alexwin Posted January 19, 2018 · Report post ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX. Use SW TCAM instead". Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted January 19, 2018 · Report post уплотнять лист. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted January 19, 2018 · Report post 44 минуты назад, zhenya` сказал: уплотнять лист. А сколько предел вообще записей для 1-ого ACL на этой платформе,не подскажите? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
drovorub Posted January 20, 2018 · Report post использование TCAM смотрите так sh platform hardware qfp active tcam resource-manager usage и погуглите на предмет ACL template. если у вас абонентский концентратор, то одинаковые ACL группируются в template и едят меньше tcam Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted January 20, 2018 · Report post On 1/19/2018 at 8:03 AM, alexwin said: ASR-1000X (asr1001x-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bi). Не работает акцесс-лист на out. В логах "TCAM limit exceeded: HW TCAM cannot hold Class group acl-cg:XX. Use SW TCAM instead". Я так понимаю,уперлись в предел размеров акцесс-листа? Как лечить? Уплотнять лист,апгрейдить софт или что-то можно подтюнить? А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted January 21, 2018 (edited) · Report post 23 часа назад, ShyLion сказал: А озвучте, пожалуйста, цифры, при которых вы уперлись в лимит. И общий принцип конфигурации роутера какой. Общий принцип конфигурации роутера,батенька,такой,что мопед не мой его владелец фильтрует на нем список РКН. Сейчас в ACL вижу 70К записей,которые загружаются туда из списка. Edited January 21, 2018 by alexwin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted January 21, 2018 · Report post фильтр по ip всего реестра? Жесть... Фильтровать по ip в 2к18... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
v_r Posted January 21, 2018 · Report post В 19.01.2018 в 05:03, alexwin сказал: Как лечить? Можно поставить цепочкой второй ASR на котором настраивать в ACL записи не помещающиеся на первый ASR :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted January 21, 2018 · Report post А зачем это в ACL? Нарисуйте маршруты в Null, например. Маршрутов-то он сильно больше может. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted January 22, 2018 · Report post 6 часов назад, myth сказал: фильтр по ip всего реестра? Жесть... Фильтровать по ip в 2к18... Я же говорю,мопед не мой. Ну вот так они фильтруют. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted January 22, 2018 · Report post У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted January 22, 2018 · Report post 1 час назад, ShyLion сказал: У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю. Сколько записей? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted January 22, 2018 · Report post В даташите на RP1 заявлено до миллиона маршрутов. Очень надеюсь, что реестр до таких размеров не вырастет никогда. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted January 22, 2018 (edited) · Report post 2 часа назад, UglyAdmin сказал: В даташите на RP1 заявлено до миллиона маршрутов. Очень надеюсь, что реестр до таких размеров не вырастет никогда. Тогда хватит :)). 5 часов назад, ShyLion сказал: У меня тоже на АСР айпишники фильтруются, добавлением статика в null, как уже писали выше. Переделать скрпит, который это реализует делов на 15 минут, я думаю. Переделать может и 15 минут,но нужно учесть следующие моменты: 1) как убрать устаревшие записи (записи в реестре добавляются и убавляются). 2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю. С acl проще,его можно вынести через no и пересоздать. А вы кстати как заливаете записи в ASR? Edited January 22, 2018 by alexwin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted January 22, 2018 · Report post Абоненты за такое решение должны сожрать с гавном. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted January 23, 2018 · Report post 18 hours ago, alexwin said: Тогда хватит :)). Переделать может и 15 минут,но нужно учесть следующие моменты: 1) как убрать устаревшие записи (записи в реестре добавляются и убавляются). 2) как отследить устаревшие записи,если произошел сбой обновления,и обнаружили где-то через неделю. С acl проще,его можно вынести через no и пересоздать. А вы кстати как заливаете записи в ASR? Скрипт на входе имеет список актуальных сетей для блокировки. Делает через ssh "show run | inc ^ip route .* name zapret" Создает файл на TFTP: Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret". Далее "copy tftp://path/blacklist running-config" Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения. Скрипт на перловке, использует Net::SSH2. Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted January 23, 2018 · Report post 34 минуты назад, ShyLion сказал: Скрипт на входе имеет список актуальных сетей для блокировки. Делает через ssh "show run | inc ^ip route .* name zapret" Создает файл на TFTP: Для записей, которых нет в новом списке пишет в файл "no ip route ...", для записей, которых нет в старом конфиге пишет "ip route .... name zapret". Далее "copy tftp://path/blacklist running-config" Те записи, что остались - остаются в конфиге, и при заливке изменений никак не трогаются и продолжают работать. Т.е. в заливаемом файле блеклиста только изменения. Скрипт на перловке, использует Net::SSH2. Еще грамотнее сделать на кваге блекхол и по OSPF подливать маршруты в кису. Единственно сервер должен быть долгоиграющим а не первый попавшийся не нужный никому писюк с дерьмовентиляторами. Спс,я примерно так и думал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...