解決済み: Re: Cisco C891のNATテーブル最大値を教えてください

708k2hogehoge7788 · ‎2023-08-30

1.Cisco C891のNATテーブル最大値を教えてください

2.showコマンドで確認できる方法を教えてください。

Akira Muranaka · ‎2023-08-30

こんにちは！

参照されているリンクに記載の"hardware QFP"はそこそこパフォーマンスが求められる製品に高速処理用に搭載されているものなので、廉価版かつシンプルなC891には（たぶん）搭載されておらず、勿論コマンドも入りません。

Router#show ver | in memory
Cisco C891-24X/K9 (revision 1.0) with 488524K/35763K bytes of memory.
255K bytes of non-volatile configuration memory.
Router#
Router#show platform hardware ?
% Unrecognized command
Router#
Router#show platform hardware qfp active feature nat datapath limit
                     ^
% Invalid input detected at '^' marker.

どのプロセスか・・！については考えたことありませんでした。。（汗）たしかに気になりますよね・・

通常プロセスは、CPUに処理余力あればいくらでも仕事ができるので、私の場合 CPU全体の負荷状況を show proc cpu history などで見て、CPUが過剰な仕事状態でないか見るようにしてます。

C891の限界を試すため、NATたくさん設定してみる！のも面白い？アリ？かもですが、C891は手ごろな価格なぶん性能が抑えられたブランチルーターですので、NATは数十行まで、など程ほどの量でご利用頂くのがベストかと思います

元の投稿で解決策を見る

Rend-S27 · ‎2023-09-01

show ステータス関係にて、セッションの確認を主体にされたいとの趣旨をお見受けしましたが、

物理的にリソースを抑えたいのであれば、

ip nat translation tcp-timeout 300　→　TCPセッションのタイムスケールの設定
ip nat translation udp-timeout 30　 →　UDPセッションのタイムスケールの設定
ip nat translation finrst-timeout 30　→　finrstセッションのタイムスケールの設定
ip nat translation max-entries 250000　→　総体のNATセッションの最大数の設定（こちらは無制限にCPUリソース分の設定は出来ますが、一般的なNTT回線プロバイダなどのセッション数は、65,535セッションポートの制約も御座いますので、65,535に制限しても差し支え無いかと思います）

元の投稿で解決策を見る

Akira Muranaka · ‎2023-08-30

こんにちは！

Ciscoさんのデータシートやマニュアルに制限値が記載無い場合は、基本的にルーター製品はソフトウェア制御のため、メモリ（やCPU処理能力）に余力があればいくらでも設定できたと思います。

逆にいうと、設定しすぎると、CPU高負荷やメモリ枯渇の原因となるので、膨大な設定をされるときはCPUやメモリの余力は確認されると良いかと思います。

以下もご参考になるかと思います。
https://community.cisco.com/t5/-/-/td-p/4458551

708k2hogehoge7788 · ‎2023-08-30

Akira Muranakaさん

返信ありがとうございます。

参考UALも確認させていただきました。

以下にC1111は16,384が最大だと認識していたのでC891も同様にNATテーブル最大値があるものと認識してました。

ISR1k/ISR4k: "%NAT-4-DEFAULT_MAX_ENTRIES:" の出力について

結論、CPU依存ということですね！

因みに「show processes cpu」だったらどのようなProcessを意識して確認すればCPUの飽和状態が確認できるかご存知でしょうか？

Akira Muranaka · ‎2023-08-30

こんにちは！

参照されているリンクに記載の"hardware QFP"はそこそこパフォーマンスが求められる製品に高速処理用に搭載されているものなので、廉価版かつシンプルなC891には（たぶん）搭載されておらず、勿論コマンドも入りません。

Router#show ver | in memory
Cisco C891-24X/K9 (revision 1.0) with 488524K/35763K bytes of memory.
255K bytes of non-volatile configuration memory.
Router#
Router#show platform hardware ?
% Unrecognized command
Router#
Router#show platform hardware qfp active feature nat datapath limit
                     ^
% Invalid input detected at '^' marker.

どのプロセスか・・！については考えたことありませんでした。。（汗）たしかに気になりますよね・・

通常プロセスは、CPUに処理余力あればいくらでも仕事ができるので、私の場合 CPU全体の負荷状況を show proc cpu history などで見て、CPUが過剰な仕事状態でないか見るようにしてます。

C891の限界を試すため、NATたくさん設定してみる！のも面白い？アリ？かもですが、C891は手ごろな価格なぶん性能が抑えられたブランチルーターですので、NATは数十行まで、など程ほどの量でご利用頂くのがベストかと思います

708k2hogehoge7788 · ‎2023-08-31

Akira Muranakaさん

返信ありがとうございます。

CPU全体の負荷状況を show proc cpu history で状況を確認したいと思います。

ご教示いただきありがとうございました。

大変助かりました。

Rend-S27 · ‎2023-09-01

show ステータス関係にて、セッションの確認を主体にされたいとの趣旨をお見受けしましたが、

物理的にリソースを抑えたいのであれば、

ip nat translation tcp-timeout 300　→　TCPセッションのタイムスケールの設定
ip nat translation udp-timeout 30　 →　UDPセッションのタイムスケールの設定
ip nat translation finrst-timeout 30　→　finrstセッションのタイムスケールの設定
ip nat translation max-entries 250000　→　総体のNATセッションの最大数の設定（こちらは無制限にCPUリソース分の設定は出来ますが、一般的なNTT回線プロバイダなどのセッション数は、65,535セッションポートの制約も御座いますので、65,535に制限しても差し支え無いかと思います）

708k2hogehoge7788 · ‎2023-09-01

Steck18さん

回答ありがとうございます。

おっしゃるNATテーブルのタイムアウト値をコントロールしてNATテーブルを飽和させないようにしようと思います。

Rend-S27 · ‎2023-09-01

承知致しました。

シスコの情報共有サイトでしたので、あまり過度にはお伝え出来かねますが、

シスコさまの仕様として、NTTの国内標準プロビジョニング仕様には対象外の仕様（DHCPv6-PD、RA止まり、IPV6自動捕捉のみ）

でしたので、個人的には、最近はシスコ製品は極力利用せず、他社製品を運用しております。

ルーターの機種的には、C1111-8Pクラス（iOS-XE17.02.12）以上のタイプが推奨されますね。

IPV6の制御周りですが、IPV6-CEFのスイッチング性能に問題が他社製品と比較して有るようでしたので、

あまり運用はしていなかった状況です。