Master239 Опубликовано 19 сентября, 2007 · Жалоба имеется сабж. на нем есть ACL в нем те кто заплатил за интернет. как следствие количество записей там давно перевалило за 10 000, все отлично работает но когда нужно добавить ещё одну новую запись то сабж начинает чето там пересчитывать и задумывается при этом проц занят на 100% в течении примерно 8ми минут. что довольно напрягает так как новые абоненты появляются чаще чем раз в 8 минут и получается что днем у кошки почти все время 100% загружен проц. как быть ? что читать ? может это принципиально не правельный подход ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 19 сентября, 2007 (изменено) · Жалоба 0_0 может стоит обрубать их ниже? допустим вырубать на аксесе порты или в гостевой влан засовывать? Изменено 19 сентября, 2007 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 19 сентября, 2007 · Жалоба ниже не получится... предыжие железки: 3750 на которой такого не сделать. на порту: потому что много не управляемого оборудования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 19 сентября, 2007 · Жалоба имеется сабж.на нем есть ACL в нем те кто заплатил за интернет. как следствие количество записей там давно перевалило за 10 000, все отлично работает но когда нужно добавить ещё одну новую запись то сабж начинает чето там пересчитывать и задумывается при этом проц занят на 100% в течении примерно 8ми минут. что довольно напрягает так как новые абоненты появляются чаще чем раз в 8 минут и получается что днем у кошки почти все время 100% загружен проц. как быть ? что читать ? может это принципиально не правельный подход ? Скорее всего суп занят компиляцией ACL-ей, есть у 6500 такая фича. Курите доки на эту тему + оптимизация загрузки TCAM (возможно, ее стоит отключить). Будет время - я сам гляну, интересно, но пока не разбирался в этом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 19 сентября, 2007 · Жалоба ACL в нем те кто заплатил за интернет. Может быть лучше сделать наборот - ACL, с теми, кто _НЕ_ "заплатил за интернет"? В целях оптимизации количества записей - таких-то уж точно будет меньше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 19 сентября, 2007 · Жалоба Может быть лучше сделать наборот - ACL, с теми, кто _НЕ_ "заплатил за интернет"? В целях оптимизации количества записей - таких-то уж точно будет меньше.временами их 50% так что не вариант... + это как то идейно не правельно я считаю что последняя строчка фраервола должна быть "deny ip any any" ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 19 сентября, 2007 · Жалоба Скорее всего суп занят компиляцией ACL-ей, есть у 6500 такая фича. Курите доки на эту тему + оптимизация загрузки TCAM (возможно, ее стоит отключить).я тоже так считаю но никаких настроек на эту тему я не нашол. + интересно что 720 суп начинает просчитавать ACL после любого изменения! а sup32 только после выхода из режима конфигурирования ACL - то есть применяет все сразу, а не по очереди каждое изменение.интересно это их принципиальное отличие или разные начальные установки какой то мега хитрой опции?? ЗЫ я вообще не понимаю почему 720 и 32 супы настолько разные в мелачах. там даже команды многие отличаются как можно было такое допустить в одной платформе ? загадка... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 20 сентября, 2007 · Жалоба если это qos ACL / qos tcam то так и есть. известная фича-бага. даже в tac чего-то открыто на эту тему. если это security acl / security tcam - то больше минуты максимум двух это не должно занимать.. к какой фиче acl прикручены? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Master239 Опубликовано 20 сентября, 2007 · Жалоба это не qos это security. просто банальный фильтр на физическом интерфейсе. а там получается чем больше строчек в ACL тем дольше оно его пережовывает... при бальше 10 000 это уже явно не 1-2 минуты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 20 сентября, 2007 · Жалоба может при таком количестве попробовать саггрегировать в префиксы :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 21 сентября, 2007 · Жалоба Используйте ip access-list extended 12345 1 permit ip host x.x.x.x1 any 2 permit ip host x.x.x.x2 any ... 10 permit ip host x.x.x.x10 any ..... Для запрещения доступа: ip access-list extended 12345 no 1 no 10 .... Т.е. у каждого клиента должна быть определённая строчка в ACL и передавайте только изменения, это несложно сделать. Но вообще решение кривое, упрётесь в TCAM рано или поздно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 21 сентября, 2007 · Жалоба нормальное это решение. в какой tcam он упрется? в 32k записей? так больше на 720 терминировать - все равно самоубийство. .е. у каждого клиента должна быть определённая строчка в ACL и передавайте только изменения, это несложно сделать. ага. особенно определенная она будет после перезагрузки коробки. все он правильно делает. это ему не поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
random7 Опубликовано 21 сентября, 2007 · Жалоба А таблицей маршрутизации нельзя обойтись? Кто не платил - того в Null0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 21 сентября, 2007 · Жалоба типа можно вообщем.. но не очень кашерно, если клиенты - connected хосты не смогут посетить персональный кабинет aka страницу статистики )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 21 сентября, 2007 · Жалоба ага. особенно определенная она будет после перезагрузки коробки.Да, после перезагрузки придётся синхронизировать. Но снизить время обработки должно, т.к. компилится будут только изменения. Я б вообще предложил "вилан на юзера" сделать, самый кошерный вариант. Соответственно имеем интерфейс на юзера с персональным ACL и service-policy. Правда, с неуправляемым железом облом, но это как-то совсем прикольный дизайн сети, если в центре шеститонник с SUP720, а на периферии китайские мыльницы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
random7 Опубликовано 21 сентября, 2007 · Жалоба ну я бы посадил сервер статистики и прочие там днсы в клиентские вланы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 21 сентября, 2007 · Жалоба Но снизить время обработки должно, т.к. компилится будут только изменения. нет. никакой разницы по сравнению с ip access-list ext ABC permit ip host x.x.x.x any ip access-list ext ABC no permit ip host x.x.x.x any не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 21 сентября, 2007 · Жалоба С этим не будет, а с no ip access-list ext ABC ip access-list ext ABC permit ip host x.x.x.x1 any permit ip host x.x.x.x2 any permit ip host x.x.x.x3 any permit ip host x.x.x.x4 any permit ip host x.x.x.x5 any будет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
short Опубликовано 21 сентября, 2007 · Жалоба так автор вроде не упоминал, что он скидывает весь лист целиком, а затем целиком его составляет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmnp Опубликовано 24 сентября, 2007 (изменено) · Жалоба имеется сабж..... были в точно такой же ситуации (только на sup2).попробуйте разделить ACEs по нескольким ACLs на разные интерфейсы. почитать можно "Understanding ACL Merge Algorithms and ACL Hardware Resources on Cisco Catalyst 6500 Switches" - http://www.cisco.com/warp/public/cc/pd/si/...ch/65acl_wp.pdf Изменено 24 сентября, 2007 пользователем dmnp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...