Перейти к содержимому
Калькуляторы

Маршрут по умолчанию для src ip

Добрый вечер, интересует как можно на cisco указать маршрут по умолчанию для одного SRC (моего) айпи, а не для всех.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

 

ip local policy route-map Internet_special

route-map Internet_special

 permit 10 match ip address ip_special

 set ip default next-hop XXX.XXX.XXX.XXX

ip access-list extended ip_special

 permit ip host XXX.XXX.XXX.XXX any

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip local policy route-map Internet_special

route-map Internet_special

 permit 10 match ip address ip_special

 set ip default next-hop XXX.XXX.XXX.XXX

ip access-list extended ip_special

 permit ip host YYY.YYY.YYY.YYY any

 

Так вернее, где YYY.YYY.YYY.YYY хост который вы хотите завернуть на другой гейтвей в примере XXX.XXX.XXX.XXX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 11/22/2021 at 1:24 AM, OlegBogamov said:

Добрый вечер, интересует как можно на cisco указать маршрут по умолчанию для одного SRC (моего) айпи, а не для всех.

Это полиси-роутинг, грузит проц.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.11.2021 в 09:43, ShyLion сказал:

Это полиси-роутинг, грузит проц.

Всегда был интересен этот вопрос. Это на всех железках так или зависит от внутренней архитектуры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Установившееся соединение ляжет в conntrack/FIB и грузить проц будет не больше остальных. Сложности будут при каком-нибудь UDP-флуде, но они в любом случае неприятны, с полисингом или без.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 25.11.2021 в 10:30, VolanD666 сказал:

Это на всех железках так или зависит от внутренней архитектуры?

"Все" железки от циско делятся на три большие группы:

 

1. С программным форвардингом. Это все G1 и G2 маршрутизаторы, ASA, etc. По сути это комп с сетевушками. Пакеты из порта в порт перекладывает процессор. Будет там полиси-роут или не будет нагрузка существенно не изменится. Всё равно всю работу делает CPU и разница будет на единицы-десяток процентов.

 

2. С аппаратным форвардингом. Это коммутаторы. В них пакеты из порта в порт перекладывает не процессор, а специализированная аппаратура (ASIC). Всё, что сумеет сделать аппаратура - будет сделано ей без затрат CPU. Всё, что она не умеет - будет сделано процессором. Тут всё зависит от сочетания желаемого и умеемого "в железе". Например, даже на монстре 4500 есть особенность ACL, при некоторых условиях приводящая к попаданию трафика на CPU.

 

3. Не то и не другое. Это железки с QuantumFlow и его последователями. Например, серия ASR. Там пакеты перекладываются программно, но не CPU, а спец-процессором. Там всё похоже на видеокарту. 100500 относительно простых ядер параллельно делающих одинаковые телодвижения над разными пакетами. Там почти всё фиолетово т.к. slave процессоров дофига и смотреть надо не на загрузку CPU, а на загрузку этого самого "сетевого процессора". Но, его много и полисинг не способен заметно повлиять на его загрузку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 26.11.2021 в 11:58, sol сказал:

"Все" железки от циско делятся на три большие группы:

 

1. С программным форвардингом. Это все G1 и G2 маршрутизаторы, ASA, etc. По сути это комп с сетевушками. Пакеты из порта в порт перекладывает процессор. Будет там полиси-роут или не будет нагрузка существенно не изменится. Всё равно всю работу делает CPU и разница будет на единицы-десяток процентов.

 

2. С аппаратным форвардингом. Это коммутаторы. В них пакеты из порта в порт перекладывает не процессор, а специализированная аппаратура (ASIC). Всё, что сумеет сделать аппаратура - будет сделано ей без затрат CPU. Всё, что она не умеет - будет сделано процессором. Тут всё зависит от сочетания желаемого и умеемого "в железе". Например, даже на монстре 4500 есть особенность ACL, при некоторых условиях приводящая к попаданию трафика на CPU.

 

3. Не то и не другое. Это железки с QuantumFlow и его последователями. Например, серия ASR. Там пакеты перекладываются программно, но не CPU, а спец-процессором. Там всё похоже на видеокарту. 100500 относительно простых ядер параллельно делающих одинаковые телодвижения над разными пакетами. Там почти всё фиолетово т.к. slave процессоров дофига и смотреть надо не на загрузку CPU, а на загрузку этого самого "сетевого процессора". Но, его много и полисинг не способен заметно повлиять на его загрузку.

В дополнение к сказанному скажу что даже на старых каталистах 3560 при правильном распределении ткам ощутимой нагрузки не было 

 

опыт старый лет десять прошло

 

 

если клиент на отдельном интерфейсе может vrf сгородить? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На G1 и G2 цисках есть механизм CEF, который таки Железный и вовсе не процом там перекладывается. Попробуйте его отключить и сразу поймете.

Так вот на них, если полиси роутинг нужно только для дефолта, то CEF перестает работать на этом интерфейсе и роутер превращается в тыкву при мало-мальском траффике.

При этом, если полиси просто set, а не set default, то он работает, но это далеко не всегда нужно, ибо безусловно перекладывает пакеты в другой интерфейс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 01.12.2021 в 15:22, ShyLion сказал:

На G1 и G2 цисках есть механизм CEF, который таки Железный и вовсе не процом там перекладывается. Попробуйте его отключить и сразу поймете.

Нетъ. В роутерах отсутствует аппаратура для этого. Иначе, сообщите каков размер FIB для, скажем, 2801 модели.

 

Смысл CEF в том, что все действия делаются в пределах одного IRQ и сводятся к просмотру пяти таблиц. По одной на каждый октет IP адреса и таблицы смежности. Но таблицы надо строить заранее.

Если его выключить, то пакеты будут перекладываться или Fast Switching, или Process Switching, оба родом из 80-х годов и всё будет грустно. Смысл первого в кешировании действий после первого пакета flow и повторении стереотипных действий из кеша для последующих пакетов flow. Смысл второго - полноценная процедура маршрутизации "как до CEF". Нужно, например, при сжатии payload или ответе на ping.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ЕМНИП в Катаклизмах 3000 и выше серий PBR поддерживался аппаратно для match ip address/set ip (default) next-hop. Вот как раз для Fast-Switching надо было no ip route-cache cef вводить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 01.12.2021 в 18:59, jffulcrum сказал:

Катаклизмах 3000

Ну, у меня есть в коллекции 3100 каталист. Ещё от Kalpana.

Но что-то я там не то, чтобы PBR, я там даже qot1q не припомню )))

http://www.linetek.ru/catalog/1254/32054/#prettyPhoto

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 01.12.2021 в 19:17, jffulcrum сказал:

10Base-T

И AUI один имеется.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 12/1/2021 at 8:52 PM, sol said:

Нетъ. В роутерах отсутствует аппаратура для этого. Иначе, сообщите каков размер FIB для, скажем, 2801 модели.

 

Смысл CEF в том, что все действия делаются в пределах одного IRQ и сводятся к просмотру пяти таблиц. По одной на каждый октет IP адреса и таблицы смежности. Но таблицы надо строить заранее.

Если его выключить, то пакеты будут перекладываться или Fast Switching, или Process Switching, оба родом из 80-х годов и всё будет грустно. Смысл первого в кешировании действий после первого пакета flow и повторении стереотипных действий из кеша для последующих пакетов flow. Смысл второго - полноценная процедура маршрутизации "как до CEF". Нужно, например, при сжатии payload или ответе на ping.

 

 

Тем не менее оно не 100% софтовое. А при set default становится 100% софтовым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 02.12.2021 в 11:54, ShyLion сказал:

Тем не менее оно не 100% софтовое.

Ну хорошо. В чём именно заключается этот аппаратный offload?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 12/2/2021 at 2:10 PM, sol said:

Ну хорошо. В чём именно заключается этот аппаратный offload?

 

Зачем этот спор по терминам????

Моя мысль была проста,  set default превращает циску G1 и G2 в тыкву. Вы не согласны?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 02.12.2021 в 12:57, ShyLion сказал:

set default превращает циску G1 и G2 в тыкву. Вы не согласны?

Не согласен.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас на 892 для разнообразия всему трафику (подсети) сделал default GW через local policy. Отличий пока не заметил, даже во время speedtest с клиента. Вечером попробую на 4431. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 12/2/2021 at 6:05 PM, jffulcrum said:

Сейчас на 892 для разнообразия всему трафику (подсети) сделал default GW через local policy. Отличий пока не заметил, даже во время speedtest с клиента. Вечером попробую на 4431. 

Конфиг покажите целиком, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще дело было очень давно, может с тех пор что-то поправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

В 03.12.2021 в 14:02, ShyLion сказал:

Конфиг покажите целиком, пожалуйста.

Банальщина - NAT и VPN для небольшого офиса

Copy.cfg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 12/3/2021 at 4:29 PM, jffulcrum said:

 

Банальщина - NAT и VPN для небольшого офиса

Copy.cfg 6.04 kB · 1 download

route-map tstcef
 match ip address 103
 set ip next-hop {cut}

это не set default и применена она к ip local а  не к проходящему трафику

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.