dtxfx 发表于 2018-4-8 09:35
谢谢各位的朋友,前几天找了一个朋友,说可以解决,不过他的方案是更换设备,但是我们单位现在预算不足,更 ...
应该是设备性能问题,2800系列的或者说2800c系列的路由器,性能总体来说一般,百兆的接口。如果说以百兆的速率做数据包的转发,问题是不大的,有Cisco的CEF,不会吃太多的设备性能,,但是同时做nat的话就很难说了,,
去年5月份,一个新办公区改造,总体计划有3-4层,每层300个点左右,100M的线路,最初只有一台2811,,于是乎在用这台路由器,放在了出口的上面,,测试期间还算ok,基本网络能通了,,后来我将一个/24掩码的地址放到这个出口上面,没有做任何限速策略,就想测试一下压力,看看峰值能跑到多少。。这时候问题就来了,cpu使用率骤增,中断cpu占用在50-60%,(具体是哪个进程占用已经记不太清楚了),同时show ip nat statistics ,中Active translations 到了2w多条,后来手动修改了nat 的一些设置参数 ip nat translations timeout 及max-entries 等等,也没有太好的效果。。上网期间总会出现各种各样幺蛾子的问题。。
过了几天,不太死心,找了一台2821换了上去,结果依旧。其他办公区用的是2911的设备,没有一个出问题的。。(也许是其他办公区流量没有超过50M的。。=_=#)
等到办公区施工快收尾的时候,之前买的一套上网行为设备到货了,我直接把这套设备扔到出口做nat及行为控制去了,到现在也没出什么问题~~~
我是感觉2800 已经不太够用了---
解决办法呢,最直接的就是干掉2800的nat功能,,如果你想留着这台设备,那就做一个三层路由(nat在asa上做,然后2800做路由转发),不想留的话就直接去掉2800,直接将互联网线路接到ASA上面,然后在asa上做nat。这样的话问题就不大了。
貌似sanfor也可以放在出口,不过你有asa还是算了吧。