Перейти к содержимому
Калькуляторы

6513 и проблемма с динамическим ACL ! 6513 и проблемма с динамическим ACL !

Люди помогите !

Есть железка:

 

Catalyst 6513 - со следующими модулями:

7 5 Supervisor Engine 720 10GE (Active) VS-S720-10G SAL1207G233

9 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL1207G3BD

 

7 Policy Feature Card 3 VS-F6K-PFC3CXL SAL11499GB8 1.0 Ok

7 MSFC3 Daughterboard VS-F6K-MSFC3 SAL1206FXFH 1.0 Ok

9 Centralized Forwarding Card WS-F6700-CFC SAL1207GETB 4.0 Ok

 

IOS - s72033-adventerprisek9_wan-mz.122-33.SXH.bin

 

Рисую динамический ACl на 2000 записей ! Вешаю на интерфейс и загрузка проца взлетает

на 100% по процессу FM Core ! Через время успокаивается ! Но при изменении ACl ( хотя-бы одну запись

добавить,удалить ) картина повторяется !!!

 

Что может быть и где копать ???

 

Заранее огромное спасибо за помощь !!!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

копать от смартнета до case'а

 

на сайте циски есть только одно упоминание об этом процессе на этой платформе(7600 тоже самое)

открытый кейс с отсутствием воркараунда

 

я догадываюсь зачем вам 2000 динам. ACE на интерфейсе :)

т.к. редко кто так делает, кроме русских домушников, соотвественно ситуёвина не описана.

 

имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а как тогда правильно делать :)?

инет то включать-выключать то нужно... а вот Сиськовцы это не учли.. я понимаю что включать выключать надо на уровне доступа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у сиськи есть ISG IP Subscriber + соотвествующий софтовый потолок в виде NPE-G2(в полноценном варианте)

Изменено пользователем ingress

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а как тогда правильно делать :)?

инет то включать-выключать то нужно... а вот Сиськовцы это не учли.. я понимаю что включать выключать надо на уровне доступа...

мы делаем проще, создаём роутмап, вешаем его на интерфейс клиента, в роутмапе стоит всеь трафик в нулл, в акцесс илсте ставим всем кому нада в инет, дени, а последним правилом в акцесс листе стоит пермит всх, всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мы делаем проще, создаём роутмап, вешаем его на интерфейс клиента,
Так для этого надо иметь интерфейс клиента, а где он на свитче???

Там все интерфейсы групповые, отсюда и геморрой.

Неверный дизайн, в общем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мы делаем проще, создаём роутмап, вешаем его на интерфейс клиента,
Так для этого надо иметь интерфейс клиента, а где он на свитче???

Там все интерфейсы групповые, отсюда и геморрой.

Неверный дизайн, в общем.

интерфейс есть вилан, отсюда следует вилан на клиента, либо группу клиентов, что мешает сделать так? у мну как раз 6509, почти 6513 тока поменьше....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это понятно, но на 65хх не рекомендуется больше 2К L3-интерфейсов заводить.

Держать ТАКУЮ ДУРУ для 2К клиентов??? Да пусть даже и для 4К...

 

Когда интерфейс на клиента, то никаких ACL переделывать не надо.

Тупо "доступ разрешен"/"доступ запрещен" и меняй их. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

когда интерфейсна клиента то интерфейс ап... даун.. :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Желательно, чтобы юзер понимал, почему у него нет сети и мог самостоятельно решить эту проблему, а не названивать в саппорт.

Поэтому соответствующий ACL и route-map, перенаправляющий любые http-запросы на страничку с "оплатите пожалуйста".

И доступ к биллингу тоже должен быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вопросс как решить на этой платформе следующую задачу.. есть два канала один унлим(тонкий), второй помегабайтный, на этих каналах стоят 2ве NAT+SQUID молотилки :).... есть сеть

10.номер района.ххх.ххх авторизации впринципе нет, так как на уровне доступа организуется привязка ип+порт, задача на сиськи на каждого юзверя сделать перенаправление в зависимости от тарифного плана то на унлимный канал то на обычный(сейчас он дефолтный)...?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вопросс как решить на этой платформе следующую задачу.. есть два канала один унлим(тонкий), второй помегабайтный, на этих каналах стоят 2ве NAT+SQUID молотилки :).... есть сеть

10.номер района.ххх.ххх авторизации впринципе нет, так как на уровне доступа организуется привязка ип+порт, задача на сиськи на каждого юзверя сделать перенаправление в зависимости от тарифного плана то на унлимный канал то на обычный(сейчас он дефолтный)...?

ip по dhcp выдаётся?

поделить диапазон 10.номер района.ххх.ххх на 2. первый выдавать безлимитчикам, второй помегабайтникам. на сиське половину на одну молотилку, половину на другую ?:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет каждый клиент статический ип... если клиенту нужны рельные ип то раздаем по РРТР...

если это юрики то там реальные ипы в отдельном vlan....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Люди помогите !

Есть железка:

 

Catalyst 6513 - со следующими модулями:

7 5 Supervisor Engine 720 10GE (Active) VS-S720-10G SAL1207G233

9 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL1207G3BD

 

7 Policy Feature Card 3 VS-F6K-PFC3CXL SAL11499GB8 1.0 Ok

7 MSFC3 Daughterboard VS-F6K-MSFC3 SAL1206FXFH 1.0 Ok

9 Centralized Forwarding Card WS-F6700-CFC SAL1207GETB 4.0 Ok

 

IOS - s72033-adventerprisek9_wan-mz.122-33.SXH.bin

 

Рисую динамический ACl на 2000 записей ! Вешаю на интерфейс и загрузка проца взлетает

на 100% по процессу FM Core ! Через время успокаивается ! Но при изменении ACl ( хотя-бы одну запись

добавить,удалить ) картина повторяется !!!

 

Что может быть и где копать ???

 

Заранее огромное спасибо за помощь !!!

Спасибо ВСЕМ за помощь и советы ! Проблемму решили !!!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вы лучше расскажите как решили проблему... где была ошибка... это будет лучше чем просто "Мы Решили"....

PS для этого и форум.. новички-продвинутые найдут-оценят...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Очевидно, сменили тех. решение.

Не в один же интерфейс приходят все 2000 юзеров, вот и ACL разделили и разнесли по интерфейсам...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вы лучше расскажите как решили проблему... где была ошибка... это будет лучше чем просто "Мы Решили"....

PS для этого и форум.. новички-продвинутые найдут-оценят...

Циска по поводу проблеммы дает два варианта :)

Один застрелиться а второй разнести ( разделить ACL ) !

 

У нас все пользователи приходят на много VLAN-ов ! Вот собственно и разделили ACL на все VLAN-ы !

Тест показал что примерно 3000 аксесов держит ... На одном VLAN-е одна сетка /24 !

Загрузка FM Core прыгает когда меняется динамический ACL но не сильно и не надолго !

 

Попробуем плный рабочий вариант отпишу как пронло и какая будет загрузка !

Полный наш ACL в районе 5000 записей ! Посотрим ! :)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.