The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"route-map или динамический АСЛ для ната"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (ok) on 16-Окт-06, 02:06 
В общем сейчас предоставление/не предоставление интернета заключается в изменение соответсвующего ACL:
ip nat pool p1 ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх netmask 255.255.255.248
ip nat inside source list 100 pool p1 overload
...
access-list 100 permit ip host 10.х1.х1.хх any
access-list 100 permit ip host 10.х1.х3.хх any
access-list 100 permit ip host 10.х1.х3.хх any
access-list 100 permit ip host 10.х1.х7.хх any
access-list 100 permit ip host 10.х1.х0.хх any
...
Соответсвенно 100-лист постоянно меняется (висит робот, который изменяет этот список). Минусы такого решения я вижу - после вытирания из списка записи в таблице НАТа остаются и как бы инет отключился у пользователя не полностью (аська работать продолжает и т.д.) + самый главный минус - список может быть очень большим и часто может меняться..

Но я пока не могу придумать, как все это дело изменить на route-map и как в этом решении будет хуже-лучше с загрузкой циски в целом. Т.е. для ната ACL 100 будет из одной строки:
access-list 100 permit ip 10.0.0.0 0.255.255.255 any

А вот роутинг для всех этих айпишников должен быть изначально выключен, и только по запросу включаться (т.е. чтобы даже пакет до НАТа не добегал). Помогите, пожалуйста, с составлением такого route-map'a, желательно на примере.

Т.е. нужно получить тоже что и сейчас - изначально инет не предоставляется, робот прописывает как-то маршрутизация для этого айпишника - и если айпишник "заначенный", то у него появляется сразу инет через НАТ согласно ACL-100, а если прямой айпишник - то просто начинают прокидываться пакетики. Я вот только думаю - если этот route-map будет использовать ACL - и этот ACL ведь тоже будет постоянно меняться да и здоровый он может быть (500..1000..2000 записей) - насколько он медленно будет обрабатываться?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "route-map или динамический АСЛ для ната"  
Сообщение от ilya email(ok) on 16-Окт-06, 09:02 
>В общем сейчас предоставление/не предоставление интернета заключается в изменение соответсвующего ACL:
>ip nat pool p1 ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх netmask 255.255.255.248
>ip nat inside source list 100 pool p1 overload
>...
>access-list 100 permit ip host 10.х1.х1.хх any
>access-list 100 permit ip host 10.х1.х3.хх any
>access-list 100 permit ip host 10.х1.х3.хх any
>access-list 100 permit ip host 10.х1.х7.хх any
>access-list 100 permit ip host 10.х1.х0.хх any
>...
>Соответсвенно 100-лист постоянно меняется (висит робот, который изменяет этот список). Минусы такого
>решения я вижу - после вытирания из списка записи в таблице
>НАТа остаются и как бы инет отключился у пользователя не полностью
>(аська работать продолжает и т.д.) + самый главный минус - список
>может быть очень большим и часто может меняться..
>
>Но я пока не могу придумать, как все это дело изменить на
>route-map и как в этом решении будет хуже-лучше с загрузкой циски
>в целом. Т.е. для ната ACL 100 будет из одной строки:
>
>access-list 100 permit ip 10.0.0.0 0.255.255.255 any
>
>А вот роутинг для всех этих айпишников должен быть изначально выключен, и
>только по запросу включаться (т.е. чтобы даже пакет до НАТа не
>добегал). Помогите, пожалуйста, с составлением такого route-map'a, желательно на примере.
>
>Т.е. нужно получить тоже что и сейчас - изначально инет не предоставляется,
>робот прописывает как-то маршрутизация для этого айпишника - и если айпишник
>"заначенный", то у него появляется сразу инет через НАТ согласно ACL-100,
>а если прямой айпишник - то просто начинают прокидываться пакетики. Я
>вот только думаю - если этот route-map будет использовать ACL -
>и этот ACL ведь тоже будет постоянно меняться да и здоровый
>он может быть (500..1000..2000 записей) - насколько он медленно будет обрабатываться?
>


а может быть использовать именованный список доступа? а далее подкрутить робота так, что бы он только нужные записи удалял или добавлял?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (ok) on 16-Окт-06, 11:54 
>
>а может быть использовать именованный список доступа? а далее подкрутить робота так,
>что бы он только нужные записи удалял или добавлял?
мммммм... например? :) Я пока не представляю как это реализовать даже. AAA не пользуется вообще сейчас - т.е. авторизация вынесенная - прописывание доступа делается отдельным роботом (не радиусом).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "route-map или динамический АСЛ для ната"  
Сообщение от ilya email(ok) on 17-Окт-06, 08:48 
>>
>>а может быть использовать именованный список доступа? а далее подкрутить робота так,
>>что бы он только нужные записи удалял или добавлял?
>мммммм... например? :) Я пока не представляю как это реализовать даже. AAA
>не пользуется вообще сейчас - т.е. авторизация вынесенная - прописывание доступа
>делается отдельным роботом (не радиусом).


так, сорри, я немного невнимателен вчера был $(
а чем неустраивает список доступа на интерфейсе?
т.е. сначала прописываете правила куда можно (если можно), а потом разрешающие правила permit ip host any и их меняете.
как вариант после изменения списка доступа делать clear ip nat transl * - но это плохо порвет соединения всех пользователей....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (ok) on 18-Окт-06, 04:35 
>>>
>>>а может быть использовать именованный список доступа? а далее подкрутить робота так,
>>>что бы он только нужные записи удалял или добавлял?
>>мммммм... например? :) Я пока не представляю как это реализовать даже. AAA
>>не пользуется вообще сейчас - т.е. авторизация вынесенная - прописывание доступа
>>делается отдельным роботом (не радиусом).
>
>
>так, сорри, я немного невнимателен вчера был $(
>а чем неустраивает список доступа на интерфейсе?
>т.е. сначала прописываете правила куда можно (если можно), а потом разрешающие правила
>permit ip host any и их меняете.
>как вариант после изменения списка доступа делать clear ip nat transl *
>- но это плохо порвет соединения всех пользователей....


эээ.. Есть один интерфейс. И есть нат на нем. И есть толпа пользователей, которым изначально инет не нужен.. ;) точнее нужен тем, кому можно туда ходить. Если можно - по запросу (клиента - есть заталкивание в тунель некоторых пакетов на определенные адреса - т.е. доступ в тунель есть и должен быть всегда) робот прописывает (сейчас) в некий ACL строчку permit ip host xxxxx any.. Когда инет больше не нужен пользователю - строчка роботом вытирается. Минусы я уже обрисовал выше - остаточные трансляции, большой лист получается - начинаются просто банальные притормаживания на его обработке НАТом - снижение общей производительности киски в целом. + приходится прописывать в отдельный ACL тех, кому инет необходим без ната (в ACL, что на access-group in висит) - соответсвенно при разрастании этого списка тоже начинаются притормаживания. Компилирование ACL не помогает в этой ситуации - так как выписывание-прописывание клиентом может происходить довольно интенсивно и при каждом изменении списком циска тутже их перекомпилировать начинает - тормоза только увеличивают, точнее даже ступор на пару секунд.

Поэтому вот думаю - как можно по-другому решить данную задачу. Может можно как-то хитро извернуться с роутингом (route-map?)? но пока мозгов своих не хватате, чтобы придумать как - вот и прошу совета, да и опыта в реализации route-map'ов мало - не знаю как себя будет чувствовать себя циска (томрознее или лучше) при использовании больших некомпилированных ACL :( Вот.. Need help (c) :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "route-map или динамический АСЛ для ната"  
Сообщение от ilya email(ok) on 18-Окт-06, 09:49 
погодите.
что мешает сделать следующую схему:
НАТ разрешаем всем, какой нужно - или нат, или без ната - вам виднее.
а вот пускаем за роутер только тех кого можно - списком доступа на интерфейсе. запись удалили - инет сразу пропал... я про это говорил в предыдущем посте.

только это все кривовато ИМХО. если правил/пользователей много - не проще сделать AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и его пускало в инет. А вот на радиусе будете решать - авторизовать пользователя сейчас или нет...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (ok) on 19-Окт-06, 17:47 
>погодите.
>что мешает сделать следующую схему:
>НАТ разрешаем всем, какой нужно - или нат, или без ната -
>вам виднее.
>а вот пускаем за роутер только тех кого можно - списком доступа
>на интерфейсе. запись удалили - инет сразу пропал... я про это
>говорил в предыдущем посте.
Можно небольшим примерчиком набросать - чтоб мне наглядней было? Если не трудно, конечно.

>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>его пускало в инет. А вот на радиусе будете решать -
>авторизовать пользователя сейчас или нет...
А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю? Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или не стала.

Да, а чем отличается ручное прописывание маршрута для конкретного IP от того, что RADIUS говорит кого пускать а кого нет. Т.е. я никак не пойму - как Radius это делает. Т.е. как можно обойтись без RADUISa, но по сути делая так же, как Raidus - запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).

Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop global-int..
МОжно ли так реализовать? При чем с условием, что изначально роутинг не делается для всех пользовательских айпишников..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "route-map или динамический АСЛ для ната"  
Сообщение от ilya email(ok) on 19-Окт-06, 18:46 
>>погодите.
>>что мешает сделать следующую схему:
>>НАТ разрешаем всем, какой нужно - или нат, или без ната -
>>вам виднее.
>>а вот пускаем за роутер только тех кого можно - списком доступа
>>на интерфейсе. запись удалили - инет сразу пропал... я про это
>>говорил в предыдущем посте.
>Можно небольшим примерчиком набросать - чтоб мне наглядней было? Если не трудно,
>конечно.
гм.

access-list for_nat permit 192.168.0.0 0.0.255.255 any
далее в natе используете этот список доступа

список доступа на интерфейсе:
access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
access-list dynamic_access permit host 192.168.1.1 any

т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили - никто другой нет. хотя правила ната есть... вот что имелось в виду - банальный ACL на интерфейсе...
он будет работать сразу после применения и отрубать тоже сразу.

>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>>его пускало в инет. А вот на радиусе будете решать -
>>авторизовать пользователя сейчас или нет...
>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю?
>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит
>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или
>не стала.
>
>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того,
>что RADIUS говорит кого пускать а кого нет. Т.е. я никак
>не пойму - как Radius это делает. Т.е. как можно обойтись
>без RADUISa, но по сути делая так же, как Raidus -
>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
>
>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим
>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop
>global-int..
>МОжно ли так реализовать? При чем с условием, что изначально роутинг не
>делается для всех пользовательских айпишников..

гм. завтра скажу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (??) on 20-Окт-06, 23:34 
>список доступа на интерфейсе:
>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
>access-list dynamic_access permit host 192.168.1.1 any
нету у меня такого.. :(
Если я правильно понял:

ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248
ip nat inside source list 100 pool p1 overload

interface FastEthernet0/1/0
...
ip access-group 156 in
ip nat inside
service-policy output Global
ip route-cache policy
no ip mroute-cache
full-duplex
no cdp enable
end

access-list 100 remark Global-NAT - internet access
access-list 100 permit ip host 10.111.2.3 any
access-list 100 permit ip host 10.111.2.4 any
access-list 100 permit ip host 10.111.4.1 any
.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать
сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже именно доступом или роутингом... но как правильнее? так как сейчас изменяется 100-й ACL и он уже довольно большой.. меняется роботом довольно часто)

а доступ для прямый айпишников рулится действительно с списке доступа - 156 у меня:
access-list 156 remark For incoming packets to f1
access-list 156 permit ip host 0.0.0.0 host 255.255.255.255
access-list 156 deny   ip any host 255.255.255.255
access-list 156 deny   ip any host 10.255.255.255
access-list 156 permit icmp 10.0.0.0 0.255.255.255 any
access-list 156 deny   tcp any any range 135 139
access-list 156 deny   tcp any any eq 445
access-list 156 permit ip 10.0.0.0 0.255.255.255 any
access-list 156 permit ip host xxx.xxx.xxx.200 any
access-list 156 permit ip host xxx.xxx.xxx.205 any
access-list 156 permit ip host xxx.xxx.xxx.215 any

Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже).
Почему я так не сделал для "заначенных" - потому что помню опыт вешанья такого листа на 1600 циске еще (сейчас 7500) - если список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому сейчас применяю этот метод только для прямых айпишников - так как кол-во их очень большое.

>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили -
>никто другой нет. хотя правила ната есть... вот что имелось в
>виду - банальный ACL на интерфейсе...
>он будет работать сразу после применения и отрубать тоже сразу.
ммм.. ну у тебя он динамический - у меня почему-то нет возможности даже делать их динамическими и, насколько я понял, динамическая запись сама по себе грохается (по какому-то таймауту), что в моем случае не применимо вообще идеологически - само оно не должно грохаться, а именно тогда, когда нужно - вытираться. Я пока не придумал, как это сделать красиво и эффективно :(

>
>
>
>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>>>его пускало в инет. А вот на радиусе будете решать -
>>>авторизовать пользователя сейчас или нет...
>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю?
>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит
>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или
>>не стала.
>>
>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того,
>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак
>>не пойму - как Radius это делает. Т.е. как можно обойтись
>>без RADUISa, но по сути делая так же, как Raidus -
>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
>>
>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим
>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop
>>global-int..
>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не
>>делается для всех пользовательских айпишников..
>
>гм. завтра скажу.
Буду очень признателен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "route-map или динамический АСЛ для ната"  
Сообщение от ilya email(ok) on 23-Окт-06, 08:43 
>>список доступа на интерфейсе:
>>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
>>access-list dynamic_access permit host 192.168.1.1 any
>нету у меня такого.. :(
>Если я правильно понял:
>
>ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248
>ip nat inside source list 100 pool p1 overload
>
>interface FastEthernet0/1/0
>...
> ip access-group 156 in
> ip nat inside
> service-policy output Global
> ip route-cache policy
> no ip mroute-cache
> full-duplex
> no cdp enable
>end
>
>access-list 100 remark Global-NAT - internet access
>access-list 100 permit ip host 10.111.2.3 any
>access-list 100 permit ip host 10.111.2.4 any
>access-list 100 permit ip host 10.111.4.1 any
>.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать
>
>сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже
>именно доступом или роутингом... но как правильнее? так как сейчас изменяется
>100-й ACL и он уже довольно большой.. меняется роботом довольно часто)
>
>
>а доступ для прямый айпишников рулится действительно с списке доступа - 156
>у меня:
>access-list 156 remark For incoming packets to f1
>access-list 156 permit ip host 0.0.0.0 host 255.255.255.255
>access-list 156 deny   ip any host 255.255.255.255
>access-list 156 deny   ip any host 10.255.255.255
>access-list 156 permit icmp 10.0.0.0 0.255.255.255 any
>access-list 156 deny   tcp any any range 135 139
>access-list 156 deny   tcp any any eq 445
>access-list 156 permit ip 10.0.0.0 0.255.255.255 any
>access-list 156 permit ip host xxx.xxx.xxx.200 any
>access-list 156 permit ip host xxx.xxx.xxx.205 any
>access-list 156 permit ip host xxx.xxx.xxx.215 any
>
>Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже).
>Почему я так не сделал для "заначенных" - потому что помню опыт
>вешанья такого листа на 1600 циске еще (сейчас 7500) - если
>список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому
>сейчас применяю этот метод только для прямых айпишников - так как
>кол-во их очень большое.
>
ну блин, попробуйте - кошка может и будет грузить процессор - но только в момент загрузки списка доступа (и то не сильно). да и попробуйте разными способами, не только через tftp (ftp,ssh).

>>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили -
>>никто другой нет. хотя правила ната есть... вот что имелось в
>>виду - банальный ACL на интерфейсе...
>>он будет работать сразу после применения и отрубать тоже сразу.
>ммм.. ну у тебя он динамический - у меня почему-то нет возможности
>даже делать их динамическими и, насколько я понял, динамическая запись сама
>по себе грохается (по какому-то таймауту), что в моем случае не
>применимо вообще идеологически - само оно не должно грохаться, а именно
>тогда, когда нужно - вытираться. Я пока не придумал, как это
>сделать красиво и эффективно :(
ну дык я говорил про обычный список доступа - динамический завязан на пользователей полностью.

>>
>>
>>
>>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>>>>его пускало в инет. А вот на радиусе будете решать -
>>>>авторизовать пользователя сейчас или нет...
>>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю?
>>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит
>>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или
>>>не стала.
>>>
>>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того,
>>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак
>>>не пойму - как Radius это делает. Т.е. как можно обойтись
>>>без RADUISa, но по сути делая так же, как Raidus -
>>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
>>>
>>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим
>>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop
>>>global-int..
>>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не
>>>делается для всех пользовательских айпишников..
>>
>>гм. завтра скажу.
>Буду очень признателен.
либо плохо смотрю, либо только тайм-аут...либо ничего. хотя может быть ошибаюсь...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "route-map или динамический АСЛ для ната"  
Сообщение от Изгой (ok) on 24-Окт-06, 09:21 
>>>список доступа на интерфейсе:
>>>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
>>>access-list dynamic_access permit host 192.168.1.1 any
>>нету у меня такого.. :(
>>Если я правильно понял:
>>
>>ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248
>>ip nat inside source list 100 pool p1 overload
>>
>>interface FastEthernet0/1/0
>>...
>> ip access-group 156 in
>> ip nat inside
>> service-policy output Global
>> ip route-cache policy
>> no ip mroute-cache
>> full-duplex
>> no cdp enable
>>end
>>
>>access-list 100 remark Global-NAT - internet access
>>access-list 100 permit ip host 10.111.2.3 any
>>access-list 100 permit ip host 10.111.2.4 any
>>access-list 100 permit ip host 10.111.4.1 any
>>.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать
>>
>>сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже
>>именно доступом или роутингом... но как правильнее? так как сейчас изменяется
>>100-й ACL и он уже довольно большой.. меняется роботом довольно часто)
>>
>>
>>а доступ для прямый айпишников рулится действительно с списке доступа - 156
>>у меня:
>>access-list 156 remark For incoming packets to f1
>>access-list 156 permit ip host 0.0.0.0 host 255.255.255.255
>>access-list 156 deny   ip any host 255.255.255.255
>>access-list 156 deny   ip any host 10.255.255.255
>>access-list 156 permit icmp 10.0.0.0 0.255.255.255 any
>>access-list 156 deny   tcp any any range 135 139
>>access-list 156 deny   tcp any any eq 445
>>access-list 156 permit ip 10.0.0.0 0.255.255.255 any
>>access-list 156 permit ip host xxx.xxx.xxx.200 any
>>access-list 156 permit ip host xxx.xxx.xxx.205 any
>>access-list 156 permit ip host xxx.xxx.xxx.215 any
>>
>>Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже).
>>Почему я так не сделал для "заначенных" - потому что помню опыт
>>вешанья такого листа на 1600 циске еще (сейчас 7500) - если
>>список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому
>>сейчас применяю этот метод только для прямых айпишников - так как
>>кол-во их очень большое.
>>
>ну блин, попробуйте - кошка может и будет грузить процессор - но
>только в момент загрузки списка доступа (и то не сильно). да
>и попробуйте разными способами, не только через tftp (ftp,ssh).
>
>>>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили -
>>>никто другой нет. хотя правила ната есть... вот что имелось в
>>>виду - банальный ACL на интерфейсе...
>>>он будет работать сразу после применения и отрубать тоже сразу.
>>ммм.. ну у тебя он динамический - у меня почему-то нет возможности
>>даже делать их динамическими и, насколько я понял, динамическая запись сама
>>по себе грохается (по какому-то таймауту), что в моем случае не
>>применимо вообще идеологически - само оно не должно грохаться, а именно
>>тогда, когда нужно - вытираться. Я пока не придумал, как это
>>сделать красиво и эффективно :(
>ну дык я говорил про обычный список доступа - динамический завязан на
>пользователей полностью.
>
>>>
>>>
>>>
>>>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>>>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>>>>>его пускало в инет. А вот на радиусе будете решать -
>>>>>авторизовать пользователя сейчас или нет...
>>>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю?
>>>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит
>>>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или
>>>>не стала.
>>>>
>>>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того,
>>>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак
>>>>не пойму - как Radius это делает. Т.е. как можно обойтись
>>>>без RADUISa, но по сути делая так же, как Raidus -
>>>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
>>>>
>>>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим
>>>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop
>>>>global-int..
>>>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не
>>>>делается для всех пользовательских айпишников..
>>>
>>>гм. завтра скажу.
>>Буду очень признателен.
>либо плохо смотрю, либо только тайм-аут...либо ничего. хотя может быть ошибаюсь...
PPTP - неподойдёт ? с удалением или добавлением пользователей ?
вот только я не знаю как рвать сессию , ведь после удаления пользователя ,если сессия была активна она остаёться ... правда проверять и пробывать пока негде , нужно стенд собирать. А потом эт тоже неочень красиво для этого такакс и радиус вроде есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (ok) on 24-Окт-06, 18:05 
>PPTP - неподойдёт ? с удалением или добавлением пользователей ?
>вот только я не знаю как рвать сессию , ведь после удаления
>пользователя ,если сессия была активна она остаёться ... правда проверять и
>пробывать пока негде , нужно стенд собирать. А потом эт тоже
>неочень красиво для этого такакс и радиус вроде есть.

PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения у всех клиентов, которые пользуются инетом.
Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений со стороны клиентов (без организации VPN в любом его проявлении).

Сейчас имеется решение:
есть два списка - один есть ACL что используется в пуле NAT'a, другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но - как я уже сказал, нат-айишников много, получается офигенный список, что используется в пуле НАТа.
Сейчас висит робот, который банальным телнетом все это делает через консоль - т.е. список не перегружается, а просто добавляется или удаляется нужная строчка в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске по телнету-ssh).

Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не пропадает - записи ведь есть и по ним данные спокойно гоняются, постоянно меняющийся ACL пула ни к чему хорошему не приходит) и хочется от них уйти. Как уйти - я примерно только предполагаю, но пока не могу никак это реализовать - например через route-map, так как не разобрался, как сказать циске, что все что в этом ACL - крути на такой-то интерфейс, при необходимости пропуская через НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько маршрутов, которые должны действовать всегда - доступ на пару сайтов у клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда инет для клиента выключен. Т.е. по идее есть маршруты, которые должны действовать всегда и извне должен быть доступ к циске (т.е. - маршрут должен быть всегда), должно быть правило на проброс тех, кому сейчас можно в инет ходить - а вот все остальное нужно дропать (килять на месте).. Пока не смог такое прикрутить :(

Вот и спрашиваю - как еще можно или как реализовать.. :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "route-map или динамический АСЛ для ната"  
Сообщение от Изгой (??) on 25-Окт-06, 10:04 
>>PPTP - неподойдёт ? с удалением или добавлением пользователей ?
>>вот только я не знаю как рвать сессию , ведь после удаления
>>пользователя ,если сессия была активна она остаёться ... правда проверять и
>>пробывать пока негде , нужно стенд собирать. А потом эт тоже
>>неочень красиво для этого такакс и радиус вроде есть.
>
>PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения
>у всех клиентов, которые пользуются инетом.
>Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений
>со стороны клиентов (без организации VPN в любом его проявлении).
>
>Сейчас имеется решение:
>есть два списка - один есть ACL что используется в пуле NAT'a,
>другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи
>в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников
>мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но
>- как я уже сказал, нат-айишников много, получается офигенный список, что
>используется в пуле НАТа.
>Сейчас висит робот, который банальным телнетом все это делает через консоль -
>т.е. список не перегружается, а просто добавляется или удаляется нужная строчка
>в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске
>по телнету-ssh).
>
>Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не
>пропадает - записи ведь есть и по ним данные спокойно гоняются,
>постоянно меняющийся ACL пула ни к чему хорошему не приходит) и
>хочется от них уйти. Как уйти - я примерно только предполагаю,
>но пока не могу никак это реализовать - например через route-map,
>так как не разобрался, как сказать циске, что все что в
>этом ACL - крути на такой-то интерфейс, при необходимости пропуская через
>НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько
>маршрутов, которые должны действовать всегда - доступ на пару сайтов у
>клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда
>инет для клиента выключен. Т.е. по идее есть маршруты, которые должны
>действовать всегда и извне должен быть доступ к циске (т.е. -
>маршрут должен быть всегда), должно быть правило на проброс тех, кому
>сейчас можно в инет ходить - а вот все остальное нужно
>дропать (килять на месте).. Пока не смог такое прикрутить :(
>
>Вот и спрашиваю - как еще можно или как реализовать.. :(
http://cisco.com/en/US/products/sw/iosswrel/ps1834/products_feature_guide09186a0080080348.html
http://cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00804c3d75.html
такакс
,
если это не подходит то остаётся акцес листы на внутренний шлюз и правит скриптом
как уже говорилось, если в случае аутентификации прокси использовать локальную базу
на циско ( если такое возможно ) то пользователей тоже тереть роботом придёться наверное и как это будет работать ... ?
Похоже лучше один раз сделать хорошо чем сто раз плохо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (ok) on 25-Окт-06, 19:19 
>>PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения
>>у всех клиентов, которые пользуются инетом.
>>Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений
>>со стороны клиентов (без организации VPN в любом его проявлении).
>>
>>Сейчас имеется решение:
>>есть два списка - один есть ACL что используется в пуле NAT'a,
>>другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи
>>в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников
>>мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но
>>- как я уже сказал, нат-айишников много, получается офигенный список, что
>>используется в пуле НАТа.
>>Сейчас висит робот, который банальным телнетом все это делает через консоль -
>>т.е. список не перегружается, а просто добавляется или удаляется нужная строчка
>>в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске
>>по телнету-ssh).
>>
>>Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не
>>пропадает - записи ведь есть и по ним данные спокойно гоняются,
>>постоянно меняющийся ACL пула ни к чему хорошему не приходит) и
>>хочется от них уйти. Как уйти - я примерно только предполагаю,
>>но пока не могу никак это реализовать - например через route-map,
>>так как не разобрался, как сказать циске, что все что в
>>этом ACL - крути на такой-то интерфейс, при необходимости пропуская через
>>НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько
>>маршрутов, которые должны действовать всегда - доступ на пару сайтов у
>>клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда
>>инет для клиента выключен. Т.е. по идее есть маршруты, которые должны
>>действовать всегда и извне должен быть доступ к циске (т.е. -
>>маршрут должен быть всегда), должно быть правило на проброс тех, кому
>>сейчас можно в инет ходить - а вот все остальное нужно
>>дропать (килять на месте).. Пока не смог такое прикрутить :(
>>
>>Вот и спрашиваю - как еще можно или как реализовать.. :(
>http://cisco.com/en/US/products/sw/iosswrel/ps1834/products_feature_guide09186a0080080348.html
>http://cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00804c3d75.html
>такакс
Хех.. покурил мануалы - спасибо. Но не воткнуло :( Как-то это через попу получится все в моем случае.

>если это не подходит то остаётся акцес листы на внутренний шлюз и
>правит скриптом как уже говорилось,
Я вот нашел (http://cisco.far.ru/2ispcfg.shtml) замечательный пример роутинга и реализации НАТа через route-map - очень понравилось. Думаю я уже сам смогу все реализовать.. осталось теперь проработать конфиг.
>Похоже лучше один раз сделать хорошо чем сто раз плохо.
Угу.. вот и стараюсь. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "route-map или динамический АСЛ для ната"  
Сообщение от den68 email(ok) on 04-Ноя-06, 04:32 
>... - не проще сделать
>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>его пускало в инет. А вот на радиусе будете решать -
>авторизовать пользователя сейчас или нет...

А можно подробнее про AUTH-прокси или downloaded ACL ?
downloaded ACL - это часом не удаленно лежащий файл ? и если cisco это умеет то с каким IOS ?

Оч. актуально...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (ok) on 02-Ноя-06, 18:40 
Народ - подскажите - что не так в конфиге? Оно работает... но как-то криво, по-моему (загрузка циски под 80-90%, но трафик прокидывается замечательно)
Может чего еще упустил по незнанию..
:
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
no service password-encryption
service compress-config
no service single-slot-reload-enable
..
clock timezone MSK 3
clock summer-time MSD recurring
ip subnet-zero
no ip bootp server
ip cef table consistency-check type lc-detect
ip cef table consistency-check type scan-lc
ip cef table consistency-check type scan-rp
ip cef table consistency-check type scan-rib
ip cef distributed
ip cef linecard ipc memory 15000
ip audit notify log
ip audit po max-events 100
no crypto isakmp enable
!
call rsvp-sync
interface Tunnel1
bandwidth 1024
ip address 192.168.1.2 255.255.255.252
tunnel source FastEthernet0/0/0
tunnel destination 213.888.888.223
!
interface FastEthernet0/0/0
ip address 213.888.888.111 255.255.255.252
ip access-group 150 in
ip nat outside
no ip mroute-cache
full-duplex
no cdp enable
!
interface FastEthernet0/1/0
ip address 213.888.888.111 255.255.255.192 secondary
ip address 61.888.888.888 255.255.255.192 secondary
ip address 10.0.0.1 255.0.0.0
ip access-group 155 in
ip nat inside
service-policy output Global
ip route-cache policy
no ip mroute-cache
ip policy route-map Global
full-duplex
no cdp enable
!
ip nat translation timeout 3600
ip nat translation tcp-timeout 900
ip nat translation pptp-timeout 1800
ip nat translation udp-timeout 30
ip nat translation dns-timeout 5
ip nat translation icmp-timeout 5
ip nat translation port-timeout tcp 80 15
ip nat translation port-timeout tcp 1600 10
ip nat translation port-timeout tcp 8080 10
ip nat translation port-timeout tcp 110 60
ip nat translation port-timeout tcp 25 60
ip nat translation port-timeout tcp 2041 10
ip nat translation port-timeout tcp 2042 10
ip nat translation port-timeout tcp 4662 5
ip nat pool ComcorNATPool 213.888.888.111 213.888.888.111 netmask 255.255.255.248
ip nat inside source route-map ComcorNAT pool ComcorNATPool overload
ip classless
ip route 0.0.0.0 0.0.0.0 213.888.888.222
no ip http server
ip http authentication local
!
logging trap debugging
logging facility local0
logging source-interface FastEthernet0/0/0
access-list 100 remark Routing for 10.x access
access-list 100 permit tcp host 10.111.111.1 any
access-list 100 permit tcp host 10.111.121.3 any
access-list 100 permit tcp host 10.111.111.22 any
access-list 100 permit tcp host 10.10.11.56 any
access-list 100 permit tcp host 10.11.13.34 any
.....
дофига записей в этом ACL-100, добавляются-удаляются скриптом для предоставления инета пользователю (через NAT)
.....
access-list 101 remark For NAT
access-list 101 permit ip 10.0.0.0 0.255.255.255 any

access-list 102 remark For drop all packets from routing
access-list 102 permit ip any any

access-list 105 remark Routing for permanent-host access
access-list 105 permit tcp any host 213.180.204.3 eq www
access-list 105 permit tcp any host 217.119.29.201 eq 8100
access-list 105 permit tcp any host 82.140.102.72 eq 8100
access-list 105 permit tcp any host 195.239.63.58 eq www
access-list 105 permit tcp any host 195.239.63.40 eq www
access-list 105 permit tcp any host 195.239.63.40 eq 8128
access-list 105 permit tcp any host 195.239.63.41 eq 8128
access-list 105 permit tcp any host 217.119.29.197 eq 8128
access-list 105 permit tcp any host 213.180.204.20 eq www
access-list 105 permit tcp any host 82.140.102.71 eq www
access-list 105 permit tcp any host 213.180.204.32 eq www
access-list 105 permit tcp any host 213.180.204.23 eq www
access-list 105 permit tcp any host 213.180.204.24 eq www
access-list 105 permit tcp any 213.180.204.0 0.0.0.63 eq 443

access-list 150 remark Rules for incoming packets to f0
access-list 150 deny   udp any any range 135 netbios-ss
access-list 150 deny   tcp any any range 135 139
access-list 150 deny   tcp any any eq 445
access-list 150 deny   tcp any any range 1025 1027
access-list 150 permit ip any any
access-list 155 remark Filter of incoming packets to f1
access-list 155 permit ip host 0.0.0.0 host 255.255.255.255
access-list 155 deny   ip any host 255.255.255.255
access-list 155 deny   ip any host 213.888.88.255
access-list 155 deny   ip any host 61.888.888.255
access-list 155 deny   ip any host 10.255.255.255
access-list 155 permit icmp 10.0.0.0 0.255.255.255 any
access-list 155 deny   tcp any any range 1025 1027
access-list 155 deny   udp any any range 135 netbios-ss
access-list 155 deny   tcp any any range 135 139
access-list 155 deny   tcp any any eq 445
access-list 155 deny   ip any 192.168.0.0 0.0.255.255
access-list 155 permit ip 10.0.0.0 0.255.255.255 any
access-list 155 permit ip 61.888.888.192 0.0.0.63 any
access-list 155 permit ip 213.888.888.888 0.0.0.63 any

access-list 156 remark Routing permit for static IPs
access-list 156 permit ip host 61.888.888.111 any
access-list 156 permit ip host 61.888.888.222 any
.....
некоторое кол-во записей в этом ACL-156, добавляются-удаляются скриптом для предоставления инета пользователю (с прямыми айпишниками)
.....
access-list 160 remark For policy-map tunneling
access-list 160 permit ip any host 192.888.888.888
access-list 160 permit tcp any host 192.888.888.888 eq 88888
....
no cdp run
route-map Global permit 10
match ip address 160
set ip next-hop 192.168.1.1
!
route-map Global permit 20
match ip address 100
set ip next-hop 213.888.888.222
!
route-map Global permit 30
match ip address 156
set ip next-hop 213.888.888.222
!
route-map Global permit 40
match ip address 105
set ip next-hop 213.888.888.222
!
route-map Global permit 50
match ip address 102
set interface Null0
!
route-map ComcorNAT permit 10
match ip address 101
match interface FastEthernet0/0/0
!
--------------------------

Вот можно поправить в этом конфиге, уважаемые гуру?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "route-map или динамический АСЛ для ната"  
Сообщение от ilya email(ok) on 03-Ноя-06, 17:55 
1. посмотреть что грузит циску.
2. когда грузится циска? постоянно?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "route-map или динамический АСЛ для ната"  
Сообщение от ilya email(ok) on 03-Ноя-06, 17:59 
>1. посмотреть что грузит циску.
>2. когда грузится циска? постоянно?

и попробуйте убрать
ip route-cache policy
с интерфейса
у вас так получается, что интерфейс использует fast-switching

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (ok) on 04-Ноя-06, 01:10 
>>1. посмотреть что грузит циску.
Не понятно что грузит (ето максимальное, что жрет проц) - все остальные процессы ничего не грузят :( вот выдержка из tech-supp:

CPU utilization for five seconds: 99%/85%; one minute: 98%; five minutes: 99%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
   5       22096      2546       8678  0.16%  0.04%  0.02%   0 Check heaps      
  15      221468    493545        448  0.16%  0.26%  0.24%   0 ARP Input        
  26       16292     18683        872  0.00%  0.03%  0.01%   0 Per-Second Jobs  
  36       10164      1415       7183  4.24%  1.31%  0.38%   3 Virtual Exec    
  49     8102464   1952146       4150  6.94%  7.69%  6.05%   0 IP Input        
  72       77872     24960       3119  0.16%  0.10%  0.10%   0 CEF process      
  79      255116    545168        467  1.87%  1.77%  1.53%   2 Virtual Exec    
104     2659572   1519926       1749  1.30%  2.12%  1.73%   0 IP NAT Ager      
105      197244      1216     162207  0.00%  0.42%  0.41%   0 CEF Scanner      
Все остальные процы - ноль в трех столбцах.

------------------ show memory statistics ------------------
                Head    Total(b)     Used(b)     Free(b)   Lowest(b)  Largest(b)
Processor   42799F40   159801536    16519940   143281596   142813672   143124848
     Fast   42779F40      131080       35256       95824       95824       95772
------------------ show process memory ------------------
Total: 159801536, Used: 16518320, Free: 143283216

FastEthernet0/1/0 is up, line protocol is up
  Hardware is cyBus FastEthernet Interface, address is 00d0.979c.6808
  Internet address is 10.0.0.1/8
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
     reliability 255/255, txload 61/255, rxload 33/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 76/75/463648/3517 (size/max/drops/flushes); Total output drops: 131076
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 13222000 bits/sec, 3929 packets/sec
  5 minute output rate 23957000 bits/sec, 4083 packets/sec
     52457752 packets input, 633054703 bytes, 0 no buffer
     Received 1398566 broadcasts, 0 runts, 0 giants, 14919* throttles
     175 input errors, 0 CRC, 0 frame, 0 overrun, 164 ignored
     0 watchdog
     0 input packets with dribble condition detected
     51016584 packets output, 2360426965 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 babbles, 0 late collision, 0 deferred
     1 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out


               CPU% per minute (last 60 minutes)
              * = maximum CPU%   # = average CPU%

     111                                                                  
     00099                                                                
     00099                                                                
100  #****                                                                
90  #****                                                                
80  ##*#*                                                                
70  ####*                                                                
60  #####                                                                
50  #####                                                                
40  #####                                                                
30  #####                                                                
20  #####                                                                
10  #####                                                                
    0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.


Minimum process stacks:
Free/Size   Name
5564/6000   CDP Protocol
9028/12000  Init
5444/6000   PostOfficeNet
5432/6000   RADIUS INITCONFIG
5232/6000   CEF Reloader
5692/6000   MDFS Reload
34824/36000  TCP Command
2460/3000   RSP memory size check
9060/12000  Virtual Exec
3464/6000   FTP Read Process

Interrupt level stacks:
Level    Called Unused/Size  Name
  1    29887535   6892/9000  Network Interrupt
  2      153936   8128/9000  Network Status Interrupt
  3           0   8688/9000  OIR interrupt
  4           0   9000/9000  PCMCIA Interrupt
  5         225   8640/9000  Console Uart
  6           0   9000/9000  Error Interrupt
  7     4893690   8600/9000  NMI Interrupt Handler

>>2. когда грузится циска? постоянно?
Постоянно :( При трафика 20 мбит процессор лежит насмерть. При этом трафик вроде прокидывается нормально.. лагает именно сам проц - на консоле невозможно работать, скрипты, управляющие циской начинают отваливаться.
Если убрать с интерфейса route-map, то циска ложится в 80-90% только при 40-50Мбит, что тоже некузяво, но лучше, чем с включенным route-map'ом :( не ожидал я, что так сильно загрузка вырастет. :( думал наоборот - процессору легче будет, так как по идее все ляжет на dCef.
>
>и попробуйте убрать
>ip route-cache policy
>с интерфейса
>у вас так получается, что интерфейс использует fast-switching
хмм. ничего не изменилось :( Но я что-то не понял - если включить fast-switching, то CEF и dCEF отвалятся? и чтобы все полетело на CEF надо выключить fast-switching? Извиняюсь за такие вопросы - то нет до конца полного понимания в этом вопросе. Если не затруднит - не могли бы немного разъянить с небольшими примерами?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "route-map или динамический АСЛ для ната"  
Сообщение от Изгой (??) on 07-Ноя-06, 09:41 
>>>1. посмотреть что грузит циску.
>Не понятно что грузит (ето максимальное, что жрет проц) - все остальные
>процессы ничего не грузят :( вот выдержка из tech-supp:
>
>CPU utilization for five seconds: 99%/85%; one minute: 98%; five minutes: 99%
>
> PID Runtime(ms)   Invoked      uSecs
>  5Sec   1Min   5Min TTY Process
>
>   5       22096  
>    2546      
>8678  0.16%  0.04%  0.02%   0 Check
>heaps
>  15      221468    
>493545        448  0.16%
> 0.26%  0.24%   0 ARP Input
>  26       16292  
>  18683        872
> 0.00%  0.03%  0.01%   0 Per-Second Jobs
>
>  36       10164  
>   1415       7183
> 4.24%  1.31%  0.38%   3 Virtual Exec
>
>  49     8102464   1952146  
>     4150  6.94%  7.69%  
>6.05%   0 IP Input
>  72       77872  
>  24960       3119  
>0.16%  0.10%  0.10%   0 CEF process
>  79      255116    
>545168        467  1.87%
> 1.77%  1.53%   2 Virtual Exec
> 104     2659572   1519926  
>    1749  1.30%  2.12%  1.73%
>  0 IP NAT Ager
> 105      197244    
> 1216     162207  0.00%  0.42%
> 0.41%   0 CEF Scanner
>Все остальные процы - ноль в трех столбцах.
>
>------------------ show memory statistics ------------------
>            
>    Head    Total(b)  
>  Used(b)     Free(b)   Lowest(b)
> Largest(b)
>Processor   42799F40   159801536    16519940  
> 143281596   142813672   143124848
>     Fast   42779F40    
>  131080       35256  
>     95824      
> 95824       95772
>------------------ show process memory ------------------
>Total: 159801536, Used: 16518320, Free: 143283216
>
>FastEthernet0/1/0 is up, line protocol is up
>  Hardware is cyBus FastEthernet Interface, address is 00d0.979c.6808
>  Internet address is 10.0.0.1/8
>  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
>     reliability 255/255, txload 61/255, rxload 33/255
>  Encapsulation ARPA, loopback not set
>  Keepalive set (10 sec)
>  Full-duplex, 100Mb/s, 100BaseTX/FX
>  ARP type: ARPA, ARP Timeout 04:00:00
>  Last input 00:00:00, output 00:00:00, output hang never
>  Last clearing of "show interface" counters never
>  Input queue: 76/75/463648/3517 (size/max/drops/flushes); Total output drops: 131076
>  Queueing strategy: fifo
>  Output queue: 0/40 (size/max)
>  5 minute input rate 13222000 bits/sec, 3929 packets/sec
>  5 minute output rate 23957000 bits/sec, 4083 packets/sec
>     52457752 packets input, 633054703 bytes, 0 no
>buffer
>     Received 1398566 broadcasts, 0 runts, 0 giants,
>14919* throttles
>     175 input errors, 0 CRC, 0 frame,
>0 overrun, 164 ignored
>     0 watchdog
>     0 input packets with dribble condition detected
>
>     51016584 packets output, 2360426965 bytes, 0 underruns
>
>     0 output errors, 0 collisions, 0 interface
>resets
>     0 babbles, 0 late collision, 0 deferred
>
>     1 lost carrier, 0 no carrier
>     0 output buffer failures, 0 output buffers
>swapped out
>
>
>            
>   CPU% per minute (last 60 minutes)
>            
>  * = maximum CPU%   # = average
>CPU%
>
>     111
>     00099
>     00099
>100  #****
> 90  #****
> 80  ##*#*
> 70  ####*
> 60  #####
> 50  #####
> 40  #####
> 30  #####
> 20  #####
> 10  #####
>    0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
>
>
>Minimum process stacks:
> Free/Size   Name
> 5564/6000   CDP Protocol
> 9028/12000  Init
> 5444/6000   PostOfficeNet
> 5432/6000   RADIUS INITCONFIG
> 5232/6000   CEF Reloader
> 5692/6000   MDFS Reload
>34824/36000  TCP Command
> 2460/3000   RSP memory size check
> 9060/12000  Virtual Exec
> 3464/6000   FTP Read Process
>
>Interrupt level stacks:
>Level    Called Unused/Size  Name
>  1    29887535   6892/9000  Network
>Interrupt
>  2      153936   8128/9000
> Network Status Interrupt
>  3          
> 0   8688/9000  OIR interrupt
>  4          
> 0   9000/9000  PCMCIA Interrupt
>  5         225
>  8640/9000  Console Uart
>  6          
> 0   9000/9000  Error Interrupt
>  7     4893690   8600/9000  
>NMI Interrupt Handler
>
>>>2. когда грузится циска? постоянно?
>Постоянно :( При трафика 20 мбит процессор лежит насмерть. При этом трафик
>вроде прокидывается нормально.. лагает именно сам проц - на консоле невозможно
>работать, скрипты, управляющие циской начинают отваливаться.
>Если убрать с интерфейса route-map, то циска ложится в 80-90% только при
>40-50Мбит, что тоже некузяво, но лучше, чем с включенным route-map'ом :(
>не ожидал я, что так сильно загрузка вырастет. :( думал наоборот
>- процессору легче будет, так как по идее все ляжет на
>dCef.
>>
>>и попробуйте убрать
>>ip route-cache policy
>>с интерфейса
>>у вас так получается, что интерфейс использует fast-switching
>хмм. ничего не изменилось :( Но я что-то не понял - если
>включить fast-switching, то CEF и dCEF отвалятся? и чтобы все полетело
>на CEF надо выключить fast-switching? Извиняюсь за такие вопросы - то
>нет до конца полного понимания в этом вопросе. Если не затруднит
>- не могли бы немного разъянить с небольшими примерами?

Что за циска то ? сколько трафика -нагрузка пиковая . Сколько памяти у неё на борту.
Похоже такакс всё же светит с такой загрузкой.
cef - включаеться глобально ip cef
на интерфейсах ip rout-cache cef , вот только непомню с натом цеф работает или включаеться фаст свичинг. И всё равно в итоге будет зависить от того сколько способна пропустить циска, ещё с учёётом ваших длинных акцесс листов + pbr. + ЗАГРУЗКА СКРИПТОВ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "route-map или динамический АСЛ для ната"  
Сообщение от AlexFirst (??) on 07-Ноя-06, 15:18 
>Что за циска то ? сколько трафика -нагрузка пиковая . Сколько памяти
>у неё на борту.
Cisco 7507/192Mb + Vip2-50/64Mb/8Mb

cisco RSP4 (R5000) processor with 196608K/2072K bytes of memory.
R5000 CPU at 200MHz, Implementation 35, Rev 2.1, 512KB L2 Cache

>Похоже такакс всё же светит с такой загрузкой.
>cef - включаеться глобально ip cef
угу, включено..:
ip cef distributed
sh int stat
FastEthernet0/0/0
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
               Processor    1792649  520141559    2946429  218694176
             Route cache   36472828 3815222127   36748959 3886842173
       Distributed cache      15818    1047089      52359    5039056
                   Total   38281295 4336410775   39747747 4110575405
FastEthernet0/1/0
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
               Processor    3624851  271190338    1597031  499964805
             Route cache   36773288 3894920747   36443554 3799898360
       Distributed cache      63113    6837355       1086     200167
                   Total   40461252 4172948440   38041671 4300063332
Как видим - в дистрибуте практически 0, в IOS'e 12.2 и 12.3 NAT летит через fast-switching, но не через CEF (sh ip nat st это показывает: сколько через CEF, сколько мимо)

>на интерфейсах ip rout-cache cef , вот только непомню с натом цеф
>работает или включаеться фаст свичинг. И всё равно в итоге будет
>зависить от того сколько способна пропустить циска, ещё с учёётом ваших
>длинных акцесс листов + pbr. + ЗАГРУЗКА СКРИПТОВ.
Хмм.. теоретичесик RSP тянет 80Мбит прокачку, Vip2-50 - 400Мбит.. Однако даже 20Мбит сложно оказывается :( Блин.. чего делать - не знаю даже уже :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру