URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11836
[ Назад ]
Исходное сообщение
"route-map cisco 4500"
Отправлено LeniX , 27-Окт-06 18:42 
Добрый день! Ситуевина: большая локалка приблизительно на 3000 абонентов, на выходе 2 софтверных шлюза с биллингами и натом. Перед ними со стороны локалки cisco catalyst 4500, маршрутизирующая подсетки на 15 вланах (в 1 влане есть пограничные роутеры, не не это есть суть). Требуется умно по ip-адресам разводить абонентов по разным интернет-шлюзам (обуславливается наличием двух биллингов и нежеланием паразитов-абонентов переходить на один из них, ну так исторически сложилось). Смотрится соответственно в сторону ip policy с route-map, привязанных к соответствующим access-list'ам. Беда в том, что совокупное количество правил по всем вланам будет около 1500. При вводе части (около 550) из этих правил, время отклика ping от коммутатора возросло до неприличия, а у части пользователей стал отваливаться инет, в результате чего все с треском было возвращено обратно (это отдельная история, один из интернет шлюзов занимается сейчас этой задачей с помощью source-routing'а на bsd, большая загрузка сервера как следствие). Вот что прописано на один vlan (пример самый маленький):
!
interface Vlan3
ip address 192.168.5.254 255.255.255.0
no ip proxy-arp
ip policy route-map office_lan
!
!
ip access-list standard office_access
permit 192.168.5.77
permit 192.168.5.56
!
!
route-map office_lan permit 10
match ip address office_access
set ip default next-hop 192.168.1.1 (дефолтовый роут на 192.168.1.11 для остальных).

Мало знаком с cisco'й. Правила соответственно списаны с example на cisco.com. Если у кого-нибудь был удачный опыт в оптимизации pbr на такое количество пользователей, или есть какие-нибудь мысли по улучшению этого процесса, ПОМОГИТЕ!

Содержание
Сообщения в этом обсуждении
"route-map cisco 4500"
Отправлено Lacunacoil , 27-Окт-06 20:55 
>Добрый день! Ситуевина: большая локалка приблизительно на 3000 абонентов, на выходе 2
>софтверных шлюза с биллингами и натом. Перед ними со стороны локалки
>cisco catalyst 4500, маршрутизирующая подсетки на 15 вланах (в 1 влане
>есть пограничные роутеры, не не это есть суть). Требуется умно по
>ip-адресам разводить абонентов по разным интернет-шлюзам (обуславливается наличием двух биллингов и
>нежеланием паразитов-абонентов переходить на один из них, ну так исторически сложилось).
>Смотрится соответственно в сторону ip policy с route-map, привязанных к соответствующим
>access-list'ам. Беда в том, что совокупное количество правил по всем вланам
>будет около 1500. При вводе части (около 550) из этих правил,
>время отклика ping от коммутатора возросло до неприличия, а у части
>пользователей стал отваливаться инет, в результате чего все с треском было
>возвращено обратно (это отдельная история, один из интернет шлюзов занимается сейчас
>этой задачей с помощью source-routing'а на bsd, большая загрузка сервера как
>следствие). Вот что прописано на один vlan (пример самый маленький):
>!
>interface Vlan3
> ip address 192.168.5.254 255.255.255.0
> no ip proxy-arp
> ip policy route-map office_lan
>!
>!
>ip access-list standard office_access
> permit 192.168.5.77
> permit 192.168.5.56
>!
>!
>route-map office_lan permit 10
> match ip address office_access
> set ip default next-hop 192.168.1.1 (дефолтовый роут на 192.168.1.11 для остальных).
>
>
>Мало знаком с cisco'й. Правила соответственно списаны с example на cisco.com. Если
>у кого-нибудь был удачный опыт в оптимизации pbr на такое количество
>пользователей, или есть какие-нибудь мысли по улучшению этого процесса, ПОМОГИТЕ!

а эти клиенты агрегации не подлежат ?

"route-map cisco 4500"
Отправлено LeniX , 28-Окт-06 16:20 
Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то другое? Если в сетку, то нет, даже маской не сыграешь... Только ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100 подсетей.


"route-map cisco 4500"
Отправлено Lacunacoil , 28-Окт-06 16:58 
>Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то
>другое? Если в сетку, то нет, даже маской не сыграешь... Только
>ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100
>подсетей.
тогда это будет сложно...

"route-map cisco 4500"
Отправлено ak , 29-Окт-06 01:11 
>Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то
>другое? Если в сетку, то нет, даже маской не сыграешь... Только
>ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100
>подсетей.


должно работать..

1. какой суп и софт ?
2. сколько security ace/acl используется вообще?

попробуй заменить set ip default next-hop на просто set ip next-hop


"route-map cisco 4500"
Отправлено LeniX , 30-Окт-06 10:58 
>>Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то
>>другое? Если в сетку, то нет, даже маской не сыграешь... Только
>>ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100
>>подсетей.
>
>
>должно работать..
>
>1. какой суп и софт ?
>2. сколько security ace/acl используется вообще?
>
>попробуй заменить set ip default next-hop на просто set ip next-hop


1. 12.2 SG (31)
2. Вообще кроме этих правил ничего не используется, записей относительно роутинга мапа на default next-hop планируется использовать около 1500.

set ip next-hop не подходит, локальные сетки тогда тоже будут идти на этот next-hop, что в нашем случае недопустимо, шлюз будет заваливаться.

"route-map cisco 4500"
Отправлено LeniX , 30-Окт-06 11:00 
>>Агрегации в смысле объединения в одну подсетку? Или имеется в виду что-то
>>другое? Если в сетку, то нет, даже маской не сыграешь... Только
>>ip-адреса из разных подсетей, на одном интерфейсе есть даже около 100
>>подсетей.
>
>
>должно работать..
>
>1. какой суп и софт ?
>2. сколько security ace/acl используется вообще?
>
>попробуй заменить set ip default next-hop на просто set ip next-hop


суп 4515