No relevant resource is found in the selected language.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>Search

Reminder

To have a better experience, please upgrade your IE browser.

upgrade
Knowledge Base

AR46 Attached Users Access Network Slowly because the Address for NAT Translation is not Enough

Publication Date:  2012-07-27  |   Views:  162  |   Downloads:  0  |   Author:  Chen Tao  |   Document ID:  EKB0000244739

Contents

Issue Description

1. The topology 
   PC---L2 switch---AR46---Internet
2. Phenomenon 
A. Which service is slow and what is the detail?
Sometimes the webpage cannot be opened. Once it is opened, it can be used normally.
Sometimes FTP cannot connect FTP server and the downloading speed is normal.
B. Phenomenon range
All users under the router access network slowly.
C. Phenomenon time 
At peak hour they access network slowly.
D. Related information of the router when they access network slowly
The traffic does not exceed the bandwidth that the user applies to the operator.
When users access network slowly, the sum of NAT session reaches more than 40,000 lists and it is difficult to build NAT session.
E. What is the latest operation and change in the network?
Some site adds one FE board on AR46 and online users increase.

Alarm Information

Null

Handling Process

1. Solution I 
Some site has redundant public network IP address. Use many IP addresses for NAT translation. After the change, there are many IP addresses on AR46 for NAT translation (It can set up n×49512 nat session). As follows:
nat address-group 1 222.x.x.147 222.x.x.158
interface Ethernet0/0/1
 ip address 222.x.x.146 255.255.255.240
   firewall packet-filter 3001 inbound
   nat outbound 2001 address-group 1
2. Solution II
If some site has no redundant public network IP address, how to handle the problem?
Analyze detailed online service of AR46. It is found that there is much BT application in network. BT downloading need create TCP connection. Much BT application need create large amount of TCP connection. Default aging time of TCP connection is 24 hours, so NAT session table saves much TCP connection.
We can change NAT aging-time of TCP connection small (If it is 86,400 seconds before, we can change it as 600 seconds.). It can quicken the aging of NAT session of TCP connection and it can save the amount of NAT session.
Effect: some site changes NAT aging-time of TCP connection from 86,400 seconds to 600 seconds. NAT sessions reduce from more than 40,000 to over 30,000.
 

Root Cause

AR46 uses interface address for NAT translation, as follows:
           interface Ethernet0/0/1
           ip address 222.x.x.x 255.255.255.224
           nat outbound 2001
When users access network slowly at peak hour, the engineer at some site check the sum of NAT session of AR46 and it is over 45,000.
One IP address can set up 49,512 NAT sessions at most. At the moment IP address is exhausted. Subsequent NAT session cannot be set up. The range of the port for NAT translation is from 12288 to 61440. From the statistics of NAT session, the maximum port number is 61426. So users cannot open webpage sometimes. Once it is opened, it can be used.
For “One IP address can set up 49,512 NAT sessions at most”
When the packet is for NAT translation, NAT will allocate new port for the packet if it is pat (translate port). The port is allocated once or continuous two/four (for the application of NAT alg) port is allocated once.
Suppose all translation is only allocated one new port during NAT translation. And then NAT permits that one IP address has 49,152 ports to allocate. NAT uses one IP address for translation. The port is allocated once. 49,512 NAT sessions can be set up at most.

Suggestions

Null