Jump to content

c3750 ip source guard на 1000 юзеров.

Master239
 Share

Recommended Posts

PommeFritz

PommeFritz

Posted
Posted
сабж. оно и должно тормозить ? или я тото не так делаю ?

сколько юзеров source ip guard может потянуть на 37 каталисте ?

"тормозит" это как?

юзеров думаю столько сколько вмещает его DHCP Snooping Binding Database, 8192

а вообще, неплохо бы было увидеть show run для начала

Nailer

Nailer

Posted
Posted
сабж. оно и должно тормозить ? или я тото не так делаю ?

сколько юзеров source ip guard может потянуть на 37 каталисте ?

Вообще ip source guard - фича для уровня доступа, и применять ее имеет смысл именно на акцссных портах, к которым подключен один клиент.

 

В ядре, конечно, тоже можно, но смысла особого нет..

Master239

Master239

Posted
  • Author
Posted
Из доков: http://www.cisco.com/univercd/cc/td/doc/pr...2.htm#wp1284618

IP Source Guard Configuration Guidelines

....

•If the number of ternary content addressable memory (TCAM) entries exceeds the maximum available, the CPU usage increases.

именно по этому и спрашаваю ;)

собственно когда наступает тот самый "entries exceeds" у кого какие значения получились ?

Master239

Master239

Posted
  • Author
Posted
Вообще ip source guard - фича для уровня доступа, и применять ее имеет смысл именно на акцссных портах, к которым подключен один клиент.

 

В ядре, конечно, тоже можно, но смысла особого нет..

вы что предлагаете 37 каталисты на ацес ставить ? ГЫ.

как раз на акцесе смысла в ipsg нет.

Nailer

Nailer

Posted
Posted

Вообще ip source guard - фича для уровня доступа, и применять ее имеет смысл именно на акцссных портах, к которым подключен один клиент.

 

В ядре, конечно, тоже можно, но смысла особого нет..

вы что предлагаете 37 каталисты на ацес ставить ? ГЫ.

как раз на акцесе смысла в ipsg нет.

Я их туда регулярно и ставлю, я же жадный интегратор-освоятель бюджетов :-)

 

Вот именно на акцессе и работают фичи DHCP Snooping, IP Source Guard, Dynamic ARP inpection. Почитайте Cisco SAFE.

UglyAdmin

UglyAdmin

Posted
Posted (edited)
именно по этому и спрашаваю ;)

собственно когда наступает тот самый "entries exceeds" у кого какие значения получились ?

А банально посчитать?

На юзера заводится 2 строчки.

К сожалению, не нашел размер TCAM у 3750.

вы что предлагаете 37 каталисты на ацес ставить ? ГЫ.

как раз на акцесе смысла в ipsg нет.

Опять доки:
If you are enabling IP source guard on a trunk interface with multiple VLANs and DHCP snooping is enabled on all the VLANs, the source IP address filter is applied on all the VLANs.
Как раз поэтому ipsg не имеет смысла где-либо, кроме доступа. Edited by UglyAdmin
Nailer

Nailer

Posted
Posted

именно по этому и спрашаваю ;)

собственно когда наступает тот самый "entries exceeds" у кого какие значения получились ?

А банально посчитать?

На юзера заводится 2 строчки.

К сожалению, не нашел размер TCAM у 3750.

вы что предлагаете 37 каталисты на ацес ставить ? ГЫ.

как раз на акцесе смысла в ipsg нет.

Опять доки:
If you are enabling IP source guard on a trunk interface with multiple VLANs and DHCP snooping is enabled on all the VLANs, the source IP address filter is applied on all the VLANs.
Как раз поэтому ipsg не имеет смысла где-либо, кроме доступа.

Размер областей меняется в зависимости от sdm template, суммарно в основном 12000, в некоторых 20000 записей (если не ошибаюсь). Вот из какой области пойдут использоваться записи - вопрос, хотя скорее всего из области ACL. Нет под руками 3750, но по памяти то ли 1000 записей, то ли 500, зависит от темплейта.

olebedev

olebedev

Posted
Posted

Выполните sh platform tcam utilization и хотя бы примерно оцените на сколько они у Вас заняты (если не такой команды - обновляйте IOS)

Master239

Master239

Posted
  • Author
Posted

хотел привязать MAC к IP с помощью этой штуки. но похоже не судьба... слишком мало юзеров оно потянет

что на 37 можно сделать для привязки MAC к IP ?

 

PS не надо говорить про то что сегодня это не модно ;) задача стоит именно такая...

Nailer

Nailer

Posted
Posted
хотел привязать MAC к IP с помощью этой штуки. но похоже не судьба... слишком мало юзеров оно потянет

что на 37 можно сделать для привязки MAC к IP ?

 

PS не надо говорить про то что сегодня это не модно ;) задача стоит именно такая...

Арпами привязать :-)

Nailer

Nailer

Posted
Posted
да но как тогда отключать локалку ?

Да никак, ровно как и в случае применения этой фичи не на акцессе, а в ядре.

Поэтому я и говорю, что фича чисто аксессная.

Master239

Master239

Posted
  • Author
Posted

насколько я понимаю с ipsg проблема только в том если юзер поменяет себе IP и MAC на правельную пару. любой другой трафик оно не пропустит.

 

так что на 37 кошке нет возможности привязать MAC к IP да так чтобы у других(кого нет в этих привязках) ничего не работало ?

Nailer

Nailer

Posted
Posted (edited)
насколько я понимаю с ipsg проблема только в том если юзер поменяет себе IP и MAC на правельную пару. любой другой трафик оно не пропустит.

 

так что на 37 кошке нет возможности привязать MAC к IP да так чтобы у других(кого нет в этих привязках) ничего не работало ?

Почитайте внимательно, как оно работает.

http://www.cisco.com/en/US/products/hw/swi...00807743c6.html

 

Юзер обязан получить адрес по DHCP, или связка mac-ip-port-vlan должна быть настроена руками (это костыль, так лучше не делать).

Если из порта летят пакеты с source, не равным тому, что в базе, то такие пакеты идет лесом.

Вариантов поэтому немного - либо с правильным ip, либо никак.

 

В случае, если адрес получается по DHCP (нормальный вариант) mac вообще ни при чем. В этом-то и есть вся соль функции.

Edited by Nailer
Master239

Master239

Posted
  • Author
Posted

ну да именно так я это и понимаю.

если бы оно при этом позволяло хотябы 1000 юзеров обрабатывать

это и было бы привязка мак-ип + АСЛ для всех остальных.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.