AxelMAN Опубликовано 13 июня, 2010 (изменено) · Жалоба Добрый день. Прошу помощи в решении следущей задачи !!! Имеем собственную AS, а также 3 внешних аплинка: 1-й нам дает "МИР", вторым подключены к "UA-IX", третим - к городской точке обмена трафиком. Соответственно все это маршрутизируется по BGP, которое запущено на Cisco Catalyst 3750G. Для помещения в ограниченый обьем TCAM-памяти, мир получаем дефолтом, а все остальное - полными таблицами маршрутизации + на каталисте выбран SDM Template - Routing. Стоит задача выделения полученых по BGP маршрутов в отдельные ACL для возможности применения их вместе с ISG и шейперами, для распределения скорости закачки/отдачи зависимо от направления: "UA-IX" и "городской трафик" на более высоких скоростях чем "МИР". На данный момент для "локального трафика" вручную создали ACL (там около 250 префиксов) и уже используем его. Вроди-бы все работает... Но как только зашла речь о создании ACL для UA-IX, сразу же зашли в тупик: -- во-первых максимальное количество ACL entries для такой каталисты составляет, если не ошибаюсь, 1k, а только от UA-IX мы получаем примерно 3.5k префиксов - тоесть не поместиться никак; -- во-вторых вручную создавать такие ACLи уж очень рутинно (даже если использовать для этого какие-то скрипты)... Сразу же грешно не подумать, что Cisco не придумало какие-то универсальные механизмы решения таких задач... Возможно-ли в этом случае как-то использовать ip as-path access-list ??? Или что-то другое... :-| Интересует решение даной проблемы именно на оборудовании Cisco, без применения каких-либо Микротиков (по них темы уже подняты и все расписано как настроить), а вот по циско ничего похожего найти не могу (( Поскольку я пока только "абитуриент" (как меня верно называет nag), я не понимаю еще всех тонкостей организации, настройки и работы сети. Соответственно очень надеюсь что вы поможете мне с этим разобраться и обьяснить, как лучше решить поставленную задачу (при том что задача не новая, и каждый интернет-провайдер с ней стыкался и каким-то образом ее решал). Заранее благодарен за помощь и советы !!! Изменено 13 июня, 2010 пользователем AxelMAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 14 июня, 2010 · Жалоба Описаная задача выходит за рамки 3750. Ведь это всего лиш свич. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 14 июня, 2010 · Жалоба QPPB ? http://www.zakir.org/index.php?/archives/4...P.html#extended Я про это только читал, не делал так ни разу и не знаю, будет ли работать на с3750. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fozz Опубликовано 14 июня, 2010 · Жалоба раскрашивайте на входах трафик, потом в ISG матчите его по раскраскам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 14 июня, 2010 · Жалоба я бы поставил ещё один 3550/3560/3750 до шейперов и локальные BGP завел бы на нём. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AxelMAN Опубликовано 14 июня, 2010 · Жалоба Описаная задача выходит за рамки 3750. Ведь это всего лиш свич.Если это поможет вам как-то помочь мне решить данную задачу, то за каталистой стоит ASR 1002 RP1 ESP5, на котором и терминуются все наши абоненты по PPPoE, AAA связано с собственным биллингом, на котором и разруливается уже доступ к конкретным ресурсам, на конкретных скоростях. Для него то и нужны уже эти ACLи.QPPB ? http://www.zakir.org/index.php?/archives/4...P.html#extended Я про это только читал, не делал так ни разу и не знаю, будет ли работать на с3750. Интересно, спасибо. Сейчас почитаю....раскрашивайте на входах трафик, потом в ISG матчите его по раскраскам.Вы имеете ввиду что-то типа вот этого? Только-что нашел: http://wiki.sirmax.noname.com.ua/index.php/CoA Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AxelMAN Опубликовано 14 июня, 2010 · Жалоба я бы поставил ещё один 3550/3560/3750 до шейперов и локальные BGP завел бы на нём. Ну есть в принципе идея, для тестового решения даной задачи поднять iBGP между 3750 и имеющемся в наличии 7201, на 3750 маркировать трафик, а на 7201 уже его разруливать. Только вот еще до конца нужно понять как это организовать. Читаю... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 14 июня, 2010 · Жалоба AxelMAN, ничего сложного в QPPB нет, главное правильно проставить направления в bgp-policy source/destination ip-qos-map/ip-prec-map :) ну да и придется с бордера на брас протащить маршрутики по iBGPа как их матчить по community as-path acl это уже ваш выбор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonderer Опубликовано 14 июня, 2010 · Жалоба вопрос в связи с этим. QPPB работает per subscriber на ISG напрмиер, если BGP на брасе поднят? или суть советов сводится делать это на каком-то раутере до ISG? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 14 июня, 2010 · Жалоба wonderer, каждому сабскрайберу присваивается какой то профиль из policy-map, что мешает ввести в class-map на соответствие qos-goup id или ip precedence и потом использовать этот class в policy-map? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonderer Опубликовано 14 июня, 2010 · Жалоба VitMain, я не понимаю как эта фича поможет сделать rate-limit на входящем в брас от абонента трафике? с трафиком в сторону абонента - все понятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 14 июня, 2010 · Жалоба wonderer, :) так же как и к абоненту :), только направление выберите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 14 июня, 2010 · Жалоба я бы поставил ещё один 3550/3560/3750 до шейперов и локальные BGP завел бы на нём. Я решил эту задачу vrf-ами.... но зависит от числа маршрутов. Может не хватить TCAM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonderer Опубликовано 15 июня, 2010 · Жалоба VitMain, итригующе... :) Т.е. команда bgp-policy destination может быть включена для virtual-template интерфейса? У вас реально работает? Я спрашиваю потому, что нигде не встречал такого конфига в гугле... везде bgp-policy включается на обычных L3 интерфейсах... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 15 июня, 2010 · Жалоба wonderer, есть небольшие нюансы связанные с работой QoS на разных железках. На ESR10k в service-policy input не отрабатывает match qos-group id, на 7206 7201 7301 все нормально работает -- тестил тупо пингом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fozz Опубликовано 15 июня, 2010 · Жалоба Вижу типа так: Бордер: ! policy-map UPLINK class class-default set dscp cs1 ! policy-map UA-IX class class-default set dscp cs2 ! policy-map GOROD class class-default set dscp cs3 ! int vlan10 description UPLINK ip add x.x.x.x service-policy input UPLINK ! int vlan20 description UA-IX ip add x.x.x.x service-policy input UA-IX ! int vlan30 description GOROD ip add x.x.x.x service-policy input GOROD а на ISG: ! class-map match-any UPLINK match access-group name UPLINK class-map match-any UA-IX match access-group name UA-IX class-map match-any GOROD match access-group name GOROD ! ip access-list extended UPLINK permit ip any any dscp cs1 ip access-list extended UA-IX permit ip any any dscp cs2 ip access-list extended GOROD permit ip any any dscp cs3 ! и матчите классы в политиках ISG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wonderer Опубликовано 15 июня, 2010 · Жалоба fozz :) ... вы решили проблему для трафика, который идет к абоненту, т.к. его раскрасил ваш бордер. Это-то и ежу понятно, что работает и для этого не нужен никакой QPPB. Вопрос в том, как интеллектуально рейт-лимитить трафик, который приходит от абонента? Подозреваю, что QPPB не запашет в ISG, если классифицировать по дейстинейшену и тутже рейт-лимитить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 15 июня, 2010 · Жалоба wonderer, Было найдено следующее: Порядок применеия политик 1. Входные ACL 2. Установка приоритета или qos-group метки на основе адреса источника 3. Установка приоритета или qos-group метки на основе адреса назначения 4. Ограничение интенсивности входного трафика 5. Маршрутизация на основе политик 6. Выходные ACL 7. Ограничение интенсивности исходящего трафика 8. Выходная политика отбрасывания (WRED,RED) 9. Выходное планирование и выравнивание трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...