 2901 - всё работает ОК.

Только там есть возможность включить dns sever. И при настройках в dhcp указываю dns - шлюз роутера в локалке. Он дальше уже как proxy пересылает запросы. В asr 1001 dns server нет как такового. Поэтому на компе dns выступает провайдерский dns сразу. По идее он должен работать - запросы выходят с белого и в таблице трансляции всё ок - ответ должен приходить на белый и дальше по таблице опускаться на комп.

Можно ещё поставить свич на вход с провайдера зеркалировать в комп и поснифить, но пока заморачиваться не хочется - кажеться ответ то на поверхности.

Вопросы:

1 что за ...... происходит ?

2 Как это решить ?

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Не проходят dns ответы через cisco.

И при этом всё кроме DNS работало? TAC сказал номер дефекта?

А вообще, да, проглядел я явно избыточную конфигурацию.

14 ОТВЕТ.

Не проходят dns ответы через cisco.

Какая точная версия софта?

Может помочь:

no ip nat service dns udp

Соберите локальную капчу на обоих интерфейсах, внешнем и внутреннем, проверьте, что пакет исчезает в никуда где-то в самом роутере:

http://www.cisco.com/en/US/docs/ios-xml/ios/epc/configuration/xe-3s/asr1000/nm-packet-capture-xe.html

Если есть сервисный контракт - имеет смысл завести кейс. По багам - отдаленно похож CSCuh73986, исправлен в 3.11, тоже можно попробовать (у вас ведь 3.10.Х?).

New Member

Не проходят dns ответы через cisco.

IOS XE Version: 03.08.01.S

New Member

Не проходят dns ответы через cisco.

Попробую с

no ip nat service dns udp

И пакет поищу.

Спасибо. Как всё проверю - отпишусь. Контракт есть, но пока хочеться попробовать самому разобраться

New Member

Не проходят dns ответы через cisco.

no ip nat service dns udp не прокатило.

с капчу - как то странно - он не хочет её поднимать ни на одном из интерфейсов.

Interface: GigabitEthernet0/0/2, Direction: both

Status : Inactive

Filter not attached to capture

Unable to activate Capture.

Что за фильтры - хз.

Кейс завел - жду ответа.

Не проходят dns ответы через cisco.

ACL, ограничивающий отлавливаемый трафик DNS'ом, прикреплен к капче? Вообще, надо выполнить все шаги из доки.

New Member

Не проходят dns ответы через cisco.

Отлично. Капчур пошел, осталось его выгрузить на tftp )) Классная вещь - раньше не юзал. Теперь буду знать - спасибо.

New Member

Не проходят dns ответы через cisco.

Dns ответы приходя от провайдера, но дальше видать не проходят.

Выгрузил тех инфу в TAC - сообщили "проц не загружен. Всего 1 %" Я бы удивился если бы с одним узлом в сети было бы больше.

Не проходят dns ответы через cisco.

Если решение кейса застропорилось на проверке утилизации RP, то стоит позвонить и попросить сменить инженера на менее деревянного.

Тут напрашивается траблшутинг на уровне QFP, лучше бы этим TAC занимался. Можно попробовать нечто вроде:

sh ip nat statistics

sh plat hard qfp active statistics drop | e _0_

sh platform hardware qfp active feature nat datapath stats

sh plat har qfp act inf ex st us

New Member

Не проходят dns ответы через cisco.

Нат трансларует нормально.

sh plat hard qfp active statistics drop | e _0_ я полагаю нужно смотреть при генерации днс запросов ?

Если статические значения могут вам о чем то сказать, привожу вывод команд.

Hostname#sh plat hard qfp active statistics drop | e _0_

-------------------------------------------------------------------------

Global Drop Stats                         Packets                  Octets

-------------------------------------------------------------------------

BadIpChecksum                                  12                    1032

InjectErr                                       1                     328

IpLispHashLkupFailed                            1                     118

IpsecInput                                      1                     118

Ipv4NoAdj                                   19444                 1805196

Ipv4NoRoute                                    22                    2521

UnconfiguredIpv4Fia                        792272               143313631

UnconfiguredIpv6Fia                       2278980               253333797

Hostname#sh platform hardware qfp active feature nat datapath stats

non_extended 0 entry_timeouts 0 statics 0 static net 0 hits 0 misses 0

Proxy stats:

ipc_retry_fail 0 cfg_rcvd 2 cfg_rsp 2

Number of sess 0 udp 0 tcp 0 icmp 0

Hostname#sh plat har qfp act inf ex st us

Type: Name: IRAM, QFP: 0

  Allocations  Bytes-Alloc  Bytes-Total  User-Name

  ------------------------------------------------------------------------------

-

  1            115200       115712       CPP_FIA

Type: Name: GLOBAL, QFP: 0

  Allocations  Bytes-Alloc  Bytes-Total  User-Name

  ------------------------------------------------------------------------------

-

  7            17040        22528        P/I

  1            512          1024         FME

  1            4384         5120         EPC

  1            4384         5120         SBC

  1            4            1024         CFT

  1            4            1024         CVLA

  8            278904       282624       CEF

  1            512          1024         B2B HA

  1            1138256      1138688      QM RM

  1            16384        16384        Qm 16

  3            4227072      4227072      ING_EGR_UIDB

  1            524288       524288       TCAM

  1            950272       950272       ING EGR INPUT CHUNK_Config_0

  1            16384        16384        ING EGR INPUT CHUNK_Sm_Name_0

  1            32768        32768        ING EGR INPUT CHUNK_Lg_Name_0

  1            884736       884736       ING EGR OUTPUT CHUNK_Config_0

  1            16384        16384        ING EGR OUTPUT CHUNK_Sm_Name_0

  1            32768        32768        ING EGR OUTPUT CHUNK_Lg_Name_0

  1            16384        16384        ING EGR OUTPUT CHUNK_Queue_0

  1            16384        16384        ING-EGR_IfMap_0

  4            25856        28672        GIC

  27           6545952      6560768      ALG

  1            1048576      1048576      PLU Mgr_CEF_0_0

  1            1048576      1048576      PLU Mgr_CEF_0_3

  1            1572864      1572864      PLU Mgr_CEF_0_8

  1            1048576      1048576      PLU Mgr_CEF_0_9

  1            1048576      1048576      PLU Mgr_PLU_GLOBAL_0_0

  1            1048576      1048576      PLU Mgr_PLU_GLOBAL_0_1

  1            786432       786432       PLU Mgr_PLU_GLOBAL_0_2

  1            1048576      1048576      PLU Mgr_PLU_GLOBAL_0_3

  1            1310720      1310720      PLU Mgr_PLU_GLOBAL_0_4

  1            786432       786432       PLU Mgr_PLU_GLOBAL_0_5

Type: Name: GLOBAL, QFP: 0

  Allocations  Bytes-Alloc  Bytes-Total  User-Name

  ------------------------------------------------------------------------------

-

  1            917504       917504       PLU Mgr_PLU_GLOBAL_0_6

  1            1048576      1048576      PLU Mgr_PLU_GLOBAL_0_7

  1            1572864      1572864      PLU Mgr_PLU_GLOBAL_0_8

  1            1048576      1048576      PLU Mgr_PLU_GLOBAL_0_9

  1            1310720      1310720      PLU Mgr_PLU_GLOBAL_0_10

  1            1572864      1572864      PLU Mgr_PLU_GLOBAL_0_11

  1            1835008      1835008      PLU Mgr_PLU_GLOBAL_0_12

  1            1048576      1048576      PLU Mgr_PLU_GLOBAL_0_13

  1            1310720      1310720      PLU Mgr_PLU_GLOBAL_0_14

  1            1572864      1572864      PLU Mgr_PLU_GLOBAL_0_15

  1            917504       917504       PLU Mgr_PLU_GLOBAL_0_16

  1            1048576      1048576      PLU Mgr_PLU_GLOBAL_0_17

  1            16           1024         cpp_epc_sbs_client

  5            165844       168960       SSLVPN

  5            1336184      1339392      BFD

  3            4400         7168         LI

  1            64           1024         cpp_li_sbs_client

  2            32768        32768        SC

  1            131072       131072       CPP SC VRF TABLE CHUNK

  1            4096         4096         SMI

  1            40           1024         cpp_smi_sbs_client

  3            1868516      1870848      TD

  34           15182992     15197184     NAT

  2            512          2048         TFC

  4            64000        65536        TUNNEL

  1            4384         5120         ERSPAN

  1            112          1024         cpp_erspan_sbs_client

  12           1135936      1139712      ESS

  2            32           2048         ICMP

  1            32000        32768        cpp_icmp_sb_chunk

  1            524288       524288       QoS 1024

  1            4096         4096         SPAMARMOT

Type: Name: GLOBAL, QFP: 0

  Allocations  Bytes-Alloc  Bytes-Total  User-Name

  ------------------------------------------------------------------------------

-

  1            16384        16384        PALCI CLIENT

  3            8352         9216         cpp_punt_sbs_client

  1            320          1024         punt path chunk 0

  1            32000        32768        punt subblock chunk

  28           10752        28672        punt policer chunk

  22           719476       736256       PKTLOG

  1            512          1024         queue info chunk 0

  1            16           1024         CPP IPHC

  7            1286432      1288192      IPFRAG

  1            16000        16384        cpp_ipfrag_sb_chunk

  10           26048        34816        cpp_ipfrag_sbs_client

  1            48000        48128        cpp_ipreass_sb_chunk

  1            16000        16384        cpp_ipreass_cur_dgram_cnt_chunk

  1            96000        96256        cpp_ipvfr_sb_chunk

  1            96000        96256        cpp_ipv6reass_sb_chunk

  2            13056        14336        sbs_cef

  1            4096         4096         NAT SB

  1            512          1024         EPC SESSION OBJECTS

  1            512          1024         EPC SESSION CTRL OBJECTS

В TAC попросил другого инженера.

Не проходят dns ответы через cisco.

"BadIpChecksum                                  12                    1032"

Это не может быть DNS пакетами? Хотя маловато для них, как мне кажется.

Но все-таки пусть TAC траблшутит QFP.

New Member

Не проходят dns ответы через cisco.

Это не может быть DNS пакетами? Хотя маловато для них, как мне кажется.

Нет. У меня на компе скрипт стоял, генерирующий dns запросы. Там их гораздо больше было.

Хорошо намекну им на возможные проблемы с  QFP

New Member

Не проходят dns ответы через cisco.

Все оказалось проще

                No ip nat inside source list 100 pool INET overload         

                Ip nat inside source list 100 int g0/0/2 overload

Не проходят dns ответы через cisco.

И при этом всё кроме DNS работало? TAC сказал номер дефекта?

А вообще, да, проглядел я явно избыточную конфигурацию.

New Member

Не проходят dns ответы через cisco.

Да. Криво работала трансляция для DNS. Такой же конфиг ( с указание пула, а не интерфейса) работает у меня на 8 цисках 2901. Как сказали в TAC - это особенность ASR.

523
Просмотры
0
Полезный материал
14
Ответы
СоздатьДля создания публикации, пожалуйста в систему