Jump to content
Калькуляторы

Маршрут по умолчанию для src ip

Добрый вечер, интересует как можно на cisco указать маршрут по умолчанию для одного SRC (моего) айпи, а не для всех.

Share this post


Link to post
Share on other sites

Цитата

 

ip local policy route-map Internet_special

route-map Internet_special

 permit 10 match ip address ip_special

 set ip default next-hop XXX.XXX.XXX.XXX

ip access-list extended ip_special

 permit ip host XXX.XXX.XXX.XXX any

 

 

Share this post


Link to post
Share on other sites

ip local policy route-map Internet_special

route-map Internet_special

 permit 10 match ip address ip_special

 set ip default next-hop XXX.XXX.XXX.XXX

ip access-list extended ip_special

 permit ip host YYY.YYY.YYY.YYY any

 

Так вернее, где YYY.YYY.YYY.YYY хост который вы хотите завернуть на другой гейтвей в примере XXX.XXX.XXX.XXX

Share this post


Link to post
Share on other sites

On 11/22/2021 at 1:24 AM, OlegBogamov said:

Добрый вечер, интересует как можно на cisco указать маршрут по умолчанию для одного SRC (моего) айпи, а не для всех.

Это полиси-роутинг, грузит проц.

Share this post


Link to post
Share on other sites

В 25.11.2021 в 09:43, ShyLion сказал:

Это полиси-роутинг, грузит проц.

Всегда был интересен этот вопрос. Это на всех железках так или зависит от внутренней архитектуры?

Share this post


Link to post
Share on other sites

Установившееся соединение ляжет в conntrack/FIB и грузить проц будет не больше остальных. Сложности будут при каком-нибудь UDP-флуде, но они в любом случае неприятны, с полисингом или без.

Share this post


Link to post
Share on other sites

В 25.11.2021 в 10:30, VolanD666 сказал:

Это на всех железках так или зависит от внутренней архитектуры?

"Все" железки от циско делятся на три большие группы:

 

1. С программным форвардингом. Это все G1 и G2 маршрутизаторы, ASA, etc. По сути это комп с сетевушками. Пакеты из порта в порт перекладывает процессор. Будет там полиси-роут или не будет нагрузка существенно не изменится. Всё равно всю работу делает CPU и разница будет на единицы-десяток процентов.

 

2. С аппаратным форвардингом. Это коммутаторы. В них пакеты из порта в порт перекладывает не процессор, а специализированная аппаратура (ASIC). Всё, что сумеет сделать аппаратура - будет сделано ей без затрат CPU. Всё, что она не умеет - будет сделано процессором. Тут всё зависит от сочетания желаемого и умеемого "в железе". Например, даже на монстре 4500 есть особенность ACL, при некоторых условиях приводящая к попаданию трафика на CPU.

 

3. Не то и не другое. Это железки с QuantumFlow и его последователями. Например, серия ASR. Там пакеты перекладываются программно, но не CPU, а спец-процессором. Там всё похоже на видеокарту. 100500 относительно простых ядер параллельно делающих одинаковые телодвижения над разными пакетами. Там почти всё фиолетово т.к. slave процессоров дофига и смотреть надо не на загрузку CPU, а на загрузку этого самого "сетевого процессора". Но, его много и полисинг не способен заметно повлиять на его загрузку.

Share this post


Link to post
Share on other sites

В 26.11.2021 в 11:58, sol сказал:

"Все" железки от циско делятся на три большие группы:

 

1. С программным форвардингом. Это все G1 и G2 маршрутизаторы, ASA, etc. По сути это комп с сетевушками. Пакеты из порта в порт перекладывает процессор. Будет там полиси-роут или не будет нагрузка существенно не изменится. Всё равно всю работу делает CPU и разница будет на единицы-десяток процентов.

 

2. С аппаратным форвардингом. Это коммутаторы. В них пакеты из порта в порт перекладывает не процессор, а специализированная аппаратура (ASIC). Всё, что сумеет сделать аппаратура - будет сделано ей без затрат CPU. Всё, что она не умеет - будет сделано процессором. Тут всё зависит от сочетания желаемого и умеемого "в железе". Например, даже на монстре 4500 есть особенность ACL, при некоторых условиях приводящая к попаданию трафика на CPU.

 

3. Не то и не другое. Это железки с QuantumFlow и его последователями. Например, серия ASR. Там пакеты перекладываются программно, но не CPU, а спец-процессором. Там всё похоже на видеокарту. 100500 относительно простых ядер параллельно делающих одинаковые телодвижения над разными пакетами. Там почти всё фиолетово т.к. slave процессоров дофига и смотреть надо не на загрузку CPU, а на загрузку этого самого "сетевого процессора". Но, его много и полисинг не способен заметно повлиять на его загрузку.

В дополнение к сказанному скажу что даже на старых каталистах 3560 при правильном распределении ткам ощутимой нагрузки не было 

 

опыт старый лет десять прошло

 

 

если клиент на отдельном интерфейсе может vrf сгородить? 

Share this post


Link to post
Share on other sites

На G1 и G2 цисках есть механизм CEF, который таки Железный и вовсе не процом там перекладывается. Попробуйте его отключить и сразу поймете.

Так вот на них, если полиси роутинг нужно только для дефолта, то CEF перестает работать на этом интерфейсе и роутер превращается в тыкву при мало-мальском траффике.

При этом, если полиси просто set, а не set default, то он работает, но это далеко не всегда нужно, ибо безусловно перекладывает пакеты в другой интерфейс.

Share this post


Link to post
Share on other sites

В 01.12.2021 в 15:22, ShyLion сказал:

На G1 и G2 цисках есть механизм CEF, который таки Железный и вовсе не процом там перекладывается. Попробуйте его отключить и сразу поймете.

Нетъ. В роутерах отсутствует аппаратура для этого. Иначе, сообщите каков размер FIB для, скажем, 2801 модели.

 

Смысл CEF в том, что все действия делаются в пределах одного IRQ и сводятся к просмотру пяти таблиц. По одной на каждый октет IP адреса и таблицы смежности. Но таблицы надо строить заранее.

Если его выключить, то пакеты будут перекладываться или Fast Switching, или Process Switching, оба родом из 80-х годов и всё будет грустно. Смысл первого в кешировании действий после первого пакета flow и повторении стереотипных действий из кеша для последующих пакетов flow. Смысл второго - полноценная процедура маршрутизации "как до CEF". Нужно, например, при сжатии payload или ответе на ping.

 

 

Share this post


Link to post
Share on other sites

ЕМНИП в Катаклизмах 3000 и выше серий PBR поддерживался аппаратно для match ip address/set ip (default) next-hop. Вот как раз для Fast-Switching надо было no ip route-cache cef вводить

Share this post


Link to post
Share on other sites

В 01.12.2021 в 18:59, jffulcrum сказал:

Катаклизмах 3000

Ну, у меня есть в коллекции 3100 каталист. Ещё от Kalpana.

Но что-то я там не то, чтобы PBR, я там даже qot1q не припомню )))

http://www.linetek.ru/catalog/1254/32054/#prettyPhoto

Share this post


Link to post
Share on other sites

On 12/1/2021 at 8:52 PM, sol said:

Нетъ. В роутерах отсутствует аппаратура для этого. Иначе, сообщите каков размер FIB для, скажем, 2801 модели.

 

Смысл CEF в том, что все действия делаются в пределах одного IRQ и сводятся к просмотру пяти таблиц. По одной на каждый октет IP адреса и таблицы смежности. Но таблицы надо строить заранее.

Если его выключить, то пакеты будут перекладываться или Fast Switching, или Process Switching, оба родом из 80-х годов и всё будет грустно. Смысл первого в кешировании действий после первого пакета flow и повторении стереотипных действий из кеша для последующих пакетов flow. Смысл второго - полноценная процедура маршрутизации "как до CEF". Нужно, например, при сжатии payload или ответе на ping.

 

 

Тем не менее оно не 100% софтовое. А при set default становится 100% софтовым.

Share this post


Link to post
Share on other sites

В 02.12.2021 в 11:54, ShyLion сказал:

Тем не менее оно не 100% софтовое.

Ну хорошо. В чём именно заключается этот аппаратный offload?

 

Share this post


Link to post
Share on other sites

On 12/2/2021 at 2:10 PM, sol said:

Ну хорошо. В чём именно заключается этот аппаратный offload?

 

Зачем этот спор по терминам????

Моя мысль была проста,  set default превращает циску G1 и G2 в тыкву. Вы не согласны?

 

Share this post


Link to post
Share on other sites

В 02.12.2021 в 12:57, ShyLion сказал:

set default превращает циску G1 и G2 в тыкву. Вы не согласны?

Не согласен.

 

Share this post


Link to post
Share on other sites

Сейчас на 892 для разнообразия всему трафику (подсети) сделал default GW через local policy. Отличий пока не заметил, даже во время speedtest с клиента. Вечером попробую на 4431. 

Share this post


Link to post
Share on other sites

On 12/2/2021 at 6:05 PM, jffulcrum said:

Сейчас на 892 для разнообразия всему трафику (подсети) сделал default GW через local policy. Отличий пока не заметил, даже во время speedtest с клиента. Вечером попробую на 4431. 

Конфиг покажите целиком, пожалуйста.

Share this post


Link to post
Share on other sites

On 12/3/2021 at 4:29 PM, jffulcrum said:

 

Банальщина - NAT и VPN для небольшого офиса

Copy.cfg 6.04 kB · 1 download

route-map tstcef
 match ip address 103
 set ip next-hop {cut}

это не set default и применена она к ip local а  не к проходящему трафику

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.