nOPTHOu Опубликовано 10 декабря, 2013 · Жалоба Доброе время суток! Имею две 3750G-24TS которые работают в разных офисах, связаны через OSPF. Также имеем два провайдера на разных маршрутизаторах, которые подключены к первому каталисту. На первом каталисте прописан ip route 0.0.0.0/0.0.0.0 на первого провайдера, но некоторые машины, и на некоторые сайты необходимо выходить всегда через второго провайдера. Для этого создан роутмап и повешен на SVI для нужных подсетей/интерфейсов. При прокачке с файлового сервера скорость без роутмапа порядка 100мбит, потолок клиента, а с роутмапами 20-30 мбит. При этом нагрузка на проц возрастает до 50%. Я так понимаю что 3750 слабоваты для PBR? Сейчас есть идея или объединить двух провайдеров на одном роутере, или поставить что-то между каталистами и роутерами, и на этом железе распределять трафик в интернет как нравится. Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 28 WS-C3750G-24TS 12.2(46)SE C3750-ADVIPSERVICESK9-M c3750-sw1#sh sdm prefer The current template is "desktop routing" template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 3K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 11K number of directly-connected IPv4 hosts: 3K number of indirect IPv4 routes: 8K number of IPv4 policy based routing aces: 0.5K number of IPv4/MAC qos aces: 0.5K number of IPv4/MAC security aces: 1K route-map ExitPBR permit 5 match ip address ToLAN ! route-map ExitPBR permit 10 match ip address Gate2ISP1 set ip next-hop 192.168.3.2 ! route-map ExitPBR permit 20 match ip address Gate2ISP2 set ip next-hop 192.168.3.3 ip access-list extended ToLAN permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 permit ip any 192.168.0.0 0.0.255.255 permit ip any 172.16.0.0 0.15.255.255 permit ip any 10.0.0.0 0.255.255.255 ip access-list extended Gate2ISP1 permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.2.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip 192.168.3.0 0.0.0.255 host xxx.xxx.xxx.xxx permit ip host 192.168.2.100 any permit ip host 192.168.2.101 any permit ip host 192.168.2.102 any permit ip host 192.168.1.103 any ip access-list extended Gate2ISP2 deny ip any 192.168.0.0 0.0.255.255 permit ip 192.168.1.0 0.0.0.255 xxx.xxx.0.0 0.0.3.255 permit ip 192.168.2.0 0.0.0.255 xxx.xxx.0.0 0.0.3.255 permit ip host 192.168.2.11 any interface Vlan2 ip address 192.168.2.1 255.255.255.0 ip helper-address 192.168.1.11 ip helper-address 192.168.1.12 no ip proxy-arp ip pim dense-mode ip policy route-map ExitPBR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 10 декабря, 2013 · Жалоба PBR Configuration Guidelines Before configuring PBR, you should be aware of this information: •To use PBR, you must have the IP services image installed on the stack master. •Multicast traffic is not policy-routed. PBR applies to only to unicast traffic. •You can enable PBR on a routed port or an SVI. •The switch does not support route-map deny statements for PBR. •You can apply a policy route map to an EtherChannel port channel in Layer 3 mode, but you cannot apply a policy route map to a physical interface that is a member of the EtherChannel. If you try to do so, the command is rejected. When a policy route map is applied to a physical interface, that interface cannot become a member of an EtherChannel. •You can define a maximum of 246 IP policy route maps on the switch stack. •You can define a maximum of 512 access control entries (ACEs) for PBR on the switch stack. •When configuring match criteria in a route map, follow these guidelines: –Do not match ACLs that permit packets destined for a local address. PBR would forward these packets, which could cause ping or Telnet failure or route protocol flapping. –Do not match ACLs with deny ACEs. Packets that match a deny ACE are sent to the CPU, which could cause high CPU utilization. •To use PBR, you must first enable the routing template by using the sdm prefer routing global configuration command. PBR is not supported with the VLAN or default template. For more information on the SDM templates, see Chapter 8 "Configuring SDM Templates." •VRF and PBR are mutually exclusive on a switch interface. You cannot enable VRF when PBR is enabled on an interface. The reverse is also true, you cannot enable PBR when VRF is enabled on an interface. •Web Cache Communication Protocol (WCCP) and PBR are mutually exclusive on a switch interface. You cannot enable WCCP when PBR is enabled on an interface. The reverse is also true, you cannot enable PBR when WCCP is enabled on an interface. •The number of TCAM entries used by PBR depends on the route map itself, the ACLs used, and the order of the ACLs and route-map entries. •Policy-based routing based on packet length, TOS, set interface, set default next hop, or set default interface are not supported. Policy maps with no valid set actions or with set action set to Don't Fragment are not supported. Собсно http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_44_se/configuration/guide/swiprout.html#wp1210866 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nOPTHOu Опубликовано 10 декабря, 2013 (изменено) · Жалоба я эту доку уже читал, и переделал ACL так,что-бы небыло deny если вы про это ip access-list extended Gate2ISP2 deny ip any 192.168.0.0 0.0.255.255 то до этой cтроки трафик не доходит, весь локальный трафик остается в ACL ToLAN строка осталась от старой конфигурации Изменено 10 декабря, 2013 пользователем nOPTHOu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 10 декабря, 2013 · Жалоба route-map ExitPBR permit 5 match ip address ToLAN Нет, я больше про это. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nOPTHOu Опубликовано 10 декабря, 2013 (изменено) · Жалоба а что не так? объясните на пальцах. ACL создан для того что-бы не отправлять локальный трафик на роутер. или обязательно надо указать какое-либо действие? Изменено 10 декабря, 2013 пользователем nOPTHOu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 10 декабря, 2013 · Жалоба Policy maps with no valid set actions or with set action set to Don't Fragment are not supported. Не поддерживается такая логика, вот он наиболее вероятно и шлет эти пакеты в CPU. А цпу там от калькулятора. Вообще 3750 железно мощный свитч, только правила не надо нарушать :) Переделайте PBR так чтобы не было пустого правила. Это не сложно, он у вас на одном интерфейсе применен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nOPTHOu Опубликовано 10 декабря, 2013 (изменено) · Жалоба нет, на многих. подумаю что указать. UPD: помогло, спасибо! Изменено 10 декабря, 2013 пользователем nOPTHOu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 10 декабря, 2013 · Жалоба PBR применяется только входящему трафику, поэтому в нем не должно быть каких-то там исключений и прочего. Делайте ACL который матчит только нужный трафик. Вот и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nOPTHOu Опубликовано 10 декабря, 2013 · Жалоба это я понимаю, но как матчить весь трафик кроме локального? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 10 декабря, 2013 · Жалоба 3750 не умеет, к сожалению, set ip default next-hop, так что видимо только разделять трафик или hairpin-лучший-друг-циско-админа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 10 декабря, 2013 · Жалоба Делали pbr на данном железе. Порядка гигабита таким policy заворачивали. Так что нужно уметь готовить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 10 декабря, 2013 · Жалоба это я понимаю, но как матчить весь трафик кроме локального? Локальный трафик полисится командой ip local policy route-map, а ip policy route-map к локальному трафику отношения не имеет, ЕМНИП. Могу ошибаться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 10 декабря, 2013 · Жалоба Локальный тут имеется в виду не сгенерированный на циске, а полученный из внутренней локальной сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nOPTHOu Опубликовано 11 декабря, 2013 · Жалоба что-то я поспешил, что указать в качестве действия, и будет наименее заметно для пользователей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 11 декабря, 2013 · Жалоба что-то я поспешил, что указать в качестве действия, и будет наименее заметно для пользователей? У вас этот "локальный трафик" роутится куда-то? Если там всего один nexthop вы можете его в этом "пустом" правиле и указать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nOPTHOu Опубликовано 11 декабря, 2013 · Жалоба локальный трафик бегает внутри каталиста и между каталистами, внешний уходит на роутеры Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 11 декабря, 2013 · Жалоба Вероятно такую логику лучше вытащить на роутеры. Каталист все же свитч, и некоторые штуки просто так не умеет. Ну или придумать как поделить трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nOPTHOu Опубликовано 11 декабря, 2013 (изменено) · Жалоба какой каталист умеет set ip default next-hop? UPD: Cisco Feature Navigator рулит, 6-ти тонники, 72, 73, 76 серии Изменено 11 декабря, 2013 пользователем nOPTHOu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 11 декабря, 2013 · Жалоба какой каталист умеет set ip default next-hop? Кажется еще 45ая линейка каталистов может. 4948 например. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 11 декабря, 2013 · Жалоба Не, не умеет 45-ая этого. Печаль кстати, в 4900m не хватает этого. Пруфы - http://forum.nag.ru/forum/index.php?showtopic=65769 upd Хотя хрен знает, вот ман в котором используют дефолт - http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/54sg/configuration/guide/pbroute.html И еще нашел, оно есть, но через cpu - читай, что нет. http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=37758 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 11 декабря, 2013 · Жалоба Ну всегда есть еще VRF... Или купить не циску, например :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 12 декабря, 2013 · Жалоба На 4948 есть какие-то hardware flows для PBR, но их крайне мало. Я по этим грабелькам слегка потоптался :) Подумываю извернутся с VRF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 12 декабря, 2013 · Жалоба какой каталист умеет set ip default next-hop? UPD: Cisco Feature Navigator рулит, 6-ти тонники, 72, 73, 76 серии Да можно и на текущей. Соедини 2 порта патчкордом, второй в отдельном vrf и на него дефолтный маршрут. На нем уже pbr с необходимыми правилами и указанием интерфейса в глобале. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 12 декабря, 2013 · Жалоба Да-да. Второе самое страшное оружие cisco-админа: hairpin. :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 13 декабря, 2013 · Жалоба Учитывая стоимость портов на Cisco, мне часто приходит в голову, что лучше поспрашивать NAG что у них есть альтернативное. К примеру у SNR свитчей есть возможность VLAN remapping, а у Cisco за гораздо большие деньги (3650, 3750, 45xx, 4948) - шиш. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...