В общем сейчас предоставление/не предоставление интернета заключается в изменение соответсвующего ACL:
ip nat pool p1 ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх netmask 255.255.255.248
ip nat inside source list 100 pool p1 overload
...
access-list 100 permit ip host 10.х1.х1.хх any
access-list 100 permit ip host 10.х1.х3.хх any
access-list 100 permit ip host 10.х1.х3.хх any
access-list 100 permit ip host 10.х1.х7.хх any
access-list 100 permit ip host 10.х1.х0.хх any
...
Соответсвенно 100-лист постоянно меняется (висит робот, который изменяет этот список). Минусы такого решения я вижу - после вытирания из списка записи в таблице НАТа остаются и как бы инет отключился у пользователя не полностью (аська работать продолжает и т.д.) + самый главный минус - список может быть очень большим и часто может меняться..Но я пока не могу придумать, как все это дело изменить на route-map и как в этом решении будет хуже-лучше с загрузкой циски в целом. Т.е. для ната ACL 100 будет из одной строки:
access-list 100 permit ip 10.0.0.0 0.255.255.255 anyА вот роутинг для всех этих айпишников должен быть изначально выключен, и только по запросу включаться (т.е. чтобы даже пакет до НАТа не добегал). Помогите, пожалуйста, с составлением такого route-map'a, желательно на примере.
Т.е. нужно получить тоже что и сейчас - изначально инет не предоставляется, робот прописывает как-то маршрутизация для этого айпишника - и если айпишник "заначенный", то у него появляется сразу инет через НАТ согласно ACL-100, а если прямой айпишник - то просто начинают прокидываться пакетики. Я вот только думаю - если этот route-map будет использовать ACL - и этот ACL ведь тоже будет постоянно меняться да и здоровый он может быть (500..1000..2000 записей) - насколько он медленно будет обрабатываться?
>В общем сейчас предоставление/не предоставление интернета заключается в изменение соответсвующего ACL:
>ip nat pool p1 ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх netmask 255.255.255.248
>ip nat inside source list 100 pool p1 overload
>...
>access-list 100 permit ip host 10.х1.х1.хх any
>access-list 100 permit ip host 10.х1.х3.хх any
>access-list 100 permit ip host 10.х1.х3.хх any
>access-list 100 permit ip host 10.х1.х7.хх any
>access-list 100 permit ip host 10.х1.х0.хх any
>...
>Соответсвенно 100-лист постоянно меняется (висит робот, который изменяет этот список). Минусы такого
>решения я вижу - после вытирания из списка записи в таблице
>НАТа остаются и как бы инет отключился у пользователя не полностью
>(аська работать продолжает и т.д.) + самый главный минус - список
>может быть очень большим и часто может меняться..
>
>Но я пока не могу придумать, как все это дело изменить на
>route-map и как в этом решении будет хуже-лучше с загрузкой циски
>в целом. Т.е. для ната ACL 100 будет из одной строки:
>
>access-list 100 permit ip 10.0.0.0 0.255.255.255 any
>
>А вот роутинг для всех этих айпишников должен быть изначально выключен, и
>только по запросу включаться (т.е. чтобы даже пакет до НАТа не
>добегал). Помогите, пожалуйста, с составлением такого route-map'a, желательно на примере.
>
>Т.е. нужно получить тоже что и сейчас - изначально инет не предоставляется,
>робот прописывает как-то маршрутизация для этого айпишника - и если айпишник
>"заначенный", то у него появляется сразу инет через НАТ согласно ACL-100,
>а если прямой айпишник - то просто начинают прокидываться пакетики. Я
>вот только думаю - если этот route-map будет использовать ACL -
>и этот ACL ведь тоже будет постоянно меняться да и здоровый
>он может быть (500..1000..2000 записей) - насколько он медленно будет обрабатываться?
>
а может быть использовать именованный список доступа? а далее подкрутить робота так, что бы он только нужные записи удалял или добавлял?
>
>а может быть использовать именованный список доступа? а далее подкрутить робота так,
>что бы он только нужные записи удалял или добавлял?
мммммм... например? :) Я пока не представляю как это реализовать даже. AAA не пользуется вообще сейчас - т.е. авторизация вынесенная - прописывание доступа делается отдельным роботом (не радиусом).
>>
>>а может быть использовать именованный список доступа? а далее подкрутить робота так,
>>что бы он только нужные записи удалял или добавлял?
>мммммм... например? :) Я пока не представляю как это реализовать даже. AAA
>не пользуется вообще сейчас - т.е. авторизация вынесенная - прописывание доступа
>делается отдельным роботом (не радиусом).
так, сорри, я немного невнимателен вчера был $(
а чем неустраивает список доступа на интерфейсе?
т.е. сначала прописываете правила куда можно (если можно), а потом разрешающие правила permit ip host any и их меняете.
как вариант после изменения списка доступа делать clear ip nat transl * - но это плохо порвет соединения всех пользователей....
>>>
>>>а может быть использовать именованный список доступа? а далее подкрутить робота так,
>>>что бы он только нужные записи удалял или добавлял?
>>мммммм... например? :) Я пока не представляю как это реализовать даже. AAA
>>не пользуется вообще сейчас - т.е. авторизация вынесенная - прописывание доступа
>>делается отдельным роботом (не радиусом).
>
>
>так, сорри, я немного невнимателен вчера был $(
>а чем неустраивает список доступа на интерфейсе?
>т.е. сначала прописываете правила куда можно (если можно), а потом разрешающие правила
>permit ip host any и их меняете.
>как вариант после изменения списка доступа делать clear ip nat transl *
>- но это плохо порвет соединения всех пользователей....
эээ.. Есть один интерфейс. И есть нат на нем. И есть толпа пользователей, которым изначально инет не нужен.. ;) точнее нужен тем, кому можно туда ходить. Если можно - по запросу (клиента - есть заталкивание в тунель некоторых пакетов на определенные адреса - т.е. доступ в тунель есть и должен быть всегда) робот прописывает (сейчас) в некий ACL строчку permit ip host xxxxx any.. Когда инет больше не нужен пользователю - строчка роботом вытирается. Минусы я уже обрисовал выше - остаточные трансляции, большой лист получается - начинаются просто банальные притормаживания на его обработке НАТом - снижение общей производительности киски в целом. + приходится прописывать в отдельный ACL тех, кому инет необходим без ната (в ACL, что на access-group in висит) - соответсвенно при разрастании этого списка тоже начинаются притормаживания. Компилирование ACL не помогает в этой ситуации - так как выписывание-прописывание клиентом может происходить довольно интенсивно и при каждом изменении списком циска тутже их перекомпилировать начинает - тормоза только увеличивают, точнее даже ступор на пару секунд.Поэтому вот думаю - как можно по-другому решить данную задачу. Может можно как-то хитро извернуться с роутингом (route-map?)? но пока мозгов своих не хватате, чтобы придумать как - вот и прошу совета, да и опыта в реализации route-map'ов мало - не знаю как себя будет чувствовать себя циска (томрознее или лучше) при использовании больших некомпилированных ACL :( Вот.. Need help (c) :-)
погодите.
что мешает сделать следующую схему:
НАТ разрешаем всем, какой нужно - или нат, или без ната - вам виднее.
а вот пускаем за роутер только тех кого можно - списком доступа на интерфейсе. запись удалили - инет сразу пропал... я про это говорил в предыдущем посте.только это все кривовато ИМХО. если правил/пользователей много - не проще сделать AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и его пускало в инет. А вот на радиусе будете решать - авторизовать пользователя сейчас или нет...
>погодите.
>что мешает сделать следующую схему:
>НАТ разрешаем всем, какой нужно - или нат, или без ната -
>вам виднее.
>а вот пускаем за роутер только тех кого можно - списком доступа
>на интерфейсе. запись удалили - инет сразу пропал... я про это
>говорил в предыдущем посте.
Можно небольшим примерчиком набросать - чтоб мне наглядней было? Если не трудно, конечно.>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>его пускало в инет. А вот на радиусе будете решать -
>авторизовать пользователя сейчас или нет...
А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю? Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или не стала.Да, а чем отличается ручное прописывание маршрута для конкретного IP от того, что RADIUS говорит кого пускать а кого нет. Т.е. я никак не пойму - как Radius это делает. Т.е. как можно обойтись без RADUISa, но по сути делая так же, как Raidus - запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop global-int..
МОжно ли так реализовать? При чем с условием, что изначально роутинг не делается для всех пользовательских айпишников..
>>погодите.
>>что мешает сделать следующую схему:
>>НАТ разрешаем всем, какой нужно - или нат, или без ната -
>>вам виднее.
>>а вот пускаем за роутер только тех кого можно - списком доступа
>>на интерфейсе. запись удалили - инет сразу пропал... я про это
>>говорил в предыдущем посте.
>Можно небольшим примерчиком набросать - чтоб мне наглядней было? Если не трудно,
>конечно.
гм.access-list for_nat permit 192.168.0.0 0.0.255.255 any
далее в natе используете этот список доступасписок доступа на интерфейсе:
access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
access-list dynamic_access permit host 192.168.1.1 anyт.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили - никто другой нет. хотя правила ната есть... вот что имелось в виду - банальный ACL на интерфейсе...
он будет работать сразу после применения и отрубать тоже сразу.>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>>его пускало в инет. А вот на радиусе будете решать -
>>авторизовать пользователя сейчас или нет...
>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю?
>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит
>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или
>не стала.
>
>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того,
>что RADIUS говорит кого пускать а кого нет. Т.е. я никак
>не пойму - как Radius это делает. Т.е. как можно обойтись
>без RADUISa, но по сути делая так же, как Raidus -
>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
>
>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим
>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop
>global-int..
>МОжно ли так реализовать? При чем с условием, что изначально роутинг не
>делается для всех пользовательских айпишников..гм. завтра скажу.
>список доступа на интерфейсе:
>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
>access-list dynamic_access permit host 192.168.1.1 any
нету у меня такого.. :(
Если я правильно понял:ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248
ip nat inside source list 100 pool p1 overloadinterface FastEthernet0/1/0
...
ip access-group 156 in
ip nat inside
service-policy output Global
ip route-cache policy
no ip mroute-cache
full-duplex
no cdp enable
endaccess-list 100 remark Global-NAT - internet access
access-list 100 permit ip host 10.111.2.3 any
access-list 100 permit ip host 10.111.2.4 any
access-list 100 permit ip host 10.111.4.1 any
.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать
сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже именно доступом или роутингом... но как правильнее? так как сейчас изменяется 100-й ACL и он уже довольно большой.. меняется роботом довольно часто)а доступ для прямый айпишников рулится действительно с списке доступа - 156 у меня:
access-list 156 remark For incoming packets to f1
access-list 156 permit ip host 0.0.0.0 host 255.255.255.255
access-list 156 deny ip any host 255.255.255.255
access-list 156 deny ip any host 10.255.255.255
access-list 156 permit icmp 10.0.0.0 0.255.255.255 any
access-list 156 deny tcp any any range 135 139
access-list 156 deny tcp any any eq 445
access-list 156 permit ip 10.0.0.0 0.255.255.255 any
access-list 156 permit ip host xxx.xxx.xxx.200 any
access-list 156 permit ip host xxx.xxx.xxx.205 any
access-list 156 permit ip host xxx.xxx.xxx.215 anyСоответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже).
Почему я так не сделал для "заначенных" - потому что помню опыт вешанья такого листа на 1600 циске еще (сейчас 7500) - если список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому сейчас применяю этот метод только для прямых айпишников - так как кол-во их очень большое.>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили -
>никто другой нет. хотя правила ната есть... вот что имелось в
>виду - банальный ACL на интерфейсе...
>он будет работать сразу после применения и отрубать тоже сразу.
ммм.. ну у тебя он динамический - у меня почему-то нет возможности даже делать их динамическими и, насколько я понял, динамическая запись сама по себе грохается (по какому-то таймауту), что в моем случае не применимо вообще идеологически - само оно не должно грохаться, а именно тогда, когда нужно - вытираться. Я пока не придумал, как это сделать красиво и эффективно :(>
>
>
>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>>>его пускало в инет. А вот на радиусе будете решать -
>>>авторизовать пользователя сейчас или нет...
>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю?
>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит
>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или
>>не стала.
>>
>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того,
>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак
>>не пойму - как Radius это делает. Т.е. как можно обойтись
>>без RADUISa, но по сути делая так же, как Raidus -
>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
>>
>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим
>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop
>>global-int..
>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не
>>делается для всех пользовательских айпишников..
>
>гм. завтра скажу.
Буду очень признателен.
>>список доступа на интерфейсе:
>>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
>>access-list dynamic_access permit host 192.168.1.1 any
>нету у меня такого.. :(
>Если я правильно понял:
>
>ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248
>ip nat inside source list 100 pool p1 overload
>
>interface FastEthernet0/1/0
>...
> ip access-group 156 in
> ip nat inside
> service-policy output Global
> ip route-cache policy
> no ip mroute-cache
> full-duplex
> no cdp enable
>end
>
>access-list 100 remark Global-NAT - internet access
>access-list 100 permit ip host 10.111.2.3 any
>access-list 100 permit ip host 10.111.2.4 any
>access-list 100 permit ip host 10.111.4.1 any
>.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать
>
>сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже
>именно доступом или роутингом... но как правильнее? так как сейчас изменяется
>100-й ACL и он уже довольно большой.. меняется роботом довольно часто)
>
>
>а доступ для прямый айпишников рулится действительно с списке доступа - 156
>у меня:
>access-list 156 remark For incoming packets to f1
>access-list 156 permit ip host 0.0.0.0 host 255.255.255.255
>access-list 156 deny ip any host 255.255.255.255
>access-list 156 deny ip any host 10.255.255.255
>access-list 156 permit icmp 10.0.0.0 0.255.255.255 any
>access-list 156 deny tcp any any range 135 139
>access-list 156 deny tcp any any eq 445
>access-list 156 permit ip 10.0.0.0 0.255.255.255 any
>access-list 156 permit ip host xxx.xxx.xxx.200 any
>access-list 156 permit ip host xxx.xxx.xxx.205 any
>access-list 156 permit ip host xxx.xxx.xxx.215 any
>
>Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже).
>Почему я так не сделал для "заначенных" - потому что помню опыт
>вешанья такого листа на 1600 циске еще (сейчас 7500) - если
>список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому
>сейчас применяю этот метод только для прямых айпишников - так как
>кол-во их очень большое.
>
ну блин, попробуйте - кошка может и будет грузить процессор - но только в момент загрузки списка доступа (и то не сильно). да и попробуйте разными способами, не только через tftp (ftp,ssh).>>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили -
>>никто другой нет. хотя правила ната есть... вот что имелось в
>>виду - банальный ACL на интерфейсе...
>>он будет работать сразу после применения и отрубать тоже сразу.
>ммм.. ну у тебя он динамический - у меня почему-то нет возможности
>даже делать их динамическими и, насколько я понял, динамическая запись сама
>по себе грохается (по какому-то таймауту), что в моем случае не
>применимо вообще идеологически - само оно не должно грохаться, а именно
>тогда, когда нужно - вытираться. Я пока не придумал, как это
>сделать красиво и эффективно :(
ну дык я говорил про обычный список доступа - динамический завязан на пользователей полностью.>>
>>
>>
>>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>>>>его пускало в инет. А вот на радиусе будете решать -
>>>>авторизовать пользователя сейчас или нет...
>>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю?
>>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит
>>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или
>>>не стала.
>>>
>>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того,
>>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак
>>>не пойму - как Radius это делает. Т.е. как можно обойтись
>>>без RADUISa, но по сути делая так же, как Raidus -
>>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
>>>
>>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим
>>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop
>>>global-int..
>>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не
>>>делается для всех пользовательских айпишников..
>>
>>гм. завтра скажу.
>Буду очень признателен.
либо плохо смотрю, либо только тайм-аут...либо ничего. хотя может быть ошибаюсь...
>>>список доступа на интерфейсе:
>>>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
>>>access-list dynamic_access permit host 192.168.1.1 any
>>нету у меня такого.. :(
>>Если я правильно понял:
>>
>>ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248
>>ip nat inside source list 100 pool p1 overload
>>
>>interface FastEthernet0/1/0
>>...
>> ip access-group 156 in
>> ip nat inside
>> service-policy output Global
>> ip route-cache policy
>> no ip mroute-cache
>> full-duplex
>> no cdp enable
>>end
>>
>>access-list 100 remark Global-NAT - internet access
>>access-list 100 permit ip host 10.111.2.3 any
>>access-list 100 permit ip host 10.111.2.4 any
>>access-list 100 permit ip host 10.111.4.1 any
>>.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать
>>
>>сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже
>>именно доступом или роутингом... но как правильнее? так как сейчас изменяется
>>100-й ACL и он уже довольно большой.. меняется роботом довольно часто)
>>
>>
>>а доступ для прямый айпишников рулится действительно с списке доступа - 156
>>у меня:
>>access-list 156 remark For incoming packets to f1
>>access-list 156 permit ip host 0.0.0.0 host 255.255.255.255
>>access-list 156 deny ip any host 255.255.255.255
>>access-list 156 deny ip any host 10.255.255.255
>>access-list 156 permit icmp 10.0.0.0 0.255.255.255 any
>>access-list 156 deny tcp any any range 135 139
>>access-list 156 deny tcp any any eq 445
>>access-list 156 permit ip 10.0.0.0 0.255.255.255 any
>>access-list 156 permit ip host xxx.xxx.xxx.200 any
>>access-list 156 permit ip host xxx.xxx.xxx.205 any
>>access-list 156 permit ip host xxx.xxx.xxx.215 any
>>
>>Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже).
>>Почему я так не сделал для "заначенных" - потому что помню опыт
>>вешанья такого листа на 1600 циске еще (сейчас 7500) - если
>>список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому
>>сейчас применяю этот метод только для прямых айпишников - так как
>>кол-во их очень большое.
>>
>ну блин, попробуйте - кошка может и будет грузить процессор - но
>только в момент загрузки списка доступа (и то не сильно). да
>и попробуйте разными способами, не только через tftp (ftp,ssh).
>
>>>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили -
>>>никто другой нет. хотя правила ната есть... вот что имелось в
>>>виду - банальный ACL на интерфейсе...
>>>он будет работать сразу после применения и отрубать тоже сразу.
>>ммм.. ну у тебя он динамический - у меня почему-то нет возможности
>>даже делать их динамическими и, насколько я понял, динамическая запись сама
>>по себе грохается (по какому-то таймауту), что в моем случае не
>>применимо вообще идеологически - само оно не должно грохаться, а именно
>>тогда, когда нужно - вытираться. Я пока не придумал, как это
>>сделать красиво и эффективно :(
>ну дык я говорил про обычный список доступа - динамический завязан на
>пользователей полностью.
>
>>>
>>>
>>>
>>>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>>>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>>>>>его пускало в инет. А вот на радиусе будете решать -
>>>>>авторизовать пользователя сейчас или нет...
>>>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю?
>>>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит
>>>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или
>>>>не стала.
>>>>
>>>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того,
>>>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак
>>>>не пойму - как Radius это делает. Т.е. как можно обойтись
>>>>без RADUISa, но по сути делая так же, как Raidus -
>>>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
>>>>
>>>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим
>>>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop
>>>>global-int..
>>>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не
>>>>делается для всех пользовательских айпишников..
>>>
>>>гм. завтра скажу.
>>Буду очень признателен.
>либо плохо смотрю, либо только тайм-аут...либо ничего. хотя может быть ошибаюсь...
PPTP - неподойдёт ? с удалением или добавлением пользователей ?
вот только я не знаю как рвать сессию , ведь после удаления пользователя ,если сессия была активна она остаёться ... правда проверять и пробывать пока негде , нужно стенд собирать. А потом эт тоже неочень красиво для этого такакс и радиус вроде есть.
>PPTP - неподойдёт ? с удалением или добавлением пользователей ?
>вот только я не знаю как рвать сессию , ведь после удаления
>пользователя ,если сессия была активна она остаёться ... правда проверять и
>пробывать пока негде , нужно стенд собирать. А потом эт тоже
>неочень красиво для этого такакс и радиус вроде есть.PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения у всех клиентов, которые пользуются инетом.
Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений со стороны клиентов (без организации VPN в любом его проявлении).Сейчас имеется решение:
есть два списка - один есть ACL что используется в пуле NAT'a, другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но - как я уже сказал, нат-айишников много, получается офигенный список, что используется в пуле НАТа.
Сейчас висит робот, который банальным телнетом все это делает через консоль - т.е. список не перегружается, а просто добавляется или удаляется нужная строчка в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске по телнету-ssh).Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не пропадает - записи ведь есть и по ним данные спокойно гоняются, постоянно меняющийся ACL пула ни к чему хорошему не приходит) и хочется от них уйти. Как уйти - я примерно только предполагаю, но пока не могу никак это реализовать - например через route-map, так как не разобрался, как сказать циске, что все что в этом ACL - крути на такой-то интерфейс, при необходимости пропуская через НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько маршрутов, которые должны действовать всегда - доступ на пару сайтов у клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда инет для клиента выключен. Т.е. по идее есть маршруты, которые должны действовать всегда и извне должен быть доступ к циске (т.е. - маршрут должен быть всегда), должно быть правило на проброс тех, кому сейчас можно в инет ходить - а вот все остальное нужно дропать (килять на месте).. Пока не смог такое прикрутить :(
Вот и спрашиваю - как еще можно или как реализовать.. :(
>>PPTP - неподойдёт ? с удалением или добавлением пользователей ?
>>вот только я не знаю как рвать сессию , ведь после удаления
>>пользователя ,если сессия была активна она остаёться ... правда проверять и
>>пробывать пока негде , нужно стенд собирать. А потом эт тоже
>>неочень красиво для этого такакс и радиус вроде есть.
>
>PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения
>у всех клиентов, которые пользуются инетом.
>Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений
>со стороны клиентов (без организации VPN в любом его проявлении).
>
>Сейчас имеется решение:
>есть два списка - один есть ACL что используется в пуле NAT'a,
>другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи
>в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников
>мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но
>- как я уже сказал, нат-айишников много, получается офигенный список, что
>используется в пуле НАТа.
>Сейчас висит робот, который банальным телнетом все это делает через консоль -
>т.е. список не перегружается, а просто добавляется или удаляется нужная строчка
>в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске
>по телнету-ssh).
>
>Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не
>пропадает - записи ведь есть и по ним данные спокойно гоняются,
>постоянно меняющийся ACL пула ни к чему хорошему не приходит) и
>хочется от них уйти. Как уйти - я примерно только предполагаю,
>но пока не могу никак это реализовать - например через route-map,
>так как не разобрался, как сказать циске, что все что в
>этом ACL - крути на такой-то интерфейс, при необходимости пропуская через
>НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько
>маршрутов, которые должны действовать всегда - доступ на пару сайтов у
>клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда
>инет для клиента выключен. Т.е. по идее есть маршруты, которые должны
>действовать всегда и извне должен быть доступ к циске (т.е. -
>маршрут должен быть всегда), должно быть правило на проброс тех, кому
>сейчас можно в инет ходить - а вот все остальное нужно
>дропать (килять на месте).. Пока не смог такое прикрутить :(
>
>Вот и спрашиваю - как еще можно или как реализовать.. :(
http://cisco.com/en/US/products/sw/iosswrel/ps1834/products_...
http://cisco.com/en/US/products/sw/iosswrel/ps1835/products_...
такакс
,
если это не подходит то остаётся акцес листы на внутренний шлюз и правит скриптом
как уже говорилось, если в случае аутентификации прокси использовать локальную базу
на циско ( если такое возможно ) то пользователей тоже тереть роботом придёться наверное и как это будет работать ... ?
Похоже лучше один раз сделать хорошо чем сто раз плохо.
>>PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения
>>у всех клиентов, которые пользуются инетом.
>>Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений
>>со стороны клиентов (без организации VPN в любом его проявлении).
>>
>>Сейчас имеется решение:
>>есть два списка - один есть ACL что используется в пуле NAT'a,
>>другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи
>>в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников
>>мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но
>>- как я уже сказал, нат-айишников много, получается офигенный список, что
>>используется в пуле НАТа.
>>Сейчас висит робот, который банальным телнетом все это делает через консоль -
>>т.е. список не перегружается, а просто добавляется или удаляется нужная строчка
>>в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске
>>по телнету-ssh).
>>
>>Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не
>>пропадает - записи ведь есть и по ним данные спокойно гоняются,
>>постоянно меняющийся ACL пула ни к чему хорошему не приходит) и
>>хочется от них уйти. Как уйти - я примерно только предполагаю,
>>но пока не могу никак это реализовать - например через route-map,
>>так как не разобрался, как сказать циске, что все что в
>>этом ACL - крути на такой-то интерфейс, при необходимости пропуская через
>>НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько
>>маршрутов, которые должны действовать всегда - доступ на пару сайтов у
>>клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда
>>инет для клиента выключен. Т.е. по идее есть маршруты, которые должны
>>действовать всегда и извне должен быть доступ к циске (т.е. -
>>маршрут должен быть всегда), должно быть правило на проброс тех, кому
>>сейчас можно в инет ходить - а вот все остальное нужно
>>дропать (килять на месте).. Пока не смог такое прикрутить :(
>>
>>Вот и спрашиваю - как еще можно или как реализовать.. :(
>http://cisco.com/en/US/products/sw/iosswrel/ps1834/products_...
>http://cisco.com/en/US/products/sw/iosswrel/ps1835/products_...
>такакс
Хех.. покурил мануалы - спасибо. Но не воткнуло :( Как-то это через попу получится все в моем случае.>если это не подходит то остаётся акцес листы на внутренний шлюз и
>правит скриптом как уже говорилось,
Я вот нашел (http://cisco.far.ru/2ispcfg.shtml) замечательный пример роутинга и реализации НАТа через route-map - очень понравилось. Думаю я уже сам смогу все реализовать.. осталось теперь проработать конфиг.
>Похоже лучше один раз сделать хорошо чем сто раз плохо.
Угу.. вот и стараюсь. :)
>... - не проще сделать
>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>его пускало в инет. А вот на радиусе будете решать -
>авторизовать пользователя сейчас или нет...А можно подробнее про AUTH-прокси или downloaded ACL ?
downloaded ACL - это часом не удаленно лежащий файл ? и если cisco это умеет то с каким IOS ?Оч. актуально...
Народ - подскажите - что не так в конфиге? Оно работает... но как-то криво, по-моему (загрузка циски под 80-90%, но трафик прокидывается замечательно)
Может чего еще упустил по незнанию..
:
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
no service password-encryption
service compress-config
no service single-slot-reload-enable
..
clock timezone MSK 3
clock summer-time MSD recurring
ip subnet-zero
no ip bootp server
ip cef table consistency-check type lc-detect
ip cef table consistency-check type scan-lc
ip cef table consistency-check type scan-rp
ip cef table consistency-check type scan-rib
ip cef distributed
ip cef linecard ipc memory 15000
ip audit notify log
ip audit po max-events 100
no crypto isakmp enable
!
call rsvp-sync
interface Tunnel1
bandwidth 1024
ip address 192.168.1.2 255.255.255.252
tunnel source FastEthernet0/0/0
tunnel destination 213.888.888.223
!
interface FastEthernet0/0/0
ip address 213.888.888.111 255.255.255.252
ip access-group 150 in
ip nat outside
no ip mroute-cache
full-duplex
no cdp enable
!
interface FastEthernet0/1/0
ip address 213.888.888.111 255.255.255.192 secondary
ip address 61.888.888.888 255.255.255.192 secondary
ip address 10.0.0.1 255.0.0.0
ip access-group 155 in
ip nat inside
service-policy output Global
ip route-cache policy
no ip mroute-cache
ip policy route-map Global
full-duplex
no cdp enable
!
ip nat translation timeout 3600
ip nat translation tcp-timeout 900
ip nat translation pptp-timeout 1800
ip nat translation udp-timeout 30
ip nat translation dns-timeout 5
ip nat translation icmp-timeout 5
ip nat translation port-timeout tcp 80 15
ip nat translation port-timeout tcp 1600 10
ip nat translation port-timeout tcp 8080 10
ip nat translation port-timeout tcp 110 60
ip nat translation port-timeout tcp 25 60
ip nat translation port-timeout tcp 2041 10
ip nat translation port-timeout tcp 2042 10
ip nat translation port-timeout tcp 4662 5
ip nat pool ComcorNATPool 213.888.888.111 213.888.888.111 netmask 255.255.255.248
ip nat inside source route-map ComcorNAT pool ComcorNATPool overload
ip classless
ip route 0.0.0.0 0.0.0.0 213.888.888.222
no ip http server
ip http authentication local
!
logging trap debugging
logging facility local0
logging source-interface FastEthernet0/0/0
access-list 100 remark Routing for 10.x access
access-list 100 permit tcp host 10.111.111.1 any
access-list 100 permit tcp host 10.111.121.3 any
access-list 100 permit tcp host 10.111.111.22 any
access-list 100 permit tcp host 10.10.11.56 any
access-list 100 permit tcp host 10.11.13.34 any
.....
дофига записей в этом ACL-100, добавляются-удаляются скриптом для предоставления инета пользователю (через NAT)
.....
access-list 101 remark For NAT
access-list 101 permit ip 10.0.0.0 0.255.255.255 anyaccess-list 102 remark For drop all packets from routing
access-list 102 permit ip any anyaccess-list 105 remark Routing for permanent-host access
access-list 105 permit tcp any host 213.180.204.3 eq www
access-list 105 permit tcp any host 217.119.29.201 eq 8100
access-list 105 permit tcp any host 82.140.102.72 eq 8100
access-list 105 permit tcp any host 195.239.63.58 eq www
access-list 105 permit tcp any host 195.239.63.40 eq www
access-list 105 permit tcp any host 195.239.63.40 eq 8128
access-list 105 permit tcp any host 195.239.63.41 eq 8128
access-list 105 permit tcp any host 217.119.29.197 eq 8128
access-list 105 permit tcp any host 213.180.204.20 eq www
access-list 105 permit tcp any host 82.140.102.71 eq www
access-list 105 permit tcp any host 213.180.204.32 eq www
access-list 105 permit tcp any host 213.180.204.23 eq www
access-list 105 permit tcp any host 213.180.204.24 eq www
access-list 105 permit tcp any 213.180.204.0 0.0.0.63 eq 443access-list 150 remark Rules for incoming packets to f0
access-list 150 deny udp any any range 135 netbios-ss
access-list 150 deny tcp any any range 135 139
access-list 150 deny tcp any any eq 445
access-list 150 deny tcp any any range 1025 1027
access-list 150 permit ip any any
access-list 155 remark Filter of incoming packets to f1
access-list 155 permit ip host 0.0.0.0 host 255.255.255.255
access-list 155 deny ip any host 255.255.255.255
access-list 155 deny ip any host 213.888.88.255
access-list 155 deny ip any host 61.888.888.255
access-list 155 deny ip any host 10.255.255.255
access-list 155 permit icmp 10.0.0.0 0.255.255.255 any
access-list 155 deny tcp any any range 1025 1027
access-list 155 deny udp any any range 135 netbios-ss
access-list 155 deny tcp any any range 135 139
access-list 155 deny tcp any any eq 445
access-list 155 deny ip any 192.168.0.0 0.0.255.255
access-list 155 permit ip 10.0.0.0 0.255.255.255 any
access-list 155 permit ip 61.888.888.192 0.0.0.63 any
access-list 155 permit ip 213.888.888.888 0.0.0.63 anyaccess-list 156 remark Routing permit for static IPs
access-list 156 permit ip host 61.888.888.111 any
access-list 156 permit ip host 61.888.888.222 any
.....
некоторое кол-во записей в этом ACL-156, добавляются-удаляются скриптом для предоставления инета пользователю (с прямыми айпишниками)
.....
access-list 160 remark For policy-map tunneling
access-list 160 permit ip any host 192.888.888.888
access-list 160 permit tcp any host 192.888.888.888 eq 88888
....
no cdp run
route-map Global permit 10
match ip address 160
set ip next-hop 192.168.1.1
!
route-map Global permit 20
match ip address 100
set ip next-hop 213.888.888.222
!
route-map Global permit 30
match ip address 156
set ip next-hop 213.888.888.222
!
route-map Global permit 40
match ip address 105
set ip next-hop 213.888.888.222
!
route-map Global permit 50
match ip address 102
set interface Null0
!
route-map ComcorNAT permit 10
match ip address 101
match interface FastEthernet0/0/0
!
--------------------------Вот можно поправить в этом конфиге, уважаемые гуру?
1. посмотреть что грузит циску.
2. когда грузится циска? постоянно?
>1. посмотреть что грузит циску.
>2. когда грузится циска? постоянно?и попробуйте убрать
ip route-cache policy
с интерфейса
у вас так получается, что интерфейс использует fast-switching
>>1. посмотреть что грузит циску.
Не понятно что грузит (ето максимальное, что жрет проц) - все остальные процессы ничего не грузят :( вот выдержка из tech-supp:CPU utilization for five seconds: 99%/85%; one minute: 98%; five minutes: 99%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
5 22096 2546 8678 0.16% 0.04% 0.02% 0 Check heaps
15 221468 493545 448 0.16% 0.26% 0.24% 0 ARP Input
26 16292 18683 872 0.00% 0.03% 0.01% 0 Per-Second Jobs
36 10164 1415 7183 4.24% 1.31% 0.38% 3 Virtual Exec
49 8102464 1952146 4150 6.94% 7.69% 6.05% 0 IP Input
72 77872 24960 3119 0.16% 0.10% 0.10% 0 CEF process
79 255116 545168 467 1.87% 1.77% 1.53% 2 Virtual Exec
104 2659572 1519926 1749 1.30% 2.12% 1.73% 0 IP NAT Ager
105 197244 1216 162207 0.00% 0.42% 0.41% 0 CEF Scanner
Все остальные процы - ноль в трех столбцах.------------------ show memory statistics ------------------
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor 42799F40 159801536 16519940 143281596 142813672 143124848
Fast 42779F40 131080 35256 95824 95824 95772
------------------ show process memory ------------------
Total: 159801536, Used: 16518320, Free: 143283216FastEthernet0/1/0 is up, line protocol is up
Hardware is cyBus FastEthernet Interface, address is 00d0.979c.6808
Internet address is 10.0.0.1/8
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 61/255, rxload 33/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 76/75/463648/3517 (size/max/drops/flushes); Total output drops: 131076
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 13222000 bits/sec, 3929 packets/sec
5 minute output rate 23957000 bits/sec, 4083 packets/sec
52457752 packets input, 633054703 bytes, 0 no buffer
Received 1398566 broadcasts, 0 runts, 0 giants, 14919* throttles
175 input errors, 0 CRC, 0 frame, 0 overrun, 164 ignored
0 watchdog
0 input packets with dribble condition detected
51016584 packets output, 2360426965 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
1 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
CPU% per minute (last 60 minutes)
* = maximum CPU% # = average CPU%111
00099
00099
100 #****
90 #****
80 ##*#*
70 ####*
60 #####
50 #####
40 #####
30 #####
20 #####
10 #####
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
Minimum process stacks:
Free/Size Name
5564/6000 CDP Protocol
9028/12000 Init
5444/6000 PostOfficeNet
5432/6000 RADIUS INITCONFIG
5232/6000 CEF Reloader
5692/6000 MDFS Reload
34824/36000 TCP Command
2460/3000 RSP memory size check
9060/12000 Virtual Exec
3464/6000 FTP Read ProcessInterrupt level stacks:
Level Called Unused/Size Name
1 29887535 6892/9000 Network Interrupt
2 153936 8128/9000 Network Status Interrupt
3 0 8688/9000 OIR interrupt
4 0 9000/9000 PCMCIA Interrupt
5 225 8640/9000 Console Uart
6 0 9000/9000 Error Interrupt
7 4893690 8600/9000 NMI Interrupt Handler>>2. когда грузится циска? постоянно?
Постоянно :( При трафика 20 мбит процессор лежит насмерть. При этом трафик вроде прокидывается нормально.. лагает именно сам проц - на консоле невозможно работать, скрипты, управляющие циской начинают отваливаться.
Если убрать с интерфейса route-map, то циска ложится в 80-90% только при 40-50Мбит, что тоже некузяво, но лучше, чем с включенным route-map'ом :( не ожидал я, что так сильно загрузка вырастет. :( думал наоборот - процессору легче будет, так как по идее все ляжет на dCef.
>
>и попробуйте убрать
>ip route-cache policy
>с интерфейса
>у вас так получается, что интерфейс использует fast-switching
хмм. ничего не изменилось :( Но я что-то не понял - если включить fast-switching, то CEF и dCEF отвалятся? и чтобы все полетело на CEF надо выключить fast-switching? Извиняюсь за такие вопросы - то нет до конца полного понимания в этом вопросе. Если не затруднит - не могли бы немного разъянить с небольшими примерами?
>>>1. посмотреть что грузит циску.
>Не понятно что грузит (ето максимальное, что жрет проц) - все остальные
>процессы ничего не грузят :( вот выдержка из tech-supp:
>
>CPU utilization for five seconds: 99%/85%; one minute: 98%; five minutes: 99%
>
> PID Runtime(ms) Invoked uSecs
> 5Sec 1Min 5Min TTY Process
>
> 5 22096
> 2546
>8678 0.16% 0.04% 0.02% 0 Check
>heaps
> 15 221468
>493545 448 0.16%
> 0.26% 0.24% 0 ARP Input
> 26 16292
> 18683 872
> 0.00% 0.03% 0.01% 0 Per-Second Jobs
>
> 36 10164
> 1415 7183
> 4.24% 1.31% 0.38% 3 Virtual Exec
>
> 49 8102464 1952146
> 4150 6.94% 7.69%
>6.05% 0 IP Input
> 72 77872
> 24960 3119
>0.16% 0.10% 0.10% 0 CEF process
> 79 255116
>545168 467 1.87%
> 1.77% 1.53% 2 Virtual Exec
> 104 2659572 1519926
> 1749 1.30% 2.12% 1.73%
> 0 IP NAT Ager
> 105 197244
> 1216 162207 0.00% 0.42%
> 0.41% 0 CEF Scanner
>Все остальные процы - ноль в трех столбцах.
>
>------------------ show memory statistics ------------------
>
> Head Total(b)
> Used(b) Free(b) Lowest(b)
> Largest(b)
>Processor 42799F40 159801536 16519940
> 143281596 142813672 143124848
> Fast 42779F40
> 131080 35256
> 95824
> 95824 95772
>------------------ show process memory ------------------
>Total: 159801536, Used: 16518320, Free: 143283216
>
>FastEthernet0/1/0 is up, line protocol is up
> Hardware is cyBus FastEthernet Interface, address is 00d0.979c.6808
> Internet address is 10.0.0.1/8
> MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
> reliability 255/255, txload 61/255, rxload 33/255
> Encapsulation ARPA, loopback not set
> Keepalive set (10 sec)
> Full-duplex, 100Mb/s, 100BaseTX/FX
> ARP type: ARPA, ARP Timeout 04:00:00
> Last input 00:00:00, output 00:00:00, output hang never
> Last clearing of "show interface" counters never
> Input queue: 76/75/463648/3517 (size/max/drops/flushes); Total output drops: 131076
> Queueing strategy: fifo
> Output queue: 0/40 (size/max)
> 5 minute input rate 13222000 bits/sec, 3929 packets/sec
> 5 minute output rate 23957000 bits/sec, 4083 packets/sec
> 52457752 packets input, 633054703 bytes, 0 no
>buffer
> Received 1398566 broadcasts, 0 runts, 0 giants,
>14919* throttles
> 175 input errors, 0 CRC, 0 frame,
>0 overrun, 164 ignored
> 0 watchdog
> 0 input packets with dribble condition detected
>
> 51016584 packets output, 2360426965 bytes, 0 underruns
>
> 0 output errors, 0 collisions, 0 interface
>resets
> 0 babbles, 0 late collision, 0 deferred
>
> 1 lost carrier, 0 no carrier
> 0 output buffer failures, 0 output buffers
>swapped out
>
>
>
> CPU% per minute (last 60 minutes)
>
> * = maximum CPU% # = average
>CPU%
>
> 111
> 00099
> 00099
>100 #****
> 90 #****
> 80 ##*#*
> 70 ####*
> 60 #####
> 50 #####
> 40 #####
> 30 #####
> 20 #####
> 10 #####
> 0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
>
>
>Minimum process stacks:
> Free/Size Name
> 5564/6000 CDP Protocol
> 9028/12000 Init
> 5444/6000 PostOfficeNet
> 5432/6000 RADIUS INITCONFIG
> 5232/6000 CEF Reloader
> 5692/6000 MDFS Reload
>34824/36000 TCP Command
> 2460/3000 RSP memory size check
> 9060/12000 Virtual Exec
> 3464/6000 FTP Read Process
>
>Interrupt level stacks:
>Level Called Unused/Size Name
> 1 29887535 6892/9000 Network
>Interrupt
> 2 153936 8128/9000
> Network Status Interrupt
> 3
> 0 8688/9000 OIR interrupt
> 4
> 0 9000/9000 PCMCIA Interrupt
> 5 225
> 8640/9000 Console Uart
> 6
> 0 9000/9000 Error Interrupt
> 7 4893690 8600/9000
>NMI Interrupt Handler
>
>>>2. когда грузится циска? постоянно?
>Постоянно :( При трафика 20 мбит процессор лежит насмерть. При этом трафик
>вроде прокидывается нормально.. лагает именно сам проц - на консоле невозможно
>работать, скрипты, управляющие циской начинают отваливаться.
>Если убрать с интерфейса route-map, то циска ложится в 80-90% только при
>40-50Мбит, что тоже некузяво, но лучше, чем с включенным route-map'ом :(
>не ожидал я, что так сильно загрузка вырастет. :( думал наоборот
>- процессору легче будет, так как по идее все ляжет на
>dCef.
>>
>>и попробуйте убрать
>>ip route-cache policy
>>с интерфейса
>>у вас так получается, что интерфейс использует fast-switching
>хмм. ничего не изменилось :( Но я что-то не понял - если
>включить fast-switching, то CEF и dCEF отвалятся? и чтобы все полетело
>на CEF надо выключить fast-switching? Извиняюсь за такие вопросы - то
>нет до конца полного понимания в этом вопросе. Если не затруднит
>- не могли бы немного разъянить с небольшими примерами?Что за циска то ? сколько трафика -нагрузка пиковая . Сколько памяти у неё на борту.
Похоже такакс всё же светит с такой загрузкой.
cef - включаеться глобально ip cef
на интерфейсах ip rout-cache cef , вот только непомню с натом цеф работает или включаеться фаст свичинг. И всё равно в итоге будет зависить от того сколько способна пропустить циска, ещё с учёётом ваших длинных акцесс листов + pbr. + ЗАГРУЗКА СКРИПТОВ.
>Что за циска то ? сколько трафика -нагрузка пиковая . Сколько памяти
>у неё на борту.
Cisco 7507/192Mb + Vip2-50/64Mb/8Mbcisco RSP4 (R5000) processor with 196608K/2072K bytes of memory.
R5000 CPU at 200MHz, Implementation 35, Rev 2.1, 512KB L2 Cache>Похоже такакс всё же светит с такой загрузкой.
>cef - включаеться глобально ip cef
угу, включено..:
ip cef distributed
sh int stat
FastEthernet0/0/0
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 1792649 520141559 2946429 218694176
Route cache 36472828 3815222127 36748959 3886842173
Distributed cache 15818 1047089 52359 5039056
Total 38281295 4336410775 39747747 4110575405
FastEthernet0/1/0
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 3624851 271190338 1597031 499964805
Route cache 36773288 3894920747 36443554 3799898360
Distributed cache 63113 6837355 1086 200167
Total 40461252 4172948440 38041671 4300063332
Как видим - в дистрибуте практически 0, в IOS'e 12.2 и 12.3 NAT летит через fast-switching, но не через CEF (sh ip nat st это показывает: сколько через CEF, сколько мимо)>на интерфейсах ip rout-cache cef , вот только непомню с натом цеф
>работает или включаеться фаст свичинг. И всё равно в итоге будет
>зависить от того сколько способна пропустить циска, ещё с учёётом ваших
>длинных акцесс листов + pbr. + ЗАГРУЗКА СКРИПТОВ.
Хмм.. теоретичесик RSP тянет 80Мбит прокачку, Vip2-50 - 400Мбит.. Однако даже 20Мбит сложно оказывается :( Блин.. чего делать - не знаю даже уже :(