Hoax Опубликовано 23 октября, 2013 · Жалоба Добрый вечер. Если позволите, несколько вопросов на избитую тему. Администрирую небольшой провайдер. Доступ IPoE, vlan на дом, ip unnumbered. Терминация на cat 3560. Маршруты на 3560 растут, упирают TCAM'ы, стопка 3560 множится. Xотим переползти на чтото более серьезное, и в качестве замены рассматриваем 6500. sup720-3B или BLX Если я перепишу конфиг с 3560 interface Vlan43 ip unnumbered Loopback1 ip policy route-map shaper-g route-map shaper-g permit 10 match ip address 107 set ip next-hop x.x.x.x для sup720 interface Vlan43 ip unnumbered Loopback1 ip policy route-map shaper-g route-map shaper-g permit 10 match ip address 107 set ip default next-hop x.x.x.x будет оно работать? будет ли оно работать хардварно? или в MSFC3 для которого насколько я понимаю The MSFC3 can support forwarding rates up to 500Kpps И еще вопрос. Нужно ли для работы BGP, OSPF, etc приобретать лицензии? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 23 октября, 2013 · Жалоба По поводу tcam, его можно переспределить например в пользу рутинга, конечно в ущерб Mac таблицы. Но можно. Pbr вообще плохая затея, рекомендую искать другие пути решения. По поводу поддержки pbr аппаратно - вроде здесь написано. http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/layer3.html Лицензий не надо, нужен соответствующий софт. И потом, чем заниматься терминацией на каталисте, и тем более стоит вопрос покупки, купите брас! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hoax Опубликовано 23 октября, 2013 · Жалоба По поводу tcam, его можно переспределить например в пользу рутинга, конечно в ущерб Mac таблицы. Но можно. Pbr вообще плохая затея, рекомендую искать другие пути решения. По поводу поддержки pbr аппаратно - вроде здесь написано. http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/layer3.html Лицензий не надо, нужен соответствующий софт. И потом, чем заниматься терминацией на каталисте, и тем более стоит вопрос покупки, купите брас! Спасибо за ссылку. Насколько понимаю это The Policy Feature Card (PFC) and any Distributed Feature Cards (DFCs) provide hardware support for policy-based routing (PBR) for route-map sequences that use the match ip address, set ip next-hop, and ip default next-hop PBR keywords. значит что будет работать хадварно? DFC на линейных картах надо для этого устанавливать? PBR на 3560 проблем не вызывал. Упираемся только в TCAM'ы SDM уже выбран в сторону роутинга. Брас рассматриваем, но хочется простого пути, с минимальными переделками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 23 октября, 2013 · Жалоба для sup720 interface Vlan43 ip unnumbered Loopback1 ip policy route-map shaper-g route-map shaper-g permit 10 match ip address 107 set ip default next-hop x.x.x.x будет оно работать? будет ли оно работать хардварно? или в MSFC3 для которого насколько я понимаю имеем sup32(pfc3b) + 6500, 12 ip policy route-map на разных интерфейсах SVI, все с set ip default next-hop, все работает в железе PFC. Карт с DFC нет. Но если у вас будет ХХХХ вланов и каждый аннамберед с PBR, то... Тут ткам конечно большой, но не резиновый. Может архитектуру решения поменять? :) Плюс насколько я помню это все не дружит с DHCP Snooping. Т.е. на аннамберед вланах точно не работает ACL и снупинг вместе (а снупинг мне нужен для опт82). Лицензии не нужны, нужно софт нормальный найти просто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hoax Опубликовано 23 октября, 2013 (изменено) · Жалоба для sup720 interface Vlan43 ip unnumbered Loopback1 ip policy route-map shaper-g route-map shaper-g permit 10 match ip address 107 set ip default next-hop x.x.x.x будет оно работать? будет ли оно работать хардварно? или в MSFC3 для которого насколько я понимаю имеем sup32(pfc3b) + 6500, 12 ip policy route-map на разных интерфейсах SVI, все с set ip default next-hop, все работает в железе PFC. Карт с DFC нет. Но если у вас будет ХХХХ вланов и каждый аннамберед с PBR, то... Тут ткам конечно большой, но не резиновый. Может архитектуру решения поменять? :) Плюс насколько я помню это все не дружит с DHCP Snooping. Т.е. на аннамберед вланах точно не работает ACL и снупинг вместе (а снупинг мне нужен для опт82). Лицензии не нужны, нужно софт нормальный найти просто. Я немножко строчек вырезал из конфига. На самом деле конфиг SVI выглядить у нас на 3560 так ip unnumbered Loopback1 ip access-group 104 in ip access-group 104 out ip helper-address x.x.x.x ip policy route-map shaper-g ip helper-address указывает на DHCP сервер. снупинг работает, по крайней мере на 3560. У нас тоже opt82. От unnumbered'а отказываться проблематично. У нас очень мало внешников, поэтому весь диапазон размазан одной сеткой по всем кошкам, в результате имеем тучу /32 которые съедают TCAM'ы. Понимаем что кривость, но сейчас решить это не можем. Другой вопрос. Из 720-3B получается 720-3BXL заменой MSFC? Изменено 23 октября, 2013 пользователем Hoax Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 24 октября, 2013 · Жалоба А для чего: ip access-group 104 и ip policy route-map shaper-g ? Не проще ли использовать VRF и обычные ip route 0.0.0.0 ? У нас 720-3B и vlan на пользователя - работает. Но вот кушает она прилично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 24 октября, 2013 (изменено) · Жалоба Я немножко строчек вырезал из конфига. На самом деле конфиг SVI выглядить у нас на 3560 так ip unnumbered Loopback1 ip access-group 104 in ip access-group 104 out ip helper-address x.x.x.x ip policy route-map shaper-g ip helper-address указывает на DHCP сервер. снупинг работает, по крайней мере на 3560. У нас тоже opt82. От unnumbered'а отказываться проблематично. У нас очень мало внешников, поэтому весь диапазон размазан одной сеткой по всем кошкам, в результате имеем тучу /32 которые съедают TCAM'ы. Понимаем что кривость, но сейчас решить это не можем. Я 3560 в руках не держал, но скажу за 49хх и 65хх серии: 1. Если вы используете на одном интерфейсе и PBR и ip access-group in то у вас в ткаме будет дикая каша (правила не суммируются) и как итог - он переполняется нелинейно. Так делать нельзя! Оставьте только OUT правила и PBR. (у меня 2к ацлей и 12 пбр, если их включать вместе на in на интерфейсах ткаму сразу хана) Может быть на 3560 магия и работает там по-другому, но за 65ую я вас предупредил. 2. На 65ой не работает одновременно PBR, ACL-IN, DHCP Snooping на одном аннамберед влане, надо будет выбрать что-то одно. ACL-OUT там вообще вроде не работает, так что вариант такой - надо избавляться от PBR. В сторону VRF-lite или другого сегментирования. Но PBR на каждом интерфейсе это не архитектура, это фигня какая-то :) Другой вопрос. Из 720-3B получается 720-3BXL заменой MSFC? Нет, заменой PFC-3B на PFC-3BXL. Но зачем? SUP720-3BXL вытянет фулвью bgp спокойно, но в целях терминации вланов... хз, мне кажется там как и на всех остальных супах после 2000 SVI начнутся проблемы. Изменено 24 октября, 2013 пользователем DVM-Avgoor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 24 октября, 2013 · Жалоба у нас на сап32 по 4К SVI, проблем нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 24 октября, 2013 · Жалоба у нас на сап32 по 4К SVI, проблем нет. DHCP Snooping используется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 24 октября, 2013 · Жалоба На том, где используется - 2К. Нас ждут впереди грабли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 24 октября, 2013 (изменено) · Жалоба На том, где используется - 2К. Нас ждут впереди грабли? Где-то в доках пробегало, что дхцп-снупинг заявлен на 2к записей. Я этот порог не перешагивал еще на 65ой Возможно там за гранью все отлично, может он и 4к записей может без внешней базы. Я просто не решился на риск :) Изменено 24 октября, 2013 пользователем DVM-Avgoor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 24 октября, 2013 · Жалоба ссылка на доку есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 24 октября, 2013 · Жалоба ссылка на доку есть? Озаботился этим вопросом и не смог найти. Возможно это были доки по релизам до 12.2SX, не уверен, давно дело было. Сейчас там написано •The DHCP snooping database stores at least 8,000 bindings. Но snooping database это же внешний файл вроде? А про bindings table сейчас ничего нет. Значит ошибаюсь, и эта цифра как и 512 в ранних иосах на каталистах уже не актуальна :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hoax Опубликовано 25 октября, 2013 · Жалоба А для чего: ip access-group 104 и ip policy route-map shaper-g ? Не проще ли использовать VRF и обычные ip route 0.0.0.0 ? У нас 720-3B и vlan на пользователя - работает. Но вот кушает она прилично. заблокированным и неизвестный MAC'ам выдается IP из определенного диапазона. В 104 ACL'ке им ограничен доступ. На все терминируемые SVI вешается одна и таже ACL 104. Роутмапом распределяется нагрузка между шейперами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 25 октября, 2013 (изменено) · Жалоба заблокированным и неизвестный MAC'ам выдается IP из определенного диапазона. В 104 ACL'ке им ограничен доступ. На все терминируемые SVI вешается одна и таже ACL 104. Роутмапом распределяется нагрузка между шейперами. Посмотрите в сторону vlan filter. Насчёт распределения нагрузки - про VRF тут уже упоминали. Изменено 25 октября, 2013 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 29 октября, 2013 · Жалоба заблокированным и неизвестный MAC'ам выдается IP из определенного диапазона. В 104 ACL'ке им ограничен доступ. На все терминируемые SVI вешается одна и таже ACL 104. Роутмапом распределяется нагрузка между шейперами. Мы тоже так делали, а потом перенесли блокировку на сервисы, которые абонентам неположены :) Ну и нат для этих блоков отключен. И усе, только внутри сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 29 октября, 2013 · Жалоба 65ая умеет VACL. Это удобно модно и молодежно :) Надо только учитывать, что VACL матчит оба направления трафика. А PBR, в принципе, на unnumbered интерфейс повешать-то не проблема, но расход ткама...? VRF решает вопросы, только для его максимально удобного использования надо в врф делать сразу все. Иначе потом костыли и лейкопластырь будете прикладывать к шеститоннику, чтобы сливать маршруты GRT<->VRF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Hoax Опубликовано 29 октября, 2013 · Жалоба 65ая умеет VACL. Это удобно модно и молодежно :) Надо только учитывать, что VACL матчит оба направления трафика. А PBR, в принципе, на unnumbered интерфейс повешать-то не проблема, но расход ткама...? VRF решает вопросы, только для его максимально удобного использования надо в врф делать сразу все. Иначе потом костыли и лейкопластырь будете прикладывать к шеститоннику, чтобы сливать маршруты GRT<->VRF. А через vrf лишнего расхода tcam'ов не будет? В каждый vrf насколько я понимаю придется заливать маршруты которые должны быть доступны всем вланам? Как красиво отдать каждому влану свой дефолт и общие маршруты используя vrf? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 29 октября, 2013 (изменено) · Жалоба А через vrf лишнего расхода tcam'ов не будет? В каждый vrf насколько я понимаю придется заливать маршруты которые должны быть доступны всем вланам? Как красиво отдать каждому влану свой дефолт и общие маршруты используя vrf? У вас для каждого влана свой дефолт? Для всех ХХХХ вланов? Ну это "пичаль". А если у вас всего 2-3 дефолта, то держать одинаковые таблицы в врф не проблема. Просто заносите интерфейсы в нужный врф и все. Конечно все зависит от ситуации... Если вы планируете в каждом врфе иметь 100к роутов + дефолт, это будет слегка накладно. Тогда все же к пбр лучше. Изменено 29 октября, 2013 пользователем DVM-Avgoor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...