[nOPTHOu]

Доброе время суток!

 

Имею две 3750G-24TS которые работают в разных офисах, связаны через OSPF. Также имеем два провайдера на разных маршрутизаторах, которые подключены к первому каталисту. На первом каталисте прописан ip route 0.0.0.0/0.0.0.0 на первого провайдера, но некоторые машины, и на некоторые сайты необходимо выходить всегда через второго провайдера. Для этого создан роутмап и повешен на SVI для нужных подсетей/интерфейсов. При прокачке с файлового сервера скорость без роутмапа порядка 100мбит, потолок клиента, а с роутмапами 20-30 мбит. При этом нагрузка на проц возрастает до 50%. Я так понимаю что 3750 слабоваты для PBR? Сейчас есть идея или объединить двух провайдеров на одном роутере, или поставить что-то между каталистами и роутерами, и на этом железе распределять трафик в интернет как нравится.

 

 

 

Switch Ports Model SW Version SW Image

------ ----- ----- ---------- ----------

* 1 28 WS-C3750G-24TS 12.2(46)SE C3750-ADVIPSERVICESK9-M

 

 

c3750-sw1#sh sdm prefer

The current template is "desktop routing" template.

The selected template optimizes the resources in

the switch to support this level of features for

8 routed interfaces and 1024 VLANs.

 

number of unicast mac addresses: 3K

number of IPv4 IGMP groups + multicast routes: 1K

number of IPv4 unicast routes: 11K

number of directly-connected IPv4 hosts: 3K

number of indirect IPv4 routes: 8K

number of IPv4 policy based routing aces: 0.5K

number of IPv4/MAC qos aces: 0.5K

number of IPv4/MAC security aces: 1K

 

 

route-map ExitPBR permit 5
match ip address ToLAN
!
route-map ExitPBR permit 10
match ip address Gate2ISP1
set ip next-hop 192.168.3.2
!
route-map ExitPBR permit 20
match ip address Gate2ISP2
set ip next-hop 192.168.3.3


ip access-list extended ToLAN
permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip any 192.168.0.0 0.0.255.255
permit ip any 172.16.0.0 0.15.255.255
permit ip any 10.0.0.0 0.255.255.255
ip access-list extended Gate2ISP1
permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx
permit ip host 192.168.2.100 any
permit ip host 192.168.2.101 any
permit ip host 192.168.2.102 any
permit ip host 192.168.1.103 any
ip access-list extended Gate2ISP2
deny   ip any 192.168.0.0 0.0.255.255
permit ip 192.168.1.0 0.0.0.255 xxx.xxx.0.0 0.0.3.255
permit ip 192.168.2.0 0.0.0.255 xxx.xxx.0.0 0.0.3.255
permit ip host 192.168.2.11 any


interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.1.11
ip helper-address 192.168.1.12
no ip proxy-arp
ip pim dense-mode
ip policy route-map ExitPBR

[DVM-Avgoor]

PBR Configuration Guidelines

 

Before configuring PBR, you should be aware of this information:

•To use PBR, you must have the IP services image installed on the stack master.

 

•Multicast traffic is not policy-routed. PBR applies to only to unicast traffic.

 

•You can enable PBR on a routed port or an SVI.

 

•The switch does not support route-map deny statements for PBR.

 

•You can apply a policy route map to an EtherChannel port channel in Layer 3 mode, but you cannot apply a policy route map to a physical interface that is a member of the EtherChannel. If you try to do so, the command is rejected. When a policy route map is applied to a physical interface, that interface cannot become a member of an EtherChannel.

 

•You can define a maximum of 246 IP policy route maps on the switch stack.

 

•You can define a maximum of 512 access control entries (ACEs) for PBR on the switch stack.

 

•When configuring match criteria in a route map, follow these guidelines:

 

–Do not match ACLs that permit packets destined for a local address. PBR would forward these packets, which could cause ping or Telnet failure or route protocol flapping.

 

–Do not match ACLs with deny ACEs. Packets that match a deny ACE are sent to the CPU, which could cause high CPU utilization.

•To use PBR, you must first enable the routing template by using the sdm prefer routing global configuration command. PBR is not supported with the VLAN or default template. For more information on the SDM templates, see Chapter 8 "Configuring SDM Templates."

 

•VRF and PBR are mutually exclusive on a switch interface. You cannot enable VRF when PBR is enabled on an interface. The reverse is also true, you cannot enable PBR when VRF is enabled on an interface.

 

•Web Cache Communication Protocol (WCCP) and PBR are mutually exclusive on a switch interface. You cannot enable WCCP when PBR is enabled on an interface. The reverse is also true, you cannot enable PBR when WCCP is enabled on an interface.

 

•The number of TCAM entries used by PBR depends on the route map itself, the ACLs used, and the order of the ACLs and route-map entries.

 

•Policy-based routing based on packet length, TOS, set interface, set default next hop, or set default interface are not supported. Policy maps with no valid set actions or with set action set to Don't Fragment are not supported.

 

Собсно http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/swiprout.html#wp1210866

[nOPTHOu]

я эту доку уже читал, и переделал ACL так,что-бы небыло deny

если вы про это

ip access-list extended Gate2ISP2
deny   ip any 192.168.0.0 0.0.255.255

то до этой cтроки трафик не доходит, весь локальный трафик остается в ACL ToLAN

строка осталась от старой конфигурации

Изменено 10 декабря, 2013 пользователем nOPTHOu

[DVM-Avgoor]

route-map ExitPBR permit 5

 match ip address ToLAN

 

Нет, я больше про это.

[nOPTHOu]

а что не так? объясните на пальцах. ACL создан для того что-бы не отправлять локальный трафик на роутер. или обязательно надо указать какое-либо действие?

Изменено 10 декабря, 2013 пользователем nOPTHOu

[DVM-Avgoor]

Policy maps with no valid set actions or with set action set to Don't Fragment are not supported.

 

Не поддерживается такая логика, вот он наиболее вероятно и шлет эти пакеты в CPU. А цпу там от калькулятора.

Вообще 3750 железно мощный свитч, только правила не надо нарушать :)

Переделайте PBR так чтобы не было пустого правила. Это не сложно, он у вас на одном интерфейсе применен?

[nOPTHOu]

нет, на многих. подумаю что указать.

 

UPD: помогло, спасибо!

Изменено 10 декабря, 2013 пользователем nOPTHOu

[DVM-Avgoor]

PBR применяется только входящему трафику, поэтому в нем не должно быть каких-то там исключений и прочего. Делайте ACL который матчит только нужный трафик. Вот и все.

[nOPTHOu]

это я понимаю, но как матчить весь трафик кроме локального?

[DVM-Avgoor]

3750 не умеет, к сожалению, set ip default next-hop, так что видимо только разделять трафик или hairpin-лучший-друг-циско-админа...

[dmvy]

Делали pbr на данном железе. Порядка гигабита таким policy заворачивали. Так что нужно уметь готовить...

[infery]

это я понимаю, но как матчить весь трафик кроме локального?

Локальный трафик полисится командой ip local policy route-map, а ip policy route-map к локальному трафику отношения не имеет, ЕМНИП. Могу ошибаться

[vurd]

Локальный тут имеется в виду не сгенерированный на циске, а полученный из внутренней локальной сети.

[nOPTHOu]

что-то я поспешил, что указать в качестве действия, и будет наименее заметно для пользователей?

[DVM-Avgoor]

что-то я поспешил, что указать в качестве действия, и будет наименее заметно для пользователей?

 

 

У вас этот "локальный трафик" роутится куда-то? Если там всего один nexthop вы можете его в этом "пустом" правиле и указать.

[nOPTHOu]

локальный трафик бегает внутри каталиста и между каталистами, внешний уходит на роутеры

[DVM-Avgoor]

Вероятно такую логику лучше вытащить на роутеры. Каталист все же свитч, и некоторые штуки просто так не умеет.

Ну или придумать как поделить трафик.

[nOPTHOu]

какой каталист умеет set ip default next-hop?

 

UPD: Cisco Feature Navigator рулит, 6-ти тонники, 72, 73, 76 серии

Изменено 11 декабря, 2013 пользователем nOPTHOu

[DVM-Avgoor]

какой каталист умеет set ip default next-hop?

 

 

Кажется еще 45ая линейка каталистов может. 4948 например.

[vurd]

Не, не умеет 45-ая этого.

Печаль кстати, в 4900m не хватает этого. Пруфы - http://forum.nag.ru/forum/index.php?showtopic=65769

 

upd Хотя хрен знает, вот ман в котором используют дефолт - http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/54sg/configuration/guide/pbroute.html

 

И еще нашел, оно есть, но через cpu - читай, что нет. http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=37758

[DVM-Avgoor]

Ну всегда есть еще VRF...

 

Или купить не циску, например :)

[nuclearcat]

На 4948 есть какие-то hardware flows для PBR, но их крайне мало. Я по этим грабелькам слегка потоптался :)

Подумываю извернутся с VRF.

[Дегтярев Илья]

какой каталист умеет set ip default next-hop?

 

UPD: Cisco Feature Navigator рулит, 6-ти тонники, 72, 73, 76 серии

 

Да можно и на текущей. Соедини 2 порта патчкордом, второй в отдельном vrf и на него дефолтный маршрут.

На нем уже pbr с необходимыми правилами и указанием интерфейса в глобале.

[DVM-Avgoor]

Да-да. Второе самое страшное оружие cisco-админа: hairpin.

:D

[nuclearcat]

Учитывая стоимость портов на Cisco, мне часто приходит в голову, что лучше поспрашивать NAG что у них есть альтернативное.

К примеру у SNR свитчей есть возможность VLAN remapping, а у Cisco за гораздо большие деньги (3650, 3750, 45xx, 4948) - шиш.