 route-map cisco 4500,  LeniX, 27-Окт-06, 18:42 [смотреть все]Добрый день! Ситуевина: большая локалка приблизительно на 3000 абонентов, на выходе 2 софтверных шлюза с биллингами и натом. Перед ними со стороны локалки cisco catalyst 4500, маршрутизирующая подсетки на 15 вланах (в 1 влане есть пограничные роутеры, не не это есть суть). Требуется умно по ip-адресам разводить абонентов по разным интернет-шлюзам (обуславливается наличием двух биллингов и нежеланием паразитов-абонентов переходить на один из них, ну так исторически сложилось). Смотрится соответственно в сторону ip policy с route-map, привязанных к соответствующим access-list'ам. Беда в том, что совокупное количество правил по всем вланам будет около 1500. При вводе части (около 550) из этих правил, время отклика ping от коммутатора возросло до неприличия, а у части пользователей стал отваливаться инет, в результате чего все с треском было возвращено обратно (это отдельная история, один из интернет шлюзов занимается сейчас этой задачей с помощью source-routing'а на bsd, большая загрузка сервера как следствие). Вот что прописано на один vlan (пример самый маленький):
!
interface Vlan3
ip address 192.168.5.254 255.255.255.0
no ip proxy-arp
ip policy route-map office_lan
!
!
ip access-list standard office_access
permit 192.168.5.77
permit 192.168.5.56
!
!
route-map office_lan permit 10
match ip address office_access
set ip default next-hop 192.168.1.1 (дефолтовый роут на 192.168.1.11 для остальных).Мало знаком с cisco'й. Правила соответственно списаны с example на cisco.com. Если у кого-нибудь был удачный опыт в оптимизации pbr на такое количество пользователей, или есть какие-нибудь мысли по улучшению этого процесса, ПОМОГИТЕ! |
- route-map cisco 4500, Lacunacoil, 20:55 , 27-Окт-06 (1)
>Добрый день! Ситуевина: большая локалка приблизительно на 3000 абонентов, на выходе 2
>софтверных шлюза с биллингами и натом. Перед ними со стороны локалки
>cisco catalyst 4500, маршрутизирующая подсетки на 15 вланах (в 1 влане
>есть пограничные роутеры, не не это есть суть). Требуется умно по
>ip-адресам разводить абонентов по разным интернет-шлюзам (обуславливается наличием двух биллингов и
>нежеланием паразитов-абонентов переходить на один из них, ну так исторически сложилось).
>Смотрится соответственно в сторону ip policy с route-map, привязанных к соответствующим
>access-list'ам. Беда в том, что совокупное количество правил по всем вланам
>будет около 1500. При вводе части (около 550) из этих правил,
>время отклика ping от коммутатора возросло до неприличия, а у части
>пользователей стал отваливаться инет, в результате чего все с треском было
>возвращено обратно (это отдельная история, один из интернет шлюзов занимается сейчас
>этой задачей с помощью source-routing'а на bsd, большая загрузка сервера как
>следствие). Вот что прописано на один vlan (пример самый маленький):
>!
>interface Vlan3
> ip address 192.168.5.254 255.255.255.0
> no ip proxy-arp
> ip policy route-map office_lan
>!
>!
>ip access-list standard office_access
> permit 192.168.5.77
> permit 192.168.5.56
>!
>!
>route-map office_lan permit 10
> match ip address office_access
> set ip default next-hop 192.168.1.1 (дефолтовый роут на 192.168.1.11 для остальных).
>
>
>Мало знаком с cisco'й. Правила соответственно списаны с example на cisco.com. Если
>у кого-нибудь был удачный опыт в оптимизации pbr на такое количество
>пользователей, или есть какие-нибудь мысли по улучшению этого процесса, ПОМОГИТЕ! а эти клиенты агрегации не подлежат ?
- route-map cisco 4500, LeniX, 16:20 , 28-Окт-06 (2)
Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то другое? Если в сетку, то нет, даже маской не сыграешь... Только ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100 подсетей.
- route-map cisco 4500, Lacunacoil, 16:58 , 28-Окт-06 (3)
>Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то
>другое? Если в сетку, то нет, даже маской не сыграешь... Только
>ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100
>подсетей.
тогда это будет сложно... - route-map cisco 4500, ak, 01:11 , 29-Окт-06 (4)
>Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то
>другое? Если в сетку, то нет, даже маской не сыграешь... Только
>ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100
>подсетей.
должно работать..
1. какой суп и софт ?
2. сколько security ace/acl используется вообще? попробуй заменить set ip default next-hop на просто set ip next-hop
- route-map cisco 4500, LeniX, 10:58 , 30-Окт-06 (5)
>>Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то
>>другое? Если в сетку, то нет, даже маской не сыграешь... Только
>>ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100
>>подсетей.
>
>
>должно работать..
>
>1. какой суп и софт ?
>2. сколько security ace/acl используется вообще?
>
>попробуй заменить set ip default next-hop на просто set ip next-hop
1. 12.2 SG (31)
2. Вообще кроме этих правил ничего не используется, записей относительно роутинга мапа на default next-hop планируется использовать около 1500.
set ip next-hop не подходит, локальные сетки тогда тоже будут идти на этот next-hop, что в нашем случае недопустимо, шлюз будет заваливаться. - route-map cisco 4500, LeniX, 11:00 , 30-Окт-06 (6)
>>Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то
>>другое? Если в сетку, то нет, даже маской не сыграешь... Только
>>ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100
>>подсетей.
>
>
>должно работать..
>
>1. какой суп и софт ?
>2. сколько security ace/acl используется вообще?
>
>попробуй заменить set ip default next-hop на просто set ip next-hop
суп 4515
|
Версия для распечатки
