 |
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
| Автор |
Сообщение |
|
arty
Зарегистрирован: 17 авг 2013, 00:08
Сообщения: 310
|
Всем привет! Разбираюсь с политикой CoPP. В Policy Maps можно указать пропускную способность для того или иного класса. Тут говорят Цитата: All route processors have a maximum bandwidth, or more accurately, a packet processing rate (pps), that they are capable of supporting. это понятно. Как/где узнать ту самую route processors maximum bandwidth для определнного роутера? Например Cisco 2811. В цискиных таблицах "Router Performance Matrix", в колонке Process Switching (PPS/Mbps) напротив каждой модели, от этих цифр отталкиваться? Так? Заранее спасибо за участие!
|
| 01 авг 2017, 10:27 |
|
|
|
arty
Зарегистрирован: 17 авг 2013, 00:08
Сообщения: 310
|
Никто CoPP не баловался? Как вы свои control-plane защищаете?
|
| 01 авг 2017, 15:55 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
Вы сами ответили на свой вопрос, чего вы хотите-то?
Единственное замечание - некоторые софтроутеры имеют два проца, на одном работает управление, на другом крутится cef (7200 например).
В случае 2811 всё вместе, и защита control-plane там помогает хуже, но с другой стороны - процесс cef менее ресурсоёмкий чем локальный стек tcp/ip с привязанными к нему сервисами вроде ssh, и пакеты по возможности нужно дропать на уровне cef. Посчитать каунтер в acl и дропнуть пакет дешевле чем сгенерировать connection refused с соответствующим обсчётом каунтеров в sh ip traf, или хуже того - передать пакет на обработку запущенному процессу bgp/ssh/snmp/etc.
|
| 01 авг 2017, 16:15 |
|
|
|
arty
Зарегистрирован: 17 авг 2013, 00:08
Сообщения: 310
|
tonveЯ не то, чтобы ответил себе. Сомнения были. Потому и спросил от этого ли параметра отталкиваться при выделении полосы пропускания в полисах. А то можно нарезать кучу классов/полисов, раздать по мегабиту каждому, а в реале "сама" полоса всего мегабит. Толку от такой защиты будет ноль. другой вопрос еще в том, что на 3845 создал: Код: access-list 190 permit ospf any any
class-map match-all Routing
match access-group 190
!
policy-map RTR_CoPP
class Routing
police 1000000 50000 50000 conform-action transmit exceed-action transmit violate-action transmit
!
control-plane
service-policy input RTR_CoPP
#sh policy-map control-plane
Control Plane
Service-policy input: RTR_CoPP
Class-map: Routing (match-all)
14507 packets, 1403770 bytes
5 minute offered rate 2000 bps, drop rate 0 bps
Match: access-group 190 Счетчики растут, видно что ospf трафик матчится. Таже конфигурация на 2811 не работает. Счетчики по нулям. Я уже и явно указывал dst 224.0.0.5, и src и прочее. Всё равно по нулям. icmp трафик видит, телнет трафик матчится, ospf - нет. IOS на 2811 - c2800nm-adventerprisek9-mz.124-22.YB8.bin
|
| 01 авг 2017, 16:41 |
|
|
|
arty
Зарегистрирован: 17 авг 2013, 00:08
Сообщения: 310
|
tonve
Т.е. по вашему, лучше повесить акл на интерфейс и дропать пакеты там?
|
| 01 авг 2017, 16:50 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
1. по последнему - без разницы. Даже если на интерфейсе - всё равно процесс cef пакет уже принял.
2 обновитесь для начала на 2811. Желательно до 15.1M. Если памяти не хватает - огласите чем пользуетесь, честно говоря за свою практику ни разу не видел необходимость использования advent, ipbase достаточно в 80% случаев.
|
| 01 авг 2017, 16:57 |
|
|
|
arty
Зарегистрирован: 17 авг 2013, 00:08
Сообщения: 310
|
Код: #sh ver
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(22)YB8, RELEASE SOFTWARE (fc1)
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
System returned to ROM by reload at 00:09:59 MSD Tue Aug 1 2017
System restarted at 00:11:43 MSD Tue Aug 1 2017
System image file is "flash:c2800nm-adventerprisek9-mz.124-22.YB8.bin"
Cisco 2811 (revision 53.51) with 249856K/12288K bytes of memory.
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102 IOS менял, в предыдущем не было Control Plane Protection (CPPr). У этой версии, на сайте циски, было указанно типа стабильная и т.п. ее и скачал. ресурсов хватало.
|
| 01 авг 2017, 17:11 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
Метода выбора такая.
Стандартный набор желаемого - ospf/bgp, gre, ssh. Всё это есть в ipbasek9. Для туннелей нужно предпочитать gre, ipsec и шифрование вообще на 2800-серии слабенькое, даже с модулем aim. Особенно оно плохое при большом количестве пиров.
Если плюс к этому нужен голос - ipvoicek9.
Если всё-таки нужен ipsec - advsecurityk9.
Если нужен голос+ipsec (+mpls?) - spservicesk9, если к этому всему нужен дополнительно ipv6+easy vpn+http filter и тому подобное - advipservices.
Что из озвученного вы используете?
|
| 01 авг 2017, 17:22 |
|
|
|
arty
Зарегистрирован: 17 авг 2013, 00:08
Сообщения: 310
|
вижу, c2800nm-ipbasek9-mz.151-4.M12a.bin подходит по параметрам. но там нет CPPr
упс, затер, что писал до этого.
ospf, l2tpv3, управление только telnet.
Последний раз редактировалось arty 01 авг 2017, 17:40, всего редактировалось 1 раз.
|
| 01 авг 2017, 17:29 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
feature navigator смотрите? Его для старых серий заполняют на отье***
Просто поставьте и посмотрите нужный функционал, copp - стандартная фича уже давно.
|
| 01 авг 2017, 17:35 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
Что-то у меня слишком много свободного времени - глянул всё-таки fn  Фича называется CPP Policy Manager, поддержка в ipbasek9 заявлена.
|
| 01 авг 2017, 17:40 |
|
|
|
arty
Зарегистрирован: 17 авг 2013, 00:08
Сообщения: 310
|
там и смотрел ))
Вот жеж. В мануалах говорится CoPP и CPPr. Первое так и находится в fn. А по второму нет. Редиски
|
| 01 авг 2017, 17:43 |
|
|
|
arty
Зарегистрирован: 17 авг 2013, 00:08
Сообщения: 310
|
Мне CPPr чем и понравился, что там можно манажмент интерфейс указать. А иначе, если обращаться на все адреса интерфейс какие есть на роутере, буду получать просто refused, тратя ресурсы роутера. Единственное не понравилось, что не привязать к лупбэк интерфейсу. Только физический.
|
| 01 авг 2017, 17:47 |
|
|
|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 39 |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения
|
|
|
