форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"route-map или динамический АСЛ для ната"

Сообщение от AlexFirst (ok) on 16-Окт-06, 02:06

В общем сейчас предоставление/не предоставление интернета заключается в изменение соответсвующего ACL: ip nat pool p1 ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх netmask 255.255.255.248 ip nat inside source list 100 pool p1 overload ... access-list 100 permit ip host 10.х1.х1.хх any access-list 100 permit ip host 10.х1.х3.хх any access-list 100 permit ip host 10.х1.х3.хх any access-list 100 permit ip host 10.х1.х7.хх any access-list 100 permit ip host 10.х1.х0.хх any ... Соответсвенно 100-лист постоянно меняется (висит робот, который изменяет этот список). Минусы такого решения я вижу - после вытирания из списка записи в таблице НАТа остаются и как бы инет отключился у пользователя не полностью (аська работать продолжает и т.д.) + самый главный минус - список может быть очень большим и часто может меняться.. Но я пока не могу придумать, как все это дело изменить на route-map и как в этом решении будет хуже-лучше с загрузкой циски в целом. Т.е. для ната ACL 100 будет из одной строки: access-list 100 permit ip 10.0.0.0 0.255.255.255 any А вот роутинг для всех этих айпишников должен быть изначально выключен, и только по запросу включаться (т.е. чтобы даже пакет до НАТа не добегал). Помогите, пожалуйста, с составлением такого route-map'a, желательно на примере. Т.е. нужно получить тоже что и сейчас - изначально инет не предоставляется, робот прописывает как-то маршрутизация для этого айпишника - и если айпишник "заначенный", то у него появляется сразу инет через НАТ согласно ACL-100, а если прямой айпишник - то просто начинают прокидываться пакетики. Я вот только думаю - если этот route-map будет использовать ACL - и этот ACL ведь тоже будет постоянно меняться да и здоровый он может быть (500..1000..2000 записей) - насколько он медленно будет обрабатываться?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "route-map или динамический АСЛ для ната"

Сообщение от ilya (ok) on 16-Окт-06, 09:02

>В общем сейчас предоставление/не предоставление интернета заключается в изменение соответсвующего ACL: >ip nat pool p1 ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх netmask 255.255.255.248 >ip nat inside source list 100 pool p1 overload >... >access-list 100 permit ip host 10.х1.х1.хх any >access-list 100 permit ip host 10.х1.х3.хх any >access-list 100 permit ip host 10.х1.х3.хх any >access-list 100 permit ip host 10.х1.х7.хх any >access-list 100 permit ip host 10.х1.х0.хх any >... >Соответсвенно 100-лист постоянно меняется (висит робот, который изменяет этот список). Минусы такого >решения я вижу - после вытирания из списка записи в таблице >НАТа остаются и как бы инет отключился у пользователя не полностью >(аська работать продолжает и т.д.) + самый главный минус - список >может быть очень большим и часто может меняться.. > >Но я пока не могу придумать, как все это дело изменить на >route-map и как в этом решении будет хуже-лучше с загрузкой циски >в целом. Т.е. для ната ACL 100 будет из одной строки: > >access-list 100 permit ip 10.0.0.0 0.255.255.255 any > >А вот роутинг для всех этих айпишников должен быть изначально выключен, и >только по запросу включаться (т.е. чтобы даже пакет до НАТа не >добегал). Помогите, пожалуйста, с составлением такого route-map'a, желательно на примере. > >Т.е. нужно получить тоже что и сейчас - изначально инет не предоставляется, >робот прописывает как-то маршрутизация для этого айпишника - и если айпишник >"заначенный", то у него появляется сразу инет через НАТ согласно ACL-100, >а если прямой айпишник - то просто начинают прокидываться пакетики. Я >вот только думаю - если этот route-map будет использовать ACL - >и этот ACL ведь тоже будет постоянно меняться да и здоровый >он может быть (500..1000..2000 записей) - насколько он медленно будет обрабатываться? > а может быть использовать именованный список доступа? а далее подкрутить робота так, что бы он только нужные записи удалял или добавлял?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "route-map или динамический АСЛ для ната"
	Сообщение от AlexFirst (ok) on 16-Окт-06, 11:54
	> >а может быть использовать именованный список доступа? а далее подкрутить робота так, >что бы он только нужные записи удалял или добавлял? мммммм... например? :) Я пока не представляю как это реализовать даже. AAA не пользуется вообще сейчас - т.е. авторизация вынесенная - прописывание доступа делается отдельным роботом (не радиусом).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "route-map или динамический АСЛ для ната"
	Сообщение от ilya (ok) on 17-Окт-06, 08:48
	>> >>а может быть использовать именованный список доступа? а далее подкрутить робота так, >>что бы он только нужные записи удалял или добавлял? >мммммм... например? :) Я пока не представляю как это реализовать даже. AAA >не пользуется вообще сейчас - т.е. авторизация вынесенная - прописывание доступа >делается отдельным роботом (не радиусом). так, сорри, я немного невнимателен вчера был $( а чем неустраивает список доступа на интерфейсе? т.е. сначала прописываете правила куда можно (если можно), а потом разрешающие правила permit ip host any и их меняете. как вариант после изменения списка доступа делать clear ip nat transl * - но это плохо порвет соединения всех пользователей....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "route-map или динамический АСЛ для ната"
	Сообщение от AlexFirst (ok) on 18-Окт-06, 04:35
	>>> >>>а может быть использовать именованный список доступа? а далее подкрутить робота так, >>>что бы он только нужные записи удалял или добавлял? >>мммммм... например? :) Я пока не представляю как это реализовать даже. AAA >>не пользуется вообще сейчас - т.е. авторизация вынесенная - прописывание доступа >>делается отдельным роботом (не радиусом). > > >так, сорри, я немного невнимателен вчера был $( >а чем неустраивает список доступа на интерфейсе? >т.е. сначала прописываете правила куда можно (если можно), а потом разрешающие правила >permit ip host any и их меняете. >как вариант после изменения списка доступа делать clear ip nat transl * >- но это плохо порвет соединения всех пользователей.... эээ.. Есть один интерфейс. И есть нат на нем. И есть толпа пользователей, которым изначально инет не нужен.. ;) точнее нужен тем, кому можно туда ходить. Если можно - по запросу (клиента - есть заталкивание в тунель некоторых пакетов на определенные адреса - т.е. доступ в тунель есть и должен быть всегда) робот прописывает (сейчас) в некий ACL строчку permit ip host xxxxx any.. Когда инет больше не нужен пользователю - строчка роботом вытирается. Минусы я уже обрисовал выше - остаточные трансляции, большой лист получается - начинаются просто банальные притормаживания на его обработке НАТом - снижение общей производительности киски в целом. + приходится прописывать в отдельный ACL тех, кому инет необходим без ната (в ACL, что на access-group in висит) - соответсвенно при разрастании этого списка тоже начинаются притормаживания. Компилирование ACL не помогает в этой ситуации - так как выписывание-прописывание клиентом может происходить довольно интенсивно и при каждом изменении списком циска тутже их перекомпилировать начинает - тормоза только увеличивают, точнее даже ступор на пару секунд. Поэтому вот думаю - как можно по-другому решить данную задачу. Может можно как-то хитро извернуться с роутингом (route-map?)? но пока мозгов своих не хватате, чтобы придумать как - вот и прошу совета, да и опыта в реализации route-map'ов мало - не знаю как себя будет чувствовать себя циска (томрознее или лучше) при использовании больших некомпилированных ACL :( Вот.. Need help (c) :-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "route-map или динамический АСЛ для ната"
	Сообщение от ilya (ok) on 18-Окт-06, 09:49
	погодите. что мешает сделать следующую схему: НАТ разрешаем всем, какой нужно - или нат, или без ната - вам виднее. а вот пускаем за роутер только тех кого можно - списком доступа на интерфейсе. запись удалили - инет сразу пропал... я про это говорил в предыдущем посте. только это все кривовато ИМХО. если правил/пользователей много - не проще сделать AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и его пускало в инет. А вот на радиусе будете решать - авторизовать пользователя сейчас или нет...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "route-map или динамический АСЛ для ната"
	Сообщение от AlexFirst (ok) on 19-Окт-06, 17:47
	>погодите. >что мешает сделать следующую схему: >НАТ разрешаем всем, какой нужно - или нат, или без ната - >вам виднее. >а вот пускаем за роутер только тех кого можно - списком доступа >на интерфейсе. запись удалили - инет сразу пропал... я про это >говорил в предыдущем посте. Можно небольшим примерчиком набросать - чтоб мне наглядней было? Если не трудно, конечно. >только это все кривовато ИМХО. если правил/пользователей много - не проще сделать >AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и >его пускало в инет. А вот на радиусе будете решать - >авторизовать пользователя сейчас или нет... А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю? Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или не стала. Да, а чем отличается ручное прописывание маршрута для конкретного IP от того, что RADIUS говорит кого пускать а кого нет. Т.е. я никак не пойму - как Radius это делает. Т.е. как можно обойтись без RADUISa, но по сути делая так же, как Raidus - запрещаем или пускаем пользователя (без каких-либо subinterfac'ов). Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop global-int.. МОжно ли так реализовать? При чем с условием, что изначально роутинг не делается для всех пользовательских айпишников..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "route-map или динамический АСЛ для ната"
	Сообщение от ilya (ok) on 19-Окт-06, 18:46
	>>погодите. >>что мешает сделать следующую схему: >>НАТ разрешаем всем, какой нужно - или нат, или без ната - >>вам виднее. >>а вот пускаем за роутер только тех кого можно - списком доступа >>на интерфейсе. запись удалили - инет сразу пропал... я про это >>говорил в предыдущем посте. >Можно небольшим примерчиком набросать - чтоб мне наглядней было? Если не трудно, >конечно. гм. access-list for_nat permit 192.168.0.0 0.0.255.255 any далее в natе используете этот список доступа список доступа на интерфейсе: access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list dynamic_access permit host 192.168.1.1 any т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили - никто другой нет. хотя правила ната есть... вот что имелось в виду - банальный ACL на интерфейсе... он будет работать сразу после применения и отрубать тоже сразу. >>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать >>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и >>его пускало в инет. А вот на радиусе будете решать - >>авторизовать пользователя сейчас или нет... >А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю? >Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит >изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или >не стала. > >Да, а чем отличается ручное прописывание маршрута для конкретного IP от того, >что RADIUS говорит кого пускать а кого нет. Т.е. я никак >не пойму - как Radius это делает. Т.е. как можно обойтись >без RADUISa, но по сути делая так же, как Raidus - >запрещаем или пускаем пользователя (без каких-либо subinterfac'ов). > >Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим >кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop >global-int.. >МОжно ли так реализовать? При чем с условием, что изначально роутинг не >делается для всех пользовательских айпишников.. гм. завтра скажу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "route-map или динамический АСЛ для ната"
	Сообщение от AlexFirst (??) on 20-Окт-06, 23:34
	>список доступа на интерфейсе: >access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 >access-list dynamic_access permit host 192.168.1.1 any нету у меня такого.. :( Если я правильно понял: ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248 ip nat inside source list 100 pool p1 overload interface FastEthernet0/1/0 ... ip access-group 156 in ip nat inside service-policy output Global ip route-cache policy no ip mroute-cache full-duplex no cdp enable end access-list 100 remark Global-NAT - internet access access-list 100 permit ip host 10.111.2.3 any access-list 100 permit ip host 10.111.2.4 any access-list 100 permit ip host 10.111.4.1 any .. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже именно доступом или роутингом... но как правильнее? так как сейчас изменяется 100-й ACL и он уже довольно большой.. меняется роботом довольно часто) а доступ для прямый айпишников рулится действительно с списке доступа - 156 у меня: access-list 156 remark For incoming packets to f1 access-list 156 permit ip host 0.0.0.0 host 255.255.255.255 access-list 156 deny   ip any host 255.255.255.255 access-list 156 deny   ip any host 10.255.255.255 access-list 156 permit icmp 10.0.0.0 0.255.255.255 any access-list 156 deny   tcp any any range 135 139 access-list 156 deny   tcp any any eq 445 access-list 156 permit ip 10.0.0.0 0.255.255.255 any access-list 156 permit ip host xxx.xxx.xxx.200 any access-list 156 permit ip host xxx.xxx.xxx.205 any access-list 156 permit ip host xxx.xxx.xxx.215 any Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже). Почему я так не сделал для "заначенных" - потому что помню опыт вешанья такого листа на 1600 циске еще (сейчас 7500) - если список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому сейчас применяю этот метод только для прямых айпишников - так как кол-во их очень большое. >т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили - >никто другой нет. хотя правила ната есть... вот что имелось в >виду - банальный ACL на интерфейсе... >он будет работать сразу после применения и отрубать тоже сразу. ммм.. ну у тебя он динамический - у меня почему-то нет возможности даже делать их динамическими и, насколько я понял, динамическая запись сама по себе грохается (по какому-то таймауту), что в моем случае не применимо вообще идеологически - само оно не должно грохаться, а именно тогда, когда нужно - вытираться. Я пока не придумал, как это сделать красиво и эффективно :( > > > >>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать >>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и >>>его пускало в инет. А вот на радиусе будете решать - >>>авторизовать пользователя сейчас или нет... >>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю? >>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит >>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или >>не стала. >> >>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того, >>что RADIUS говорит кого пускать а кого нет. Т.е. я никак >>не пойму - как Radius это делает. Т.е. как можно обойтись >>без RADUISa, но по сути делая так же, как Raidus - >>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов). >> >>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим >>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop >>global-int.. >>МОжно ли так реализовать? При чем с условием, что изначально роутинг не >>делается для всех пользовательских айпишников.. > >гм. завтра скажу. Буду очень признателен.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "route-map или динамический АСЛ для ната"
	Сообщение от ilya (ok) on 23-Окт-06, 08:43
	>>список доступа на интерфейсе: >>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 >>access-list dynamic_access permit host 192.168.1.1 any >нету у меня такого.. :( >Если я правильно понял: > >ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248 >ip nat inside source list 100 pool p1 overload > >interface FastEthernet0/1/0 >... > ip access-group 156 in > ip nat inside > service-policy output Global > ip route-cache policy > no ip mroute-cache > full-duplex > no cdp enable >end > >access-list 100 remark Global-NAT - internet access >access-list 100 permit ip host 10.111.2.3 any >access-list 100 permit ip host 10.111.2.4 any >access-list 100 permit ip host 10.111.4.1 any >.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать > >сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже >именно доступом или роутингом... но как правильнее? так как сейчас изменяется >100-й ACL и он уже довольно большой.. меняется роботом довольно часто) > > >а доступ для прямый айпишников рулится действительно с списке доступа - 156 >у меня: >access-list 156 remark For incoming packets to f1 >access-list 156 permit ip host 0.0.0.0 host 255.255.255.255 >access-list 156 deny   ip any host 255.255.255.255 >access-list 156 deny   ip any host 10.255.255.255 >access-list 156 permit icmp 10.0.0.0 0.255.255.255 any >access-list 156 deny   tcp any any range 135 139 >access-list 156 deny   tcp any any eq 445 >access-list 156 permit ip 10.0.0.0 0.255.255.255 any >access-list 156 permit ip host xxx.xxx.xxx.200 any >access-list 156 permit ip host xxx.xxx.xxx.205 any >access-list 156 permit ip host xxx.xxx.xxx.215 any > >Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже). >Почему я так не сделал для "заначенных" - потому что помню опыт >вешанья такого листа на 1600 циске еще (сейчас 7500) - если >список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому >сейчас применяю этот метод только для прямых айпишников - так как >кол-во их очень большое. > ну блин, попробуйте - кошка может и будет грузить процессор - но только в момент загрузки списка доступа (и то не сильно). да и попробуйте разными способами, не только через tftp (ftp,ssh). >>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили - >>никто другой нет. хотя правила ната есть... вот что имелось в >>виду - банальный ACL на интерфейсе... >>он будет работать сразу после применения и отрубать тоже сразу. >ммм.. ну у тебя он динамический - у меня почему-то нет возможности >даже делать их динамическими и, насколько я понял, динамическая запись сама >по себе грохается (по какому-то таймауту), что в моем случае не >применимо вообще идеологически - само оно не должно грохаться, а именно >тогда, когда нужно - вытираться. Я пока не придумал, как это >сделать красиво и эффективно :( ну дык я говорил про обычный список доступа - динамический завязан на пользователей полностью. >> >> >> >>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать >>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и >>>>его пускало в инет. А вот на радиусе будете решать - >>>>авторизовать пользователя сейчас или нет... >>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю? >>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит >>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или >>>не стала. >>> >>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того, >>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак >>>не пойму - как Radius это делает. Т.е. как можно обойтись >>>без RADUISa, но по сути делая так же, как Raidus - >>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов). >>> >>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим >>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop >>>global-int.. >>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не >>>делается для всех пользовательских айпишников.. >> >>гм. завтра скажу. >Буду очень признателен. либо плохо смотрю, либо только тайм-аут...либо ничего. хотя может быть ошибаюсь...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "route-map или динамический АСЛ для ната"
	Сообщение от Изгой (ok) on 24-Окт-06, 09:21
	>>>список доступа на интерфейсе: >>>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 >>>access-list dynamic_access permit host 192.168.1.1 any >>нету у меня такого.. :( >>Если я правильно понял: >> >>ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248 >>ip nat inside source list 100 pool p1 overload >> >>interface FastEthernet0/1/0 >>... >> ip access-group 156 in >> ip nat inside >> service-policy output Global >> ip route-cache policy >> no ip mroute-cache >> full-duplex >> no cdp enable >>end >> >>access-list 100 remark Global-NAT - internet access >>access-list 100 permit ip host 10.111.2.3 any >>access-list 100 permit ip host 10.111.2.4 any >>access-list 100 permit ip host 10.111.4.1 any >>.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать >> >>сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже >>именно доступом или роутингом... но как правильнее? так как сейчас изменяется >>100-й ACL и он уже довольно большой.. меняется роботом довольно часто) >> >> >>а доступ для прямый айпишников рулится действительно с списке доступа - 156 >>у меня: >>access-list 156 remark For incoming packets to f1 >>access-list 156 permit ip host 0.0.0.0 host 255.255.255.255 >>access-list 156 deny   ip any host 255.255.255.255 >>access-list 156 deny   ip any host 10.255.255.255 >>access-list 156 permit icmp 10.0.0.0 0.255.255.255 any >>access-list 156 deny   tcp any any range 135 139 >>access-list 156 deny   tcp any any eq 445 >>access-list 156 permit ip 10.0.0.0 0.255.255.255 any >>access-list 156 permit ip host xxx.xxx.xxx.200 any >>access-list 156 permit ip host xxx.xxx.xxx.205 any >>access-list 156 permit ip host xxx.xxx.xxx.215 any >> >>Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже). >>Почему я так не сделал для "заначенных" - потому что помню опыт >>вешанья такого листа на 1600 циске еще (сейчас 7500) - если >>список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому >>сейчас применяю этот метод только для прямых айпишников - так как >>кол-во их очень большое. >> >ну блин, попробуйте - кошка может и будет грузить процессор - но >только в момент загрузки списка доступа (и то не сильно). да >и попробуйте разными способами, не только через tftp (ftp,ssh). > >>>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили - >>>никто другой нет. хотя правила ната есть... вот что имелось в >>>виду - банальный ACL на интерфейсе... >>>он будет работать сразу после применения и отрубать тоже сразу. >>ммм.. ну у тебя он динамический - у меня почему-то нет возможности >>даже делать их динамическими и, насколько я понял, динамическая запись сама >>по себе грохается (по какому-то таймауту), что в моем случае не >>применимо вообще идеологически - само оно не должно грохаться, а именно >>тогда, когда нужно - вытираться. Я пока не придумал, как это >>сделать красиво и эффективно :( >ну дык я говорил про обычный список доступа - динамический завязан на >пользователей полностью. > >>> >>> >>> >>>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать >>>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и >>>>>его пускало в инет. А вот на радиусе будете решать - >>>>>авторизовать пользователя сейчас или нет... >>>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю? >>>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит >>>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или >>>>не стала. >>>> >>>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того, >>>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак >>>>не пойму - как Radius это делает. Т.е. как можно обойтись >>>>без RADUISa, но по сути делая так же, как Raidus - >>>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов). >>>> >>>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим >>>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop >>>>global-int.. >>>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не >>>>делается для всех пользовательских айпишников.. >>> >>>гм. завтра скажу. >>Буду очень признателен. >либо плохо смотрю, либо только тайм-аут...либо ничего. хотя может быть ошибаюсь... PPTP - неподойдёт ? с удалением или добавлением пользователей ? вот только я не знаю как рвать сессию , ведь после удаления пользователя ,если сессия была активна она остаёться ... правда проверять и пробывать пока негде , нужно стенд собирать. А потом эт тоже неочень красиво для этого такакс и радиус вроде есть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "route-map или динамический АСЛ для ната"
	Сообщение от AlexFirst (ok) on 24-Окт-06, 18:05
	>PPTP - неподойдёт ? с удалением или добавлением пользователей ? >вот только я не знаю как рвать сессию , ведь после удаления >пользователя ,если сессия была активна она остаёться ... правда проверять и >пробывать пока негде , нужно стенд собирать. А потом эт тоже >неочень красиво для этого такакс и радиус вроде есть. PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения у всех клиентов, которые пользуются инетом. Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений со стороны клиентов (без организации VPN в любом его проявлении). Сейчас имеется решение: есть два списка - один есть ACL что используется в пуле NAT'a, другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но - как я уже сказал, нат-айишников много, получается офигенный список, что используется в пуле НАТа. Сейчас висит робот, который банальным телнетом все это делает через консоль - т.е. список не перегружается, а просто добавляется или удаляется нужная строчка в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске по телнету-ssh). Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не пропадает - записи ведь есть и по ним данные спокойно гоняются, постоянно меняющийся ACL пула ни к чему хорошему не приходит) и хочется от них уйти. Как уйти - я примерно только предполагаю, но пока не могу никак это реализовать - например через route-map, так как не разобрался, как сказать циске, что все что в этом ACL - крути на такой-то интерфейс, при необходимости пропуская через НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько маршрутов, которые должны действовать всегда - доступ на пару сайтов у клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда инет для клиента выключен. Т.е. по идее есть маршруты, которые должны действовать всегда и извне должен быть доступ к циске (т.е. - маршрут должен быть всегда), должно быть правило на проброс тех, кому сейчас можно в инет ходить - а вот все остальное нужно дропать (килять на месте).. Пока не смог такое прикрутить :( Вот и спрашиваю - как еще можно или как реализовать.. :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "route-map или динамический АСЛ для ната"
	Сообщение от Изгой (??) on 25-Окт-06, 10:04
	>>PPTP - неподойдёт ? с удалением или добавлением пользователей ? >>вот только я не знаю как рвать сессию , ведь после удаления >>пользователя ,если сессия была активна она остаёться ... правда проверять и >>пробывать пока негде , нужно стенд собирать. А потом эт тоже >>неочень красиво для этого такакс и радиус вроде есть. > >PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения >у всех клиентов, которые пользуются инетом. >Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений >со стороны клиентов (без организации VPN в любом его проявлении). > >Сейчас имеется решение: >есть два списка - один есть ACL что используется в пуле NAT'a, >другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи >в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников >мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но >- как я уже сказал, нат-айишников много, получается офигенный список, что >используется в пуле НАТа. >Сейчас висит робот, который банальным телнетом все это делает через консоль - >т.е. список не перегружается, а просто добавляется или удаляется нужная строчка >в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске >по телнету-ssh). > >Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не >пропадает - записи ведь есть и по ним данные спокойно гоняются, >постоянно меняющийся ACL пула ни к чему хорошему не приходит) и >хочется от них уйти. Как уйти - я примерно только предполагаю, >но пока не могу никак это реализовать - например через route-map, >так как не разобрался, как сказать циске, что все что в >этом ACL - крути на такой-то интерфейс, при необходимости пропуская через >НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько >маршрутов, которые должны действовать всегда - доступ на пару сайтов у >клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда >инет для клиента выключен. Т.е. по идее есть маршруты, которые должны >действовать всегда и извне должен быть доступ к циске (т.е. - >маршрут должен быть всегда), должно быть правило на проброс тех, кому >сейчас можно в инет ходить - а вот все остальное нужно >дропать (килять на месте).. Пока не смог такое прикрутить :( > >Вот и спрашиваю - как еще можно или как реализовать.. :( http://cisco.com/en/US/products/sw/iosswrel/ps1834/products_feature_guide09186a0080080348.html http://cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00804c3d75.html такакс , если это не подходит то остаётся акцес листы на внутренний шлюз и правит скриптом как уже говорилось, если в случае аутентификации прокси использовать локальную базу на циско ( если такое возможно ) то пользователей тоже тереть роботом придёться наверное и как это будет работать ... ? Похоже лучше один раз сделать хорошо чем сто раз плохо.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "route-map или динамический АСЛ для ната"
	Сообщение от AlexFirst (ok) on 25-Окт-06, 19:19
	>>PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения >>у всех клиентов, которые пользуются инетом. >>Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений >>со стороны клиентов (без организации VPN в любом его проявлении). >> >>Сейчас имеется решение: >>есть два списка - один есть ACL что используется в пуле NAT'a, >>другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи >>в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников >>мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но >>- как я уже сказал, нат-айишников много, получается офигенный список, что >>используется в пуле НАТа. >>Сейчас висит робот, который банальным телнетом все это делает через консоль - >>т.е. список не перегружается, а просто добавляется или удаляется нужная строчка >>в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске >>по телнету-ssh). >> >>Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не >>пропадает - записи ведь есть и по ним данные спокойно гоняются, >>постоянно меняющийся ACL пула ни к чему хорошему не приходит) и >>хочется от них уйти. Как уйти - я примерно только предполагаю, >>но пока не могу никак это реализовать - например через route-map, >>так как не разобрался, как сказать циске, что все что в >>этом ACL - крути на такой-то интерфейс, при необходимости пропуская через >>НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько >>маршрутов, которые должны действовать всегда - доступ на пару сайтов у >>клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда >>инет для клиента выключен. Т.е. по идее есть маршруты, которые должны >>действовать всегда и извне должен быть доступ к циске (т.е. - >>маршрут должен быть всегда), должно быть правило на проброс тех, кому >>сейчас можно в инет ходить - а вот все остальное нужно >>дропать (килять на месте).. Пока не смог такое прикрутить :( >> >>Вот и спрашиваю - как еще можно или как реализовать.. :( >http://cisco.com/en/US/products/sw/iosswrel/ps1834/products_feature_guide09186a0080080348.html >http://cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00804c3d75.html >такакс Хех.. покурил мануалы - спасибо. Но не воткнуло :( Как-то это через попу получится все в моем случае. >если это не подходит то остаётся акцес листы на внутренний шлюз и >правит скриптом как уже говорилось, Я вот нашел (http://cisco.far.ru/2ispcfg.shtml) замечательный пример роутинга и реализации НАТа через route-map - очень понравилось. Думаю я уже сам смогу все реализовать.. осталось теперь проработать конфиг. >Похоже лучше один раз сделать хорошо чем сто раз плохо. Угу.. вот и стараюсь. :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "route-map или динамический АСЛ для ната"
	Сообщение от den68 (ok) on 04-Ноя-06, 04:32
	>... - не проще сделать >AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и >его пускало в инет. А вот на радиусе будете решать - >авторизовать пользователя сейчас или нет... А можно подробнее про AUTH-прокси или downloaded ACL ? downloaded ACL - это часом не удаленно лежащий файл ? и если cisco это умеет то с каким IOS ? Оч. актуально...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "route-map или динамический АСЛ для ната"

Сообщение от AlexFirst (ok) on 02-Ноя-06, 18:40

Народ - подскажите - что не так в конфиге? Оно работает... но как-то криво, по-моему (загрузка циски под 80-90%, но трафик прокидывается замечательно) Может чего еще упустил по незнанию.. : no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime service timestamps log datetime localtime no service password-encryption service compress-config no service single-slot-reload-enable .. clock timezone MSK 3 clock summer-time MSD recurring ip subnet-zero no ip bootp server ip cef table consistency-check type lc-detect ip cef table consistency-check type scan-lc ip cef table consistency-check type scan-rp ip cef table consistency-check type scan-rib ip cef distributed ip cef linecard ipc memory 15000 ip audit notify log ip audit po max-events 100 no crypto isakmp enable ! call rsvp-sync interface Tunnel1 bandwidth 1024 ip address 192.168.1.2 255.255.255.252 tunnel source FastEthernet0/0/0 tunnel destination 213.888.888.223 ! interface FastEthernet0/0/0 ip address 213.888.888.111 255.255.255.252 ip access-group 150 in ip nat outside no ip mroute-cache full-duplex no cdp enable ! interface FastEthernet0/1/0 ip address 213.888.888.111 255.255.255.192 secondary ip address 61.888.888.888 255.255.255.192 secondary ip address 10.0.0.1 255.0.0.0 ip access-group 155 in ip nat inside service-policy output Global ip route-cache policy no ip mroute-cache ip policy route-map Global full-duplex no cdp enable ! ip nat translation timeout 3600 ip nat translation tcp-timeout 900 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 30 ip nat translation dns-timeout 5 ip nat translation icmp-timeout 5 ip nat translation port-timeout tcp 80 15 ip nat translation port-timeout tcp 1600 10 ip nat translation port-timeout tcp 8080 10 ip nat translation port-timeout tcp 110 60 ip nat translation port-timeout tcp 25 60 ip nat translation port-timeout tcp 2041 10 ip nat translation port-timeout tcp 2042 10 ip nat translation port-timeout tcp 4662 5 ip nat pool ComcorNATPool 213.888.888.111 213.888.888.111 netmask 255.255.255.248 ip nat inside source route-map ComcorNAT pool ComcorNATPool overload ip classless ip route 0.0.0.0 0.0.0.0 213.888.888.222 no ip http server ip http authentication local ! logging trap debugging logging facility local0 logging source-interface FastEthernet0/0/0 access-list 100 remark Routing for 10.x access access-list 100 permit tcp host 10.111.111.1 any access-list 100 permit tcp host 10.111.121.3 any access-list 100 permit tcp host 10.111.111.22 any access-list 100 permit tcp host 10.10.11.56 any access-list 100 permit tcp host 10.11.13.34 any ..... дофига записей в этом ACL-100, добавляются-удаляются скриптом для предоставления инета пользователю (через NAT) ..... access-list 101 remark For NAT access-list 101 permit ip 10.0.0.0 0.255.255.255 any access-list 102 remark For drop all packets from routing access-list 102 permit ip any any access-list 105 remark Routing for permanent-host access access-list 105 permit tcp any host 213.180.204.3 eq www access-list 105 permit tcp any host 217.119.29.201 eq 8100 access-list 105 permit tcp any host 82.140.102.72 eq 8100 access-list 105 permit tcp any host 195.239.63.58 eq www access-list 105 permit tcp any host 195.239.63.40 eq www access-list 105 permit tcp any host 195.239.63.40 eq 8128 access-list 105 permit tcp any host 195.239.63.41 eq 8128 access-list 105 permit tcp any host 217.119.29.197 eq 8128 access-list 105 permit tcp any host 213.180.204.20 eq www access-list 105 permit tcp any host 82.140.102.71 eq www access-list 105 permit tcp any host 213.180.204.32 eq www access-list 105 permit tcp any host 213.180.204.23 eq www access-list 105 permit tcp any host 213.180.204.24 eq www access-list 105 permit tcp any 213.180.204.0 0.0.0.63 eq 443 access-list 150 remark Rules for incoming packets to f0 access-list 150 deny   udp any any range 135 netbios-ss access-list 150 deny   tcp any any range 135 139 access-list 150 deny   tcp any any eq 445 access-list 150 deny   tcp any any range 1025 1027 access-list 150 permit ip any any access-list 155 remark Filter of incoming packets to f1 access-list 155 permit ip host 0.0.0.0 host 255.255.255.255 access-list 155 deny   ip any host 255.255.255.255 access-list 155 deny   ip any host 213.888.88.255 access-list 155 deny   ip any host 61.888.888.255 access-list 155 deny   ip any host 10.255.255.255 access-list 155 permit icmp 10.0.0.0 0.255.255.255 any access-list 155 deny   tcp any any range 1025 1027 access-list 155 deny   udp any any range 135 netbios-ss access-list 155 deny   tcp any any range 135 139 access-list 155 deny   tcp any any eq 445 access-list 155 deny   ip any 192.168.0.0 0.0.255.255 access-list 155 permit ip 10.0.0.0 0.255.255.255 any access-list 155 permit ip 61.888.888.192 0.0.0.63 any access-list 155 permit ip 213.888.888.888 0.0.0.63 any access-list 156 remark Routing permit for static IPs access-list 156 permit ip host 61.888.888.111 any access-list 156 permit ip host 61.888.888.222 any ..... некоторое кол-во записей в этом ACL-156, добавляются-удаляются скриптом для предоставления инета пользователю (с прямыми айпишниками) ..... access-list 160 remark For policy-map tunneling access-list 160 permit ip any host 192.888.888.888 access-list 160 permit tcp any host 192.888.888.888 eq 88888 .... no cdp run route-map Global permit 10 match ip address 160 set ip next-hop 192.168.1.1 ! route-map Global permit 20 match ip address 100 set ip next-hop 213.888.888.222 ! route-map Global permit 30 match ip address 156 set ip next-hop 213.888.888.222 ! route-map Global permit 40 match ip address 105 set ip next-hop 213.888.888.222 ! route-map Global permit 50 match ip address 102 set interface Null0 ! route-map ComcorNAT permit 10 match ip address 101 match interface FastEthernet0/0/0 ! -------------------------- Вот можно поправить в этом конфиге, уважаемые гуру?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "route-map или динамический АСЛ для ната"
	Сообщение от ilya (ok) on 03-Ноя-06, 17:55
	1. посмотреть что грузит циску. 2. когда грузится циска? постоянно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "route-map или динамический АСЛ для ната"
	Сообщение от ilya (ok) on 03-Ноя-06, 17:59
	>1. посмотреть что грузит циску. >2. когда грузится циска? постоянно? и попробуйте убрать ip route-cache policy с интерфейса у вас так получается, что интерфейс использует fast-switching
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "route-map или динамический АСЛ для ната"
	Сообщение от AlexFirst (ok) on 04-Ноя-06, 01:10
	>>1. посмотреть что грузит циску. Не понятно что грузит (ето максимальное, что жрет проц) - все остальные процессы ничего не грузят :( вот выдержка из tech-supp: CPU utilization for five seconds: 99%/85%; one minute: 98%; five minutes: 99% PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process    5       22096      2546       8678  0.16%  0.04%  0.02%   0 Check heaps         15      221468    493545        448  0.16%  0.26%  0.24%   0 ARP Input           26       16292     18683        872  0.00%  0.03%  0.01%   0 Per-Second Jobs     36       10164      1415       7183  4.24%  1.31%  0.38%   3 Virtual Exec       49     8102464   1952146       4150  6.94%  7.69%  6.05%   0 IP Input           72       77872     24960       3119  0.16%  0.10%  0.10%   0 CEF process         79      255116    545168        467  1.87%  1.77%  1.53%   2 Virtual Exec     104     2659572   1519926       1749  1.30%  2.12%  1.73%   0 IP NAT Ager       105      197244      1216     162207  0.00%  0.42%  0.41%   0 CEF Scanner       Все остальные процы - ноль в трех столбцах. ------------------ show memory statistics ------------------                 Head    Total(b)     Used(b)     Free(b)   Lowest(b)  Largest(b) Processor   42799F40   159801536    16519940   143281596   142813672   143124848      Fast   42779F40      131080       35256       95824       95824       95772 ------------------ show process memory ------------------ Total: 159801536, Used: 16518320, Free: 143283216 FastEthernet0/1/0 is up, line protocol is up   Hardware is cyBus FastEthernet Interface, address is 00d0.979c.6808   Internet address is 10.0.0.1/8   MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,      reliability 255/255, txload 61/255, rxload 33/255   Encapsulation ARPA, loopback not set   Keepalive set (10 sec)   Full-duplex, 100Mb/s, 100BaseTX/FX   ARP type: ARPA, ARP Timeout 04:00:00   Last input 00:00:00, output 00:00:00, output hang never   Last clearing of "show interface" counters never   Input queue: 76/75/463648/3517 (size/max/drops/flushes); Total output drops: 131076   Queueing strategy: fifo   Output queue: 0/40 (size/max)   5 minute input rate 13222000 bits/sec, 3929 packets/sec   5 minute output rate 23957000 bits/sec, 4083 packets/sec      52457752 packets input, 633054703 bytes, 0 no buffer      Received 1398566 broadcasts, 0 runts, 0 giants, 14919* throttles      175 input errors, 0 CRC, 0 frame, 0 overrun, 164 ignored      0 watchdog      0 input packets with dribble condition detected      51016584 packets output, 2360426965 bytes, 0 underruns      0 output errors, 0 collisions, 0 interface resets      0 babbles, 0 late collision, 0 deferred      1 lost carrier, 0 no carrier      0 output buffer failures, 0 output buffers swapped out                CPU% per minute (last 60 minutes)               * = maximum CPU%   # = average CPU%      111                                                                        00099                                                                      00099                                                                 100  #****                                                                 90  #****                                                                 80  ##*#*                                                                 70  ####*                                                                 60  #####                                                                 50  #####                                                                 40  #####                                                                 30  #####                                                                 20  #####                                                                 10  #####                                                                     0....5....1....1....2....2....3....3....4....4....5....5....6....6....7. Minimum process stacks: Free/Size   Name 5564/6000   CDP Protocol 9028/12000  Init 5444/6000   PostOfficeNet 5432/6000   RADIUS INITCONFIG 5232/6000   CEF Reloader 5692/6000   MDFS Reload 34824/36000  TCP Command 2460/3000   RSP memory size check 9060/12000  Virtual Exec 3464/6000   FTP Read Process Interrupt level stacks: Level    Called Unused/Size  Name   1    29887535   6892/9000  Network Interrupt   2      153936   8128/9000  Network Status Interrupt   3           0   8688/9000  OIR interrupt   4           0   9000/9000  PCMCIA Interrupt   5         225   8640/9000  Console Uart   6           0   9000/9000  Error Interrupt   7     4893690   8600/9000  NMI Interrupt Handler >>2. когда грузится циска? постоянно? Постоянно :( При трафика 20 мбит процессор лежит насмерть. При этом трафик вроде прокидывается нормально.. лагает именно сам проц - на консоле невозможно работать, скрипты, управляющие циской начинают отваливаться. Если убрать с интерфейса route-map, то циска ложится в 80-90% только при 40-50Мбит, что тоже некузяво, но лучше, чем с включенным route-map'ом :( не ожидал я, что так сильно загрузка вырастет. :( думал наоборот - процессору легче будет, так как по идее все ляжет на dCef. > >и попробуйте убрать >ip route-cache policy >с интерфейса >у вас так получается, что интерфейс использует fast-switching хмм. ничего не изменилось :( Но я что-то не понял - если включить fast-switching, то CEF и dCEF отвалятся? и чтобы все полетело на CEF надо выключить fast-switching? Извиняюсь за такие вопросы - то нет до конца полного понимания в этом вопросе. Если не затруднит - не могли бы немного разъянить с небольшими примерами?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "route-map или динамический АСЛ для ната"
	Сообщение от Изгой (??) on 07-Ноя-06, 09:41
	>>>1. посмотреть что грузит циску. >Не понятно что грузит (ето максимальное, что жрет проц) - все остальные >процессы ничего не грузят :( вот выдержка из tech-supp: > >CPU utilization for five seconds: 99%/85%; one minute: 98%; five minutes: 99% > > PID Runtime(ms)   Invoked      uSecs >  5Sec   1Min   5Min TTY Process > >   5       22096   >    2546       >8678  0.16%  0.04%  0.02%   0 Check >heaps >  15      221468     >493545        448  0.16% > 0.26%  0.24%   0 ARP Input >  26       16292   >  18683        872 > 0.00%  0.03%  0.01%   0 Per-Second Jobs > >  36       10164   >   1415       7183 > 4.24%  1.31%  0.38%   3 Virtual Exec > >  49     8102464   1952146   >     4150  6.94%  7.69%   >6.05%   0 IP Input >  72       77872   >  24960       3119   >0.16%  0.10%  0.10%   0 CEF process >  79      255116     >545168        467  1.87% > 1.77%  1.53%   2 Virtual Exec > 104     2659572   1519926   >    1749  1.30%  2.12%  1.73% >  0 IP NAT Ager > 105      197244     > 1216     162207  0.00%  0.42% > 0.41%   0 CEF Scanner >Все остальные процы - ноль в трех столбцах. > >------------------ show memory statistics ------------------ >             >    Head    Total(b)   >  Used(b)     Free(b)   Lowest(b) > Largest(b) >Processor   42799F40   159801536    16519940   > 143281596   142813672   143124848 >     Fast   42779F40     >  131080       35256   >     95824       > 95824       95772 >------------------ show process memory ------------------ >Total: 159801536, Used: 16518320, Free: 143283216 > >FastEthernet0/1/0 is up, line protocol is up >  Hardware is cyBus FastEthernet Interface, address is 00d0.979c.6808 >  Internet address is 10.0.0.1/8 >  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, >     reliability 255/255, txload 61/255, rxload 33/255 >  Encapsulation ARPA, loopback not set >  Keepalive set (10 sec) >  Full-duplex, 100Mb/s, 100BaseTX/FX >  ARP type: ARPA, ARP Timeout 04:00:00 >  Last input 00:00:00, output 00:00:00, output hang never >  Last clearing of "show interface" counters never >  Input queue: 76/75/463648/3517 (size/max/drops/flushes); Total output drops: 131076 >  Queueing strategy: fifo >  Output queue: 0/40 (size/max) >  5 minute input rate 13222000 bits/sec, 3929 packets/sec >  5 minute output rate 23957000 bits/sec, 4083 packets/sec >     52457752 packets input, 633054703 bytes, 0 no >buffer >     Received 1398566 broadcasts, 0 runts, 0 giants, >14919* throttles >     175 input errors, 0 CRC, 0 frame, >0 overrun, 164 ignored >     0 watchdog >     0 input packets with dribble condition detected > >     51016584 packets output, 2360426965 bytes, 0 underruns > >     0 output errors, 0 collisions, 0 interface >resets >     0 babbles, 0 late collision, 0 deferred > >     1 lost carrier, 0 no carrier >     0 output buffer failures, 0 output buffers >swapped out > > >             >   CPU% per minute (last 60 minutes) >             >  * = maximum CPU%   # = average >CPU% > >     111 >     00099 >     00099 >100  #**** > 90  #**** > 80  ##*#* > 70  ####* > 60  ##### > 50  ##### > 40  ##### > 30  ##### > 20  ##### > 10  ##### >    0....5....1....1....2....2....3....3....4....4....5....5....6....6....7. > > >Minimum process stacks: > Free/Size   Name > 5564/6000   CDP Protocol > 9028/12000  Init > 5444/6000   PostOfficeNet > 5432/6000   RADIUS INITCONFIG > 5232/6000   CEF Reloader > 5692/6000   MDFS Reload >34824/36000  TCP Command > 2460/3000   RSP memory size check > 9060/12000  Virtual Exec > 3464/6000   FTP Read Process > >Interrupt level stacks: >Level    Called Unused/Size  Name >  1    29887535   6892/9000  Network >Interrupt >  2      153936   8128/9000 > Network Status Interrupt >  3           > 0   8688/9000  OIR interrupt >  4           > 0   9000/9000  PCMCIA Interrupt >  5         225 >  8640/9000  Console Uart >  6           > 0   9000/9000  Error Interrupt >  7     4893690   8600/9000   >NMI Interrupt Handler > >>>2. когда грузится циска? постоянно? >Постоянно :( При трафика 20 мбит процессор лежит насмерть. При этом трафик >вроде прокидывается нормально.. лагает именно сам проц - на консоле невозможно >работать, скрипты, управляющие циской начинают отваливаться. >Если убрать с интерфейса route-map, то циска ложится в 80-90% только при >40-50Мбит, что тоже некузяво, но лучше, чем с включенным route-map'ом :( >не ожидал я, что так сильно загрузка вырастет. :( думал наоборот >- процессору легче будет, так как по идее все ляжет на >dCef. >> >>и попробуйте убрать >>ip route-cache policy >>с интерфейса >>у вас так получается, что интерфейс использует fast-switching >хмм. ничего не изменилось :( Но я что-то не понял - если >включить fast-switching, то CEF и dCEF отвалятся? и чтобы все полетело >на CEF надо выключить fast-switching? Извиняюсь за такие вопросы - то >нет до конца полного понимания в этом вопросе. Если не затруднит >- не могли бы немного разъянить с небольшими примерами? Что за циска то ? сколько трафика -нагрузка пиковая . Сколько памяти у неё на борту. Похоже такакс всё же светит с такой загрузкой. cef - включаеться глобально ip cef на интерфейсах ip rout-cache cef , вот только непомню с натом цеф работает или включаеться фаст свичинг. И всё равно в итоге будет зависить от того сколько способна пропустить циска, ещё с учёётом ваших длинных акцесс листов + pbr. + ЗАГРУЗКА СКРИПТОВ.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "route-map или динамический АСЛ для ната"
	Сообщение от AlexFirst (??) on 07-Ноя-06, 15:18
	>Что за циска то ? сколько трафика -нагрузка пиковая . Сколько памяти >у неё на борту. Cisco 7507/192Mb + Vip2-50/64Mb/8Mb cisco RSP4 (R5000) processor with 196608K/2072K bytes of memory. R5000 CPU at 200MHz, Implementation 35, Rev 2.1, 512KB L2 Cache >Похоже такакс всё же светит с такой загрузкой. >cef - включаеться глобально ip cef угу, включено..: ip cef distributed sh int stat FastEthernet0/0/0           Switching path    Pkts In   Chars In   Pkts Out  Chars Out                Processor    1792649  520141559    2946429  218694176              Route cache   36472828 3815222127   36748959 3886842173        Distributed cache      15818    1047089      52359    5039056                    Total   38281295 4336410775   39747747 4110575405 FastEthernet0/1/0           Switching path    Pkts In   Chars In   Pkts Out  Chars Out                Processor    3624851  271190338    1597031  499964805              Route cache   36773288 3894920747   36443554 3799898360        Distributed cache      63113    6837355       1086     200167                    Total   40461252 4172948440   38041671 4300063332 Как видим - в дистрибуте практически 0, в IOS'e 12.2 и 12.3 NAT летит через fast-switching, но не через CEF (sh ip nat st это показывает: сколько через CEF, сколько мимо) >на интерфейсах ip rout-cache cef , вот только непомню с натом цеф >работает или включаеться фаст свичинг. И всё равно в итоге будет >зависить от того сколько способна пропустить циска, ещё с учёётом ваших >длинных акцесс листов + pbr. + ЗАГРУЗКА СКРИПТОВ. Хмм.. теоретичесик RSP тянет 80Мбит прокачку, Vip2-50 - 400Мбит.. Однако даже 20Мбит сложно оказывается :( Блин.. чего делать - не знаю даже уже :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]