Перейти к содержимому
Калькуляторы

sup 720 ( cisco 6500, cisco 7600 )

имеется сабж.

на нем есть ACL в нем те кто заплатил за интернет. как следствие количество записей там давно перевалило за 10 000, все отлично работает но когда нужно добавить ещё одну новую запись то сабж начинает чето там пересчитывать и задумывается при этом проц занят на 100% в течении примерно 8ми минут. что довольно напрягает так как новые абоненты появляются чаще чем раз в 8 минут и получается что днем у кошки почти все время 100% загружен проц.

 

как быть ? что читать ?

может это принципиально не правельный подход ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

0_0

 

может стоит обрубать их ниже? допустим вырубать на аксесе порты или в гостевой влан засовывать?

Изменено пользователем ingress

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ниже не получится...

предыжие железки: 3750 на которой такого не сделать.

на порту: потому что много не управляемого оборудования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

имеется сабж.

на нем есть ACL в нем те кто заплатил за интернет. как следствие количество записей там давно перевалило за 10 000, все отлично работает но когда нужно добавить ещё одну новую запись то сабж начинает чето там пересчитывать и задумывается при этом проц занят на 100% в течении примерно 8ми минут. что довольно напрягает так как новые абоненты появляются чаще чем раз в 8 минут и получается что днем у кошки почти все время 100% загружен проц.

 

как быть ? что читать ?

может это принципиально не правельный подход ?

Скорее всего суп занят компиляцией ACL-ей, есть у 6500 такая фича. Курите доки на эту тему + оптимизация загрузки TCAM (возможно, ее стоит отключить).

 

Будет время - я сам гляну, интересно, но пока не разбирался в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ACL в нем те кто заплатил за интернет.

Может быть лучше сделать наборот - ACL, с теми, кто _НЕ_ "заплатил за интернет"? В целях оптимизации количества записей - таких-то уж точно будет меньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может быть лучше сделать наборот - ACL, с теми, кто _НЕ_ "заплатил за интернет"? В целях оптимизации количества записей - таких-то уж точно будет меньше.
временами их 50% так что не вариант...

 

+ это как то идейно не правельно я считаю что последняя строчка фраервола должна быть "deny ip any any" ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скорее всего суп занят компиляцией ACL-ей, есть у 6500 такая фича. Курите доки на эту тему + оптимизация загрузки TCAM (возможно, ее стоит отключить).
я тоже так считаю но никаких настроек на эту тему я не нашол. + интересно что 720 суп начинает просчитавать ACL после любого изменения! а sup32 только после выхода из режима конфигурирования ACL - то есть применяет все сразу, а не по очереди каждое изменение.

интересно это их принципиальное отличие или разные начальные установки какой то мега хитрой опции??

 

 

 

ЗЫ я вообще не понимаю почему 720 и 32 супы настолько разные в мелачах. там даже команды многие отличаются как можно было такое допустить в одной платформе ? загадка...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если это qos ACL / qos tcam

 

то так и есть.

известная фича-бага.

даже в tac чего-то открыто на эту тему.

 

если это security acl / security tcam - то больше минуты максимум двух это не должно занимать..

 

к какой фиче acl прикручены?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это не qos это security.

просто банальный фильтр на физическом интерфейсе.

а там получается чем больше строчек в ACL тем дольше оно его пережовывает... при бальше 10 000 это уже явно не 1-2 минуты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может при таком количестве попробовать саггрегировать в префиксы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используйте

ip access-list extended 12345

1 permit ip host x.x.x.x1 any

2 permit ip host x.x.x.x2 any

...

10 permit ip host x.x.x.x10 any

.....

Для запрещения доступа:

ip access-list extended 12345

no 1

no 10

....

Т.е. у каждого клиента должна быть определённая строчка в ACL и передавайте только изменения, это несложно сделать.

Но вообще решение кривое, упрётесь в TCAM рано или поздно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нормальное это решение.

 

в какой tcam он упрется? в 32k записей?

так больше на 720 терминировать - все равно самоубийство.

 

.е. у каждого клиента должна быть определённая строчка в ACL и передавайте только изменения, это несложно сделать.

ага. особенно определенная она будет после перезагрузки коробки.

все он правильно делает. это ему не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А таблицей маршрутизации нельзя обойтись?

Кто не платил - того в Null0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

типа можно вообщем..

 

но не очень кашерно, если клиенты - connected хосты

не смогут посетить персональный кабинет aka страницу статистики ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ага. особенно определенная она будет после перезагрузки коробки.
Да, после перезагрузки придётся синхронизировать. Но снизить время обработки должно, т.к. компилится будут только изменения.

 

Я б вообще предложил "вилан на юзера" сделать, самый кошерный вариант.

Соответственно имеем интерфейс на юзера с персональным ACL и service-policy. Правда, с неуправляемым железом облом, но это как-то совсем прикольный дизайн сети, если в центре шеститонник с SUP720, а на периферии китайские мыльницы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну я бы посадил сервер статистики и прочие там днсы в клиентские вланы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но снизить время обработки должно, т.к. компилится будут только изменения.

нет.

никакой разницы по сравнению с

 

ip access-list ext ABC

permit ip host x.x.x.x any

 

ip access-list ext ABC

no permit ip host x.x.x.x any

 

не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С этим не будет, а с

no ip access-list ext ABC

ip access-list ext ABC

permit ip host x.x.x.x1 any

permit ip host x.x.x.x2 any

permit ip host x.x.x.x3 any

permit ip host x.x.x.x4 any

permit ip host x.x.x.x5 any

будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так автор вроде не упоминал, что он скидывает весь лист целиком, а затем целиком его составляет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

имеется сабж.

....

были в точно такой же ситуации (только на sup2).

попробуйте разделить ACEs по нескольким ACLs на разные интерфейсы.

почитать можно "Understanding ACL Merge Algorithms and ACL Hardware Resources on Cisco Catalyst 6500 Switches" - http://www.cisco.com/warp/public/cc/pd/si/...ch/65acl_wp.pdf

Изменено пользователем dmnp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.