Перейти к содержимому
Калькуляторы

терминация vlan'ов на 6500

Добрый вечер. Если позволите, несколько вопросов на избитую тему.

 

Администрирую небольшой провайдер. Доступ IPoE, vlan на дом, ip unnumbered.

 

Терминация на cat 3560.

Маршруты на 3560 растут, упирают TCAM'ы, стопка 3560 множится.

 

Xотим переползти на чтото более серьезное, и в качестве замены рассматриваем 6500. sup720-3B или BLX

 

Если я перепишу конфиг с 3560

interface Vlan43
ip unnumbered Loopback1
ip policy route-map shaper-g

 

route-map shaper-g permit 10
match ip address 107
set ip next-hop x.x.x.x

 

для sup720

interface Vlan43
ip unnumbered Loopback1
ip policy route-map shaper-g

 

route-map shaper-g permit 10
match ip address 107
set ip default next-hop x.x.x.x

будет оно работать?

будет ли оно работать хардварно? или в MSFC3 для которого насколько я понимаю

The MSFC3 can support forwarding rates up to 500Kpps

 

И еще вопрос. Нужно ли для работы BGP, OSPF, etc приобретать лицензии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу tcam, его можно переспределить например в пользу рутинга, конечно в ущерб Mac таблицы. Но можно.

Pbr вообще плохая затея, рекомендую искать другие пути решения.

 

По поводу поддержки pbr аппаратно - вроде здесь написано.

 

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/layer3.html

 

Лицензий не надо, нужен соответствующий софт.

 

И потом, чем заниматься терминацией на каталисте, и тем более стоит вопрос покупки, купите брас!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу tcam, его можно переспределить например в пользу рутинга, конечно в ущерб Mac таблицы. Но можно.

Pbr вообще плохая затея, рекомендую искать другие пути решения.

 

По поводу поддержки pbr аппаратно - вроде здесь написано.

 

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/layer3.html

 

Лицензий не надо, нужен соответствующий софт.

 

И потом, чем заниматься терминацией на каталисте, и тем более стоит вопрос покупки, купите брас!

 

Спасибо за ссылку. Насколько понимаю это

The Policy Feature Card (PFC) and any Distributed Feature Cards (DFCs) provide hardware support for policy-based routing (PBR) for route-map sequences that use the match ip address, set ip next-hop, and ip default next-hop PBR keywords.

значит что будет работать хадварно? DFC на линейных картах надо для этого устанавливать?

 

PBR на 3560 проблем не вызывал. Упираемся только в TCAM'ы

SDM уже выбран в сторону роутинга.

 

Брас рассматриваем, но хочется простого пути, с минимальными переделками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для sup720

interface Vlan43

 ip unnumbered Loopback1

 ip policy route-map shaper-g

 

 

route-map shaper-g permit 10

 match ip address 107

 set ip default next-hop x.x.x.x

 

будет оно работать?

будет ли оно работать хардварно? или в MSFC3 для которого насколько я понимаю

 

имеем sup32(pfc3b) + 6500, 12 ip policy route-map на разных интерфейсах SVI, все с set ip default next-hop, все работает в железе PFC. Карт с DFC нет.

Но если у вас будет ХХХХ вланов и каждый аннамберед с PBR, то... Тут ткам конечно большой, но не резиновый. Может архитектуру решения поменять? :)

Плюс насколько я помню это все не дружит с DHCP Snooping. Т.е. на аннамберед вланах точно не работает ACL и снупинг вместе (а снупинг мне нужен для опт82).

 

Лицензии не нужны, нужно софт нормальный найти просто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для sup720

interface Vlan43

 ip unnumbered Loopback1

 ip policy route-map shaper-g

 

 

route-map shaper-g permit 10

 match ip address 107

 set ip default next-hop x.x.x.x

 

будет оно работать?

будет ли оно работать хардварно? или в MSFC3 для которого насколько я понимаю

 

имеем sup32(pfc3b) + 6500, 12 ip policy route-map на разных интерфейсах SVI, все с set ip default next-hop, все работает в железе PFC. Карт с DFC нет.

Но если у вас будет ХХХХ вланов и каждый аннамберед с PBR, то... Тут ткам конечно большой, но не резиновый. Может архитектуру решения поменять? :)

Плюс насколько я помню это все не дружит с DHCP Snooping. Т.е. на аннамберед вланах точно не работает ACL и снупинг вместе (а снупинг мне нужен для опт82).

 

Лицензии не нужны, нужно софт нормальный найти просто.

 

Я немножко строчек вырезал из конфига. На самом деле конфиг SVI выглядить у нас на 3560 так

 ip unnumbered Loopback1
ip access-group 104 in
ip access-group 104 out
ip helper-address x.x.x.x
ip policy route-map shaper-g

ip helper-address указывает на DHCP сервер. снупинг работает, по крайней мере на 3560. У нас тоже opt82.

 

От unnumbered'а отказываться проблематично. У нас очень мало внешников, поэтому весь диапазон размазан одной сеткой по всем кошкам, в результате имеем тучу /32 которые съедают TCAM'ы.

Понимаем что кривость, но сейчас решить это не можем.

 

Другой вопрос. Из 720-3B получается 720-3BXL заменой MSFC?

Изменено пользователем Hoax

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А для чего:

ip access-group 104

и

ip policy route-map shaper-g ?

 

Не проще ли использовать VRF и обычные ip route 0.0.0.0 ?

 

У нас 720-3B и vlan на пользователя - работает. Но вот кушает она прилично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я немножко строчек вырезал из конфига. На самом деле конфиг SVI выглядить у нас на 3560 так

 ip unnumbered Loopback1

 ip access-group 104 in

 ip access-group 104 out

 ip helper-address x.x.x.x

 ip policy route-map shaper-g

 

ip helper-address указывает на DHCP сервер. снупинг работает, по крайней мере на 3560. У нас тоже opt82.

 

От unnumbered'а отказываться проблематично. У нас очень мало внешников, поэтому весь диапазон размазан одной сеткой по всем кошкам, в результате имеем тучу /32 которые съедают TCAM'ы.

Понимаем что кривость, но сейчас решить это не можем.

 

Я 3560 в руках не держал, но скажу за 49хх и 65хх серии:

 

1. Если вы используете на одном интерфейсе и PBR и ip access-group in то у вас в ткаме будет дикая каша (правила не суммируются) и как итог - он переполняется нелинейно. Так делать нельзя! Оставьте только OUT правила и PBR. (у меня 2к ацлей и 12 пбр, если их включать вместе на in на интерфейсах ткаму сразу хана) Может быть на 3560 магия и работает там по-другому, но за 65ую я вас предупредил.

 

2. На 65ой не работает одновременно PBR, ACL-IN, DHCP Snooping на одном аннамберед влане, надо будет выбрать что-то одно. ACL-OUT там вообще вроде не работает, так что вариант такой - надо избавляться от PBR. В сторону VRF-lite или другого сегментирования. Но PBR на каждом интерфейсе это не архитектура, это фигня какая-то :)

 

Другой вопрос. Из 720-3B получается 720-3BXL заменой MSFC?

 

Нет, заменой PFC-3B на PFC-3BXL. Но зачем? SUP720-3BXL вытянет фулвью bgp спокойно, но в целях терминации вланов... хз, мне кажется там как и на всех остальных супах после 2000 SVI начнутся проблемы.

Изменено пользователем DVM-Avgoor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у нас на сап32 по 4К SVI, проблем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у нас на сап32 по 4К SVI, проблем нет.

 

DHCP Snooping используется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На том, где используется - 2К. Нас ждут впереди грабли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На том, где используется - 2К. Нас ждут впереди грабли?

 

Где-то в доках пробегало, что дхцп-снупинг заявлен на 2к записей.

Я этот порог не перешагивал еще на 65ой

 

Возможно там за гранью все отлично, может он и 4к записей может без внешней базы. Я просто не решился на риск :)

Изменено пользователем DVM-Avgoor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ссылка на доку есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ссылка на доку есть?

 

Озаботился этим вопросом и не смог найти. Возможно это были доки по релизам до 12.2SX, не уверен, давно дело было.

Сейчас там написано

•The DHCP snooping database stores at least 8,000 bindings.

 

Но snooping database это же внешний файл вроде? А про bindings table сейчас ничего нет.

Значит ошибаюсь, и эта цифра как и 512 в ранних иосах на каталистах уже не актуальна :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А для чего:

ip access-group 104

и

ip policy route-map shaper-g ?

 

Не проще ли использовать VRF и обычные ip route 0.0.0.0 ?

 

У нас 720-3B и vlan на пользователя - работает. Но вот кушает она прилично.

 

заблокированным и неизвестный MAC'ам выдается IP из определенного диапазона. В 104 ACL'ке им ограничен доступ. На все терминируемые SVI вешается одна и таже ACL 104.

Роутмапом распределяется нагрузка между шейперами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

заблокированным и неизвестный MAC'ам выдается IP из определенного диапазона. В 104 ACL'ке им ограничен доступ. На все терминируемые SVI вешается одна и таже ACL 104.

Роутмапом распределяется нагрузка между шейперами.

Посмотрите в сторону vlan filter.

 

Насчёт распределения нагрузки - про VRF тут уже упоминали.

Изменено пользователем NikAlexAn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

заблокированным и неизвестный MAC'ам выдается IP из определенного диапазона. В 104 ACL'ке им ограничен доступ. На все терминируемые SVI вешается одна и таже ACL 104.

Роутмапом распределяется нагрузка между шейперами.

Мы тоже так делали, а потом перенесли блокировку на сервисы, которые абонентам неположены :) Ну и нат для этих блоков отключен. И усе, только внутри сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

65ая умеет VACL. Это удобно модно и молодежно :) Надо только учитывать, что VACL матчит оба направления трафика. А PBR, в принципе, на unnumbered интерфейс повешать-то не проблема, но расход ткама...? VRF решает вопросы, только для его максимально удобного использования надо в врф делать сразу все. Иначе потом костыли и лейкопластырь будете прикладывать к шеститоннику, чтобы сливать маршруты GRT<->VRF.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

65ая умеет VACL. Это удобно модно и молодежно :) Надо только учитывать, что VACL матчит оба направления трафика. А PBR, в принципе, на unnumbered интерфейс повешать-то не проблема, но расход ткама...? VRF решает вопросы, только для его максимально удобного использования надо в врф делать сразу все. Иначе потом костыли и лейкопластырь будете прикладывать к шеститоннику, чтобы сливать маршруты GRT<->VRF.

 

А через vrf лишнего расхода tcam'ов не будет? В каждый vrf насколько я понимаю придется заливать маршруты которые должны быть доступны всем вланам? Как красиво отдать каждому влану свой дефолт и общие маршруты используя vrf?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А через vrf лишнего расхода tcam'ов не будет? В каждый vrf насколько я понимаю придется заливать маршруты которые должны быть доступны всем вланам? Как красиво отдать каждому влану свой дефолт и общие маршруты используя vrf?

 

У вас для каждого влана свой дефолт? Для всех ХХХХ вланов? Ну это "пичаль".

А если у вас всего 2-3 дефолта, то держать одинаковые таблицы в врф не проблема. Просто заносите интерфейсы в нужный врф и все.

Конечно все зависит от ситуации... Если вы планируете в каждом врфе иметь 100к роутов + дефолт, это будет слегка накладно. Тогда все же к пбр лучше.

Изменено пользователем DVM-Avgoor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.