Master239 Опубликовано 19 января, 2007 · Жалоба сабж. оно и должно тормозить ? или я тото не так делаю ? сколько юзеров source ip guard может потянуть на 37 каталисте ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PommeFritz Опубликовано 19 января, 2007 · Жалоба сабж. оно и должно тормозить ? или я тото не так делаю ? сколько юзеров source ip guard может потянуть на 37 каталисте ? "тормозит" это как?юзеров думаю столько сколько вмещает его DHCP Snooping Binding Database, 8192 а вообще, неплохо бы было увидеть show run для начала Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 19 января, 2007 · Жалоба Может, ACL'и не умещаются в железо? Всёж-таки 1000 юзеров - это нехило... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 19 января, 2007 · Жалоба сабж. оно и должно тормозить ? или я тото не так делаю ? сколько юзеров source ip guard может потянуть на 37 каталисте ? Вообще ip source guard - фича для уровня доступа, и применять ее имеет смысл именно на акцссных портах, к которым подключен один клиент. В ядре, конечно, тоже можно, но смысла особого нет.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 19 января, 2007 · Жалоба Из доков: http://www.cisco.com/univercd/cc/td/doc/pr...2.htm#wp1284618 IP Source Guard Configuration Guidelines .... •If the number of ternary content addressable memory (TCAM) entries exceeds the maximum available, the CPU usage increases. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 22 января, 2007 · Жалоба Из доков: http://www.cisco.com/univercd/cc/td/doc/pr...2.htm#wp1284618IP Source Guard Configuration Guidelines .... •If the number of ternary content addressable memory (TCAM) entries exceeds the maximum available, the CPU usage increases. именно по этому и спрашаваю ;)собственно когда наступает тот самый "entries exceeds" у кого какие значения получились ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 22 января, 2007 · Жалоба Вообще ip source guard - фича для уровня доступа, и применять ее имеет смысл именно на акцссных портах, к которым подключен один клиент. В ядре, конечно, тоже можно, но смысла особого нет.. вы что предлагаете 37 каталисты на ацес ставить ? ГЫ.как раз на акцесе смысла в ipsg нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 22 января, 2007 · Жалоба Вообще ip source guard - фича для уровня доступа, и применять ее имеет смысл именно на акцссных портах, к которым подключен один клиент. В ядре, конечно, тоже можно, но смысла особого нет.. вы что предлагаете 37 каталисты на ацес ставить ? ГЫ.как раз на акцесе смысла в ipsg нет. Я их туда регулярно и ставлю, я же жадный интегратор-освоятель бюджетов :-) Вот именно на акцессе и работают фичи DHCP Snooping, IP Source Guard, Dynamic ARP inpection. Почитайте Cisco SAFE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 22 января, 2007 (изменено) · Жалоба именно по этому и спрашаваю ;)собственно когда наступает тот самый "entries exceeds" у кого какие значения получились ? А банально посчитать?На юзера заводится 2 строчки. К сожалению, не нашел размер TCAM у 3750. вы что предлагаете 37 каталисты на ацес ставить ? ГЫ.как раз на акцесе смысла в ipsg нет. Опять доки:If you are enabling IP source guard on a trunk interface with multiple VLANs and DHCP snooping is enabled on all the VLANs, the source IP address filter is applied on all the VLANs.Как раз поэтому ipsg не имеет смысла где-либо, кроме доступа. Изменено 22 января, 2007 пользователем UglyAdmin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 22 января, 2007 · Жалоба именно по этому и спрашаваю ;) собственно когда наступает тот самый "entries exceeds" у кого какие значения получились ? А банально посчитать?На юзера заводится 2 строчки. К сожалению, не нашел размер TCAM у 3750. вы что предлагаете 37 каталисты на ацес ставить ? ГЫ.как раз на акцесе смысла в ipsg нет. Опять доки:If you are enabling IP source guard on a trunk interface with multiple VLANs and DHCP snooping is enabled on all the VLANs, the source IP address filter is applied on all the VLANs.Как раз поэтому ipsg не имеет смысла где-либо, кроме доступа. Размер областей меняется в зависимости от sdm template, суммарно в основном 12000, в некоторых 20000 записей (если не ошибаюсь). Вот из какой области пойдут использоваться записи - вопрос, хотя скорее всего из области ACL. Нет под руками 3750, но по памяти то ли 1000 записей, то ли 500, зависит от темплейта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 22 января, 2007 · Жалоба Выполните sh platform tcam utilization и хотя бы примерно оцените на сколько они у Вас заняты (если не такой команды - обновляйте IOS) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PommeFritz Опубликовано 22 января, 2007 · Жалоба http://www.cisco.com/en/US/products/hw/swi....html#wp1065283 около 1000 аклей Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 22 января, 2007 · Жалоба хотел привязать MAC к IP с помощью этой штуки. но похоже не судьба... слишком мало юзеров оно потянет что на 37 можно сделать для привязки MAC к IP ? PS не надо говорить про то что сегодня это не модно ;) задача стоит именно такая... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 23 января, 2007 · Жалоба хотел привязать MAC к IP с помощью этой штуки. но похоже не судьба... слишком мало юзеров оно потянетчто на 37 можно сделать для привязки MAC к IP ? PS не надо говорить про то что сегодня это не модно ;) задача стоит именно такая... Арпами привязать :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 23 января, 2007 · Жалоба да но как тогда отключать локалку ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 23 января, 2007 · Жалоба да но как тогда отключать локалку ? Да никак, ровно как и в случае применения этой фичи не на акцессе, а в ядре. Поэтому я и говорю, что фича чисто аксессная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 23 января, 2007 · Жалоба насколько я понимаю с ipsg проблема только в том если юзер поменяет себе IP и MAC на правельную пару. любой другой трафик оно не пропустит. так что на 37 кошке нет возможности привязать MAC к IP да так чтобы у других(кого нет в этих привязках) ничего не работало ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 23 января, 2007 (изменено) · Жалоба насколько я понимаю с ipsg проблема только в том если юзер поменяет себе IP и MAC на правельную пару. любой другой трафик оно не пропустит. так что на 37 кошке нет возможности привязать MAC к IP да так чтобы у других(кого нет в этих привязках) ничего не работало ? Почитайте внимательно, как оно работает. http://www.cisco.com/en/US/products/hw/swi...00807743c6.html Юзер обязан получить адрес по DHCP, или связка mac-ip-port-vlan должна быть настроена руками (это костыль, так лучше не делать). Если из порта летят пакеты с source, не равным тому, что в базе, то такие пакеты идет лесом. Вариантов поэтому немного - либо с правильным ip, либо никак. В случае, если адрес получается по DHCP (нормальный вариант) mac вообще ни при чем. В этом-то и есть вся соль функции. Изменено 23 января, 2007 пользователем Nailer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 24 января, 2007 · Жалоба ну да именно так я это и понимаю. если бы оно при этом позволяло хотябы 1000 юзеров обрабатывать это и было бы привязка мак-ип + АСЛ для всех остальных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 января, 2007 · Жалоба Привязать IP subnet к VLAN можно на CISCO 4948 - до 1000 CVLAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Agent2006 Опубликовано 24 января, 2007 · Жалоба Привязать IP subnet к VLAN можно на CISCO 4948 - до 1000 CVLAN vIv, а на каталисте 4500 с Sup IV? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...