valka Опубликовано 28 мая, 2008 · Жалоба Люди помогите ! Есть железка: Catalyst 6513 - со следующими модулями: 7 5 Supervisor Engine 720 10GE (Active) VS-S720-10G SAL1207G233 9 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL1207G3BD 7 Policy Feature Card 3 VS-F6K-PFC3CXL SAL11499GB8 1.0 Ok 7 MSFC3 Daughterboard VS-F6K-MSFC3 SAL1206FXFH 1.0 Ok 9 Centralized Forwarding Card WS-F6700-CFC SAL1207GETB 4.0 Ok IOS - s72033-adventerprisek9_wan-mz.122-33.SXH.bin Рисую динамический ACl на 2000 записей ! Вешаю на интерфейс и загрузка проца взлетает на 100% по процессу FM Core ! Через время успокаивается ! Но при изменении ACl ( хотя-бы одну запись добавить,удалить ) картина повторяется !!! Что может быть и где копать ??? Заранее огромное спасибо за помощь !!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 28 мая, 2008 · Жалоба копать от смартнета до case'а на сайте циски есть только одно упоминание об этом процессе на этой платформе(7600 тоже самое) открытый кейс с отсутствием воркараунда я догадываюсь зачем вам 2000 динам. ACE на интерфейсе :) т.к. редко кто так делает, кроме русских домушников, соотвественно ситуёвина не описана. имхо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 28 мая, 2008 · Жалоба а как тогда правильно делать :)? инет то включать-выключать то нужно... а вот Сиськовцы это не учли.. я понимаю что включать выключать надо на уровне доступа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 28 мая, 2008 (изменено) · Жалоба у сиськи есть ISG IP Subscriber + соотвествующий софтовый потолок в виде NPE-G2(в полноценном варианте) Изменено 28 мая, 2008 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 30 мая, 2008 · Жалоба а как тогда правильно делать :)?инет то включать-выключать то нужно... а вот Сиськовцы это не учли.. я понимаю что включать выключать надо на уровне доступа... мы делаем проще, создаём роутмап, вешаем его на интерфейс клиента, в роутмапе стоит всеь трафик в нулл, в акцесс илсте ставим всем кому нада в инет, дени, а последним правилом в акцесс листе стоит пермит всх, всё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 30 мая, 2008 · Жалоба мы делаем проще, создаём роутмап, вешаем его на интерфейс клиента,Так для этого надо иметь интерфейс клиента, а где он на свитче???Там все интерфейсы групповые, отсюда и геморрой. Неверный дизайн, в общем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 30 мая, 2008 · Жалоба мы делаем проще, создаём роутмап, вешаем его на интерфейс клиента,Так для этого надо иметь интерфейс клиента, а где он на свитче???Там все интерфейсы групповые, отсюда и геморрой. Неверный дизайн, в общем. интерфейс есть вилан, отсюда следует вилан на клиента, либо группу клиентов, что мешает сделать так? у мну как раз 6509, почти 6513 тока поменьше.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 31 мая, 2008 · Жалоба Это понятно, но на 65хх не рекомендуется больше 2К L3-интерфейсов заводить. Держать ТАКУЮ ДУРУ для 2К клиентов??? Да пусть даже и для 4К... Когда интерфейс на клиента, то никаких ACL переделывать не надо. Тупо "доступ разрешен"/"доступ запрещен" и меняй их. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 31 мая, 2008 · Жалоба когда интерфейсна клиента то интерфейс ап... даун.. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 31 мая, 2008 · Жалоба Желательно, чтобы юзер понимал, почему у него нет сети и мог самостоятельно решить эту проблему, а не названивать в саппорт. Поэтому соответствующий ACL и route-map, перенаправляющий любые http-запросы на страничку с "оплатите пожалуйста". И доступ к биллингу тоже должен быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 31 мая, 2008 · Жалоба вопросс как решить на этой платформе следующую задачу.. есть два канала один унлим(тонкий), второй помегабайтный, на этих каналах стоят 2ве NAT+SQUID молотилки :).... есть сеть 10.номер района.ххх.ххх авторизации впринципе нет, так как на уровне доступа организуется привязка ип+порт, задача на сиськи на каждого юзверя сделать перенаправление в зависимости от тарифного плана то на унлимный канал то на обычный(сейчас он дефолтный)...? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 31 мая, 2008 · Жалоба вопросс как решить на этой платформе следующую задачу.. есть два канала один унлим(тонкий), второй помегабайтный, на этих каналах стоят 2ве NAT+SQUID молотилки :).... есть сеть 10.номер района.ххх.ххх авторизации впринципе нет, так как на уровне доступа организуется привязка ип+порт, задача на сиськи на каждого юзверя сделать перенаправление в зависимости от тарифного плана то на унлимный канал то на обычный(сейчас он дефолтный)...? ip по dhcp выдаётся?поделить диапазон 10.номер района.ххх.ххх на 2. первый выдавать безлимитчикам, второй помегабайтникам. на сиське половину на одну молотилку, половину на другую ?:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 1 июня, 2008 · Жалоба нет каждый клиент статический ип... если клиенту нужны рельные ип то раздаем по РРТР... если это юрики то там реальные ипы в отдельном vlan.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
valka Опубликовано 2 июня, 2008 · Жалоба Люди помогите ! Есть железка: Catalyst 6513 - со следующими модулями: 7 5 Supervisor Engine 720 10GE (Active) VS-S720-10G SAL1207G233 9 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL1207G3BD 7 Policy Feature Card 3 VS-F6K-PFC3CXL SAL11499GB8 1.0 Ok 7 MSFC3 Daughterboard VS-F6K-MSFC3 SAL1206FXFH 1.0 Ok 9 Centralized Forwarding Card WS-F6700-CFC SAL1207GETB 4.0 Ok IOS - s72033-adventerprisek9_wan-mz.122-33.SXH.bin Рисую динамический ACl на 2000 записей ! Вешаю на интерфейс и загрузка проца взлетает на 100% по процессу FM Core ! Через время успокаивается ! Но при изменении ACl ( хотя-бы одну запись добавить,удалить ) картина повторяется !!! Что может быть и где копать ??? Заранее огромное спасибо за помощь !!! Спасибо ВСЕМ за помощь и советы ! Проблемму решили !!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 2 июня, 2008 · Жалоба вы лучше расскажите как решили проблему... где была ошибка... это будет лучше чем просто "Мы Решили".... PS для этого и форум.. новички-продвинутые найдут-оценят... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 3 июня, 2008 · Жалоба Очевидно, сменили тех. решение. Не в один же интерфейс приходят все 2000 юзеров, вот и ACL разделили и разнесли по интерфейсам... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
valka Опубликовано 3 июня, 2008 · Жалоба вы лучше расскажите как решили проблему... где была ошибка... это будет лучше чем просто "Мы Решили"....PS для этого и форум.. новички-продвинутые найдут-оценят... Циска по поводу проблеммы дает два варианта :) Один застрелиться а второй разнести ( разделить ACL ) ! У нас все пользователи приходят на много VLAN-ов ! Вот собственно и разделили ACL на все VLAN-ы ! Тест показал что примерно 3000 аксесов держит ... На одном VLAN-е одна сетка /24 ! Загрузка FM Core прыгает когда меняется динамический ACL но не сильно и не надолго ! Попробуем плный рабочий вариант отпишу как пронло и какая будет загрузка ! Полный наш ACL в районе 5000 записей ! Посотрим ! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...