wtyd Posted September 13, 2019 Всем привет. Столкнулся с потенциальной проблемой масштабирования PBR в linux. Обще известное решение выглядит примерно так: пишем ip rule которое матчит, например, сорс ойпи пакета и в качестве экшн направляется в какую-то таблицу маршрутизации посмотреть default gw или что там еще будет. Вроде бы ничего другого кроме таблицы там указать-то и нельзя. Таблиц в ядре очень много (https://serverfault.com/questions/315705/how-many-custom-route-tables-can-i-have-on-linux) но iprouter2 по каким-то причинам имеет доступ только от 0до 255 (реально от 1 до 252), остальные 2^30 недоступны. Предполагаю это пространство зарезервировано под namespace или что-то другое. В общем, надо иметь возможность сделать больше чем 255 ПБР и всё. Вопрос: что можно сделать, если мне понадобится сконфигурировать более 255 политик ? Есть ли другие хорошо поддерживаемые способы делать PBR в линукс ? P.S. Если я правильно помню, то у цыско в роут-мап тоже существует ограничение на 256 записей :-), но это не точно. Типа "если тебе нужно больше, то у тебя неправильный дизайн сети" (с) цыско. Но в данном случае дизайн никогоне интересует, надо чтобы работало и чтобы не было предела в 255 ПБР политик, ну хотя бы на порядок больше хочется :-), 255 это как-то не серьёзно в 2019 году. Share this post Link to post Share on other sites More sharing options...
rm_ Posted September 13, 2019 Quote It seems that the only valid values should be 0-255 plus the names defined in /etc/iproute2/rt_tables А вы ваши таблицы прописали в /etc/iproute2/rt_tables (и ID для них)? Использую у себя автодобавление таблиц туда со случайно генерируемым ID, они получаются очень большими (например 353283, 275972), принимаются без проблем. Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 13, 2019 А зачем столько таблиц то? Share this post Link to post Share on other sites More sharing options...
alibek Posted September 13, 2019 Видимо дизайн «каждому клиенту/сервису по VRF». Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted September 13, 2019 (edited) :) PBR Eто не ликукс!!!! Edited September 13, 2019 by h3ll1 Share this post Link to post Share on other sites More sharing options...
vop Posted September 13, 2019 14 minutes ago, h3ll1 said: :) PBR Eто не ликукс!!!! Вы имеете ввиду, что в линуксе RBR? :) Можно еще раскидать рулесы по namespace'м, в каждом из которых по 256 правил и таблиц. :) Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted September 13, 2019 PBR я с MPLS! Share this post Link to post Share on other sites More sharing options...
wtyd Posted September 14, 2019 20 hours ago, rm_ said: А вы ваши таблицы прописали в /etc/iproute2/rt_tables (и ID для них)? Использую у себя автодобавление таблиц туда со случайно генерируемым ID, они получаются очень большими (например 353283, 275972), принимаются без проблем. Спасибо, вроде бы работает, если в /etc/iproute2/rt_tables прописать тыщу таблиц. По крайней мере добавлять и потом смотреть получилось, дальше пока не тестировал :-). Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted September 18, 2019 В 13.09.2019 в 10:38, alibek сказал: Видимо дизайн «каждому клиенту/сервису по VRF». были б там vrf не было б этих проблем Share this post Link to post Share on other sites More sharing options...
