Catalyst PBR: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
| (не показано 16 промежуточных версий 9 участников) | |||
| Строка 1: | Строка 1: | ||
| + | [[Категория:Cisco]] |
||
=Policy Routing= |
=Policy Routing= |
||
| − | Маршрутизация на основе политики (Policy Routing) - это маршрутизация при которой критерием для |
+ | Маршрутизация на основе политики (Policy Routing) - это маршрутизация при которой критерием для выбора next-hop служит не адрес получателя, а некоторое условие (в случае с cisco - описанное в route-map) |
| − | На коммутаторах есть особенность, способная доставить немало головной боли. Дело в том, что в ACL которая является критерием выбора для route-map все вхождения deny обрабатываются программно, с |
+ | На коммутаторах есть особенность, способная доставить немало головной боли. Дело в том, что в ACL которая является критерием выбора для route-map все вхождения deny обрабатываются программно, с соответствующей деградацией производительности. |
==Примеры использования== |
==Примеры использования== |
||
Для всех пакетов попавших в PBR_ACL установить next-hop 172.16.1.1 (т.е. использовать альтернативный шлюз) |
Для всех пакетов попавших в PBR_ACL установить next-hop 172.16.1.1 (т.е. использовать альтернативный шлюз) |
||
| Строка 11: | Строка 12: | ||
Если я хочу написать ACL вида: |
Если я хочу написать ACL вида: |
||
| − | * Для всех пакетов идущих на "серые" (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) сети использовать стандартную таблицу |
+ | * Для всех пакетов идущих на "серые" (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) сети использовать стандартную таблицу маршрутизации |
| − | * Для всех пакетов идущих на ДНС-сервера использовать стандартную таблицу |
+ | * Для всех пакетов идущих на ДНС-сервера использовать стандартную таблицу маршрутизации |
* Для остальных (уходящих в "Мир") использовать шлюз 172.16.1.1 |
* Для остальных (уходящих в "Мир") использовать шлюз 172.16.1.1 |
||
| − | Есть 2 варианта, оба |
+ | Есть 2 варианта, оба абсолютно рабочих, но производительностью они будут отличаться в разы.<BR> |
Первый - использовать простой ACL |
Первый - использовать простой ACL |
||
<PRE> |
<PRE> |
||
| − | ip access-list extended |
+ | ip access-list extended PBR_ACL |
| − | deny ip |
+ | deny ip any 192.168.0.0 0.0.255.255 |
| − | deny ip |
+ | deny ip any 172.16.0.0 0.15.255.255 |
| − | + | deny ip any 10.0.0.0 0.255.255.255 |
|
| − | deny ip |
+ | deny ip host 193.33.хх.хх 10.0.0.0 0.255.255.255 |
| ⚫ | |||
| ⚫ | |||
| − | permit ip |
+ | permit ip host any any |
| + | </PRE> |
||
| ⚫ | |||
| + | В этом случае будем наблюдать увеличение счетчиков срабатывания ACL что применительно к коммутаторам говорит о том, что пакеты были обработаны программно. Пропорционально трафику растет загрузка процессора. |
||
| ⚫ | |||
| + | <BR> |
||
| ⚫ | |||
| + | |||
| ⚫ | |||
| + | Второй вариант иллюстрирует альтернативный подход - практически не используется deny (кроме как для выделения трафика DNS которого немного и который не создает нагрузки на коммутатор). |
||
| ⚫ | |||
| + | При использовании этого ACL в route-map маршрутизация будет происходить wire-speed. Естественно, при условии что число ACE (правил всех ACL) не будет превышать допустимое для текущего профия (sdm preffer) |
||
| ⚫ | |||
| + | <PRE> |
||
| ⚫ | |||
| ⚫ | |||
| − | permit ip 95.69.136.0 0.0.7.255 88.0.0.0 3.255.255.255 |
||
| − | permit ip |
+ | permit ip any 0.0.0.0 7.255.255.255 |
| − | permit ip |
+ | permit ip any 8.0.0.0 1.255.255.255 |
| − | permit ip |
+ | permit ip any 11.0.0.0 0.255.255.255 |
| − | permit ip |
+ | permit ip any 0.0.7.255 12.0.0.0 3.255.255.255 |
| − | permit ip |
+ | permit ip any 16.0.0.0 15.255.255.255 |
| − | permit ip |
+ | permit ip any 32.0.0.0 31.255.255.255 |
| − | permit ip |
+ | permit ip any 64.0.0.0 15.255.255.255 |
| − | permit ip |
+ | permit ip any 80.0.0.0 7.255.255.255 |
| − | permit ip |
+ | permit ip any 88.0.0.0 3.255.255.255 |
| − | permit ip |
+ | permit ip any 0.0.0.0 255.0.0.0 |
| − | permit ip 95. |
+ | permit ip any 95.0.0.0 0.63.255.255 |
| − | permit ip 95. |
+ | permit ip any 95.64.0.0 0.3.255.255 |
| − | permit ip 95. |
+ | permit ip any 95.68.0.0 0.0.255.255 |
| − | permit ip 95.69 |
+ | permit ip any 95.69.0.0 0.0.127.255 |
| − | permit ip 95. |
+ | permit ip any 95.70.0.0 0.1.255.255 |
| − | permit ip 95. |
+ | permit ip any 95.72.0.0 0.7.255.255 |
| − | permit ip 95. |
+ | permit ip any 95.80.0.0 0.15.255.255 |
| − | permit ip |
+ | permit ip any 96.0.0.0 15.255.255.255 |
| − | permit ip |
+ | permit ip any 112.0.0.0 7.255.255.255 |
| − | permit ip |
+ | permit ip any 120.0.0.0 3.255.255.255 |
| − | permit ip |
+ | permit ip any 124.0.0.0 1.255.255.255 |
| − | permit ip |
+ | permit ip any 126.0.0.0 0.255.255.255 |
| − | permit ip |
+ | permit ip any 128.0.0.0 31.255.255.255 |
| − | permit ip |
+ | permit ip any 160.0.0.0 7.255.255.255 |
| − | permit ip |
+ | permit ip any 168.0.0.0 3.255.255.255 |
| − | permit ip |
+ | permit ip any 172.0.0.0 0.15.255.255 |
| − | permit ip |
+ | permit ip any 172.32.0.0 0.31.255.255 |
| − | permit ip |
+ | permit ip any 172.64.0.0 0.63.255.255 |
| − | permit ip |
+ | permit ip any 172.128.0.0 0.127.255.255 |
| − | permit ip |
+ | permit ip any 173.0.0.0 0.255.255.255 |
| − | permit ip |
+ | permit ip any 174.0.0.0 1.255.255.255 |
| − | + | permit ip any 176.0.0.0 15.255.255.255 |
|
| − | + | permit ip any 192.0.0.0 0.127.255.255 |
|
| − | + | permit ip any 192.128.0.0 0.31.255.255 |
|
| − | permit ip |
+ | permit ip any 192.160.0.0 0.7.255.255 |
| − | permit ip |
+ | permit ip any 192.169.0.0 0.0.255.255 |
| − | permit ip |
+ | permit ip any 192.170.0.0 0.1.255.255 |
| − | permit ip |
+ | permit ip any 192.172.0.0 0.3.255.255 |
| − | permit ip |
+ | permit ip any 192.176.0.0 0.15.255.255 |
| − | permit ip |
+ | permit ip any 192.192.0.0 0.63.255.255 |
| + | deny ip any host 193.33.xx.xx |
||
| + | deny ip any host 193.33.xx.xx |
||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
| ⚫ | |||
</PRE> |
</PRE> |
||
Текущая версия на 11:12, 24 июня 2010
Policy Routing
Маршрутизация на основе политики (Policy Routing) - это маршрутизация при которой критерием для выбора next-hop служит не адрес получателя, а некоторое условие (в случае с cisco - описанное в route-map) На коммутаторах есть особенность, способная доставить немало головной боли. Дело в том, что в ACL которая является критерием выбора для route-map все вхождения deny обрабатываются программно, с соответствующей деградацией производительности.
Примеры использования
Для всех пакетов попавших в PBR_ACL установить next-hop 172.16.1.1 (т.е. использовать альтернативный шлюз)
route-map PBR permit 10 match ip address PBR_ACL set ip next-hop 172.16.1.1
Если я хочу написать ACL вида:
- Для всех пакетов идущих на "серые" (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) сети использовать стандартную таблицу маршрутизации
- Для всех пакетов идущих на ДНС-сервера использовать стандартную таблицу маршрутизации
- Для остальных (уходящих в "Мир") использовать шлюз 172.16.1.1
Есть 2 варианта, оба абсолютно рабочих, но производительностью они будут отличаться в разы.
Первый - использовать простой ACL
ip access-list extended PBR_ACL deny ip any 192.168.0.0 0.0.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 10.0.0.0 0.255.255.255 deny ip host 193.33.хх.хх 10.0.0.0 0.255.255.255 deny ip host 193.33.хх.хх 10.0.0.0 0.255.255.255 permit ip host any any
В этом случае будем наблюдать увеличение счетчиков срабатывания ACL что применительно к коммутаторам говорит о том, что пакеты были обработаны программно. Пропорционально трафику растет загрузка процессора.
Второй вариант иллюстрирует альтернативный подход - практически не используется deny (кроме как для выделения трафика DNS которого немного и который не создает нагрузки на коммутатор). При использовании этого ACL в route-map маршрутизация будет происходить wire-speed. Естественно, при условии что число ACE (правил всех ACL) не будет превышать допустимое для текущего профия (sdm preffer)
ip access-list extended PBR_ACL permit ip any 0.0.0.0 7.255.255.255 permit ip any 8.0.0.0 1.255.255.255 permit ip any 11.0.0.0 0.255.255.255 permit ip any 0.0.7.255 12.0.0.0 3.255.255.255 permit ip any 16.0.0.0 15.255.255.255 permit ip any 32.0.0.0 31.255.255.255 permit ip any 64.0.0.0 15.255.255.255 permit ip any 80.0.0.0 7.255.255.255 permit ip any 88.0.0.0 3.255.255.255 permit ip any 0.0.0.0 255.0.0.0 permit ip any 95.0.0.0 0.63.255.255 permit ip any 95.64.0.0 0.3.255.255 permit ip any 95.68.0.0 0.0.255.255 permit ip any 95.69.0.0 0.0.127.255 permit ip any 95.70.0.0 0.1.255.255 permit ip any 95.72.0.0 0.7.255.255 permit ip any 95.80.0.0 0.15.255.255 permit ip any 96.0.0.0 15.255.255.255 permit ip any 112.0.0.0 7.255.255.255 permit ip any 120.0.0.0 3.255.255.255 permit ip any 124.0.0.0 1.255.255.255 permit ip any 126.0.0.0 0.255.255.255 permit ip any 128.0.0.0 31.255.255.255 permit ip any 160.0.0.0 7.255.255.255 permit ip any 168.0.0.0 3.255.255.255 permit ip any 172.0.0.0 0.15.255.255 permit ip any 172.32.0.0 0.31.255.255 permit ip any 172.64.0.0 0.63.255.255 permit ip any 172.128.0.0 0.127.255.255 permit ip any 173.0.0.0 0.255.255.255 permit ip any 174.0.0.0 1.255.255.255 permit ip any 176.0.0.0 15.255.255.255 permit ip any 192.0.0.0 0.127.255.255 permit ip any 192.128.0.0 0.31.255.255 permit ip any 192.160.0.0 0.7.255.255 permit ip any 192.169.0.0 0.0.255.255 permit ip any 192.170.0.0 0.1.255.255 permit ip any 192.172.0.0 0.3.255.255 permit ip any 192.176.0.0 0.15.255.255 permit ip any 192.192.0.0 0.63.255.255 deny ip any host 193.33.xx.xx deny ip any host 193.33.xx.xx permit ip any 193.0.0.0 0.255.255.255 permit ip any 194.0.0.0 1.255.255.255 permit ip any 196.0.0.0 3.255.255.255 permit ip any 200.0.0.0 7.255.255.255 permit ip any 208.0.0.0 15.255.255.255 permit ip any 248.0.0.0 7.255.255.255
