Tomsk Sysadmins Forum
Оборудование => Cisco => Topic started by: uri on December 11, 2006, 10:55:24
-
О чем так долго говорили большевики:
http://www.cisco.com/en/US/products/hw/rou...cd8057f3b6.html (http://www.cisco.com/en/US/products/hw/routers/ps368/products_data_sheet0900aecd8057f3b6.html)
P.S. Не прошло и полтора года с момента появления первых слухов... %)
-
я правильно понял, это то что называлось раньше SUP1440?
-
я правильно понял, это то что называлось раньше SUP1440?
Возможно, что нет. RSP720 -- детище 76k bussiness-unit и в дополнении к 12.2(33)SR, все это должно разделить платформы 65k и 76k. И вполне может быть, что 65k-team через некоторое время все-таки анонсирует свой sup1440.
-
следующую 76-ую берём с RSP720 ?
-
Возможно, что нет. RSP720 -- детище 76k bussiness-unit и в дополнении к 12.2(33)SR, все это должно разделить платформы 65k и 76k.
[snip]
А вот и оно:
http://www.cisco.com/en/US/products/hw/rou...cd805df25d.html (http://www.cisco.com/en/US/products/hw/routers/ps368/prod_bulletin0900aecd805df25d.html)
-
With the 12.2SR train, the Cisco 7600 Series will continue leading feature development focusing on Intelligent Carrier Ethernet, voice, video, and data services in metropolitan, cable, and eventually Ethernet Broadband Remote Access Server segments
and eventually Ethernet Broadband Remote Access Server segments
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Интересно, означает ли это что в 76-ую будет заложен функционал PE-раутера/Broadband аггрегатора. или он по прежнему будет позиционироваться как P-раутер.
-
and eventually Ethernet Broadband Remote Access Server segments
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Интересно, означает ли это что в 76-ую будет заложен функционал PE-раутера/Broadband аггрегатора. или он
по прежнему будет позиционироваться как P-раутер.
1. У меня большие сомнения в возможности *аппаратной* поддержки функциональности bras непосредственно на (sup|rsp)720 (pfc-mode). Если такая функциональность и будет, то скорее всего она будет реализована в сервис-модулях, а это -- дополнительные kUSD, поэтому, проще посмотреть в сторону npe-g2 или, если уж охота совсем правильно, то -- redback или erx. Про софтовую реализацию этих фич, думаю, говорить нет смысла из-за маломощности msfc.
2. 7600 всегда позиционировалась кошкарями как PE-платформа для серьезных операторских сетей, либо как P/PE, для сетей по-меньше. PE-функциональность, например, для 2547bis была на ней с момента FCS.
-
Юра, у тебя часом нету информации по кол-ву ACE в RSP-720.
Для SUP720 эта инфа доступна:
http://www.cisco.com/en/US/products/hw/mod...0080159856.html (http://www.cisco.com/en/US/products/hw/modules/ps2797/products_data_sheet09186a0080159856.html)
Table 3. Security Features
32K for ALL models
А вот для RSP-720 пока нету
http://www.cisco.com/en/US/products/hw/rou...cd8057f3b6.html (http://www.cisco.com/en/US/products/hw/routers/ps368/products_data_sheet0900aecd8057f3b6.html)
На http://www.cisco.com/univercd/home/home.htm (http://www.cisco.com/univercd/home/home.htm) тоже ничего
А меня понемногу прижимает, даже несмотря на установку 122-18.SXF7
-
Юра, у тебя часом нету информации по кол-ву ACE в RSP-720.
Для SUP720 эта инфа доступна:
http://www.cisco.com/en/US/products/hw/mod...0080159856.html (http://www.cisco.com/en/US/products/hw/modules/ps2797/products_data_sheet09186a0080159856.html)
Table 3. Security Features
32K for ALL models
А вот для RSP-720 пока нету
Нет, для rsp720 такой инфы у меня нет -- у кошки вообще очень фигово со scalability numbers, особенно для новых железок. Но *pfc3c*, про который идет речь, также устанавливается на me6524. Вот что показывает для нее sh tcam (12.2(18)ZU2/ADIPSERV):
Used Free Percent Used Reserved
---- ---- ------------ --------
[snip]
ACL_TCAM
--------
Masks: 38 4058 0 72
Entries: 162 32606 0 576
[snip]
Так что боюсь, что rsp720 в этой ситуации вряд ли тебе поможет.
http://www.cisco.com/en/US/products/hw/rou...cd8057f3b6.html (http://www.cisco.com/en/US/products/hw/routers/ps368/products_data_sheet0900aecd8057f3b6.html)
На http://www.cisco.com/univercd/home/home.htm (http://www.cisco.com/univercd/home/home.htm) тоже ничего
А меня понемногу прижимает, даже несмотря на установку 122-18.SXF7
Если идти стандартным путем, то следующим шагом можно попробовать миграцию rockies --> barracuda, в слабой надежде на то, что там драматически переделали алгоритмы acl merge для динамических acl... Но лучше начинать думать в сторону смены дизайна -- например, на этапе авторизации садить пользователя в vrf с ограниченной видимостью или делать ему PBR или еще как-то, но оставив в покое центральный раутер, который должен заниматься своим делом
-
скорее всего мне придётся педелать по твоему подобию:
3560G - на access-layer для некоторых линков + там же ACL (перенесённый с 76-го).
-
скорее всего мне придётся педелать по твоему подобию:
3560G - на access-layer для некоторых линков + там же ACL (перенесённый с 76-го).
По какому подобию? 95% коробок 3550/3560 у меня стоят в L2... Но идея правильная.
-
Если идти стандартным путем, то следующим шагом можно попробовать миграцию rockies --> barracuda, в слабой надежде на то, что там драматически переделали алгоритмы acl merge для динамических acl... Но лучше начинать думать в сторону смены дизайна -- например, на этапе авторизации садить пользователя в vrf с ограниченной видимостью или делать ему PBR или еще как-то, но оставив в покое центральный раутер, который должен заниматься своим делом
Где б ещё найти этот самый SRB train , btw выяснился ещё один неприятный момент. SXF7 не поддерживает ACL на транковых портах (при усовершенствованном acl merge algorithm)
interface GigabitEthernet1/19
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan [snip]
switchport mode trunk
switchport nonegotiate
no ip address
service-policy input CLASSIFY-INBOUND-TRAFFIC
conf t
int gi 1/19
(config-if)#ip ?
Interface IP configuration subcommands:
address Set the IP address of an interface
admission Apply Network Admission Control
arp Configure ARP features
auth-proxy Apply authenticaton proxy
dhcp DHCP
rsvp RSVP interface commands
rtp RTP parameters
vrf VPN Routing/Forwarding parameters on the interface
no access-group (((((
-
Где б ещё найти этот самый SRB train ,
Известно где -- на CCO, Только у них сегодня опять какие-то траблы -- на попытку утянуть что-либо через upgrade planner, весело сообщают: "Error: DB: ip_check :3". Демоны.
btw выяснился ещё один неприятный момент. SXF7 не поддерживает ACL на транковых портах (при усовершенствованном acl merge algorithm)
interface GigabitEthernet1/19
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan [snip]
switchport mode trunk
switchport nonegotiate
no ip address
service-policy input CLASSIFY-INBOUND-TRAFFIC
conf t
int gi 1/19
(config-if)#ip ?
Interface IP configuration subcommands:
address Set the IP address of an interface
admission Apply Network Admission Control
arp Configure ARP features
auth-proxy Apply authenticaton proxy
dhcp DHCP
rsvp RSVP interface commands
rtp RTP parameters
vrf VPN Routing/Forwarding parameters on the interface
no access-group (((((
Если мне не изменеят склероз, то pfc3 не поддерживает port-ACL... Используй RACL для routed и VACL для bridged трафика.
-
Если мне не изменеят склероз, то pfc3 не поддерживает port-ACL... Используй RACL для routed и VACL для bridged трафика.
Держит держит.
поднял вот бэкапы за январь
boot system flash disk0:/s72033-advipservicesk9_wan-mz.122-18.SXE4.bin
[snip]
interface GigabitEthernet1/24
description TOMSKTELECOM-DIN
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan [snip]
switchport mode trunk
no ip address
ip access-group 108 in
no cdp enable
Видимо SXE версия это умела.
-
Держит держит.
поднял вот бэкапы за январь
boot system flash disk0:/s72033-advipservicesk9_wan-mz.122-18.SXE4.bin
[snip]
interface GigabitEthernet1/24
description TOMSKTELECOM-DIN
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan [snip]
switchport mode trunk
no ip address
ip access-group 108 in
no cdp enable
Видимо SXE версия это умела.
*Работает* в конкретном релизе и *поддерживается* это, как ты понимаешь, несколько разные вещи -- использовать это или нет какждый решает сам, на свой страх и риск. А дока на 12.2(18)SX не делает различий на подрелизы:
http://www.cisco.com/en/US/products/hw/rou....html#wp1081810 (http://www.cisco.com/en/US/products/hw/routers/ps368/products_configuration_guide_chapter09186a008016112f.html#wp1081810)
P.S. Сам наступил на эти грабли, когда понадобился MAC-based PACL.
-
Кстати, возвращаясь к обсуждению в пятницу. Получил ответ от Cisco-вского инженера по RSP & ACL
видимо скоро 6524me появится и у нас
-
Кстати, возвращаясь к обсуждению в пятницу. Получил ответ от Cisco-вского инженера по RSP & ACL
[snip]
You ROCK!
касательно ACE только IPv6
[snip]
Вот видишь, дедушка тебя не обманывал
-
Btw, касательно PACL и pfc3 обнаружил такую вещь на sup720 (SFX6) PACL на switchports недоступен в cli, а на sup32 (SXF6) -- *без* проблем...
P.S. Что еще интересно, старые даташиты на sup720 содержат упоминания об PACL...
Уточнение к предыдущему посту -- sup720/3b.
P.S. На me6524 (AIS, 12.2(18)ZU2) с PACL все ОК.
-
Btw, касательно PACL и pfc3 обнаружил такую вещь на sup720 (SFX6) PACL на switchports недоступен в cli, а на sup32 (SXF6) -- *без* проблем...
у меня на sup720 доступен. м.б. не то смотрю?
(config-if)#switchport access ?
vlan Set VLAN when interface is in access mode
правда IOS древний 12.2(18)SXD6 , пока все что нужно работает, не хочу менять. м.б. зря.
P.S. WS-C6509-E
-
Ок, всем спасибо
Завтра откачусь на SXE4 (новее нет) и посмотрю как распределяется TCAM в случае PACL вместо VACL (особенно на несколько vlan в транке)
-
Btw, касательно PACL и pfc3 обнаружил такую вещь на sup720 (SFX6) PACL на switchports недоступен в cli, а на sup32 (SXF6) -- *без* проблем...
PACL на транках держит как SXE так и SXD (проверено на SXD7)
М.б. это скрытая фича/баг именно SXF ветки?
-
PACL на транках держит как SXE так и SXD (проверено на SXD7)
М.б. это скрытая фича/баг именно SXF ветки?
открой кейс, пусть официально ответят.
-
нема саппорта .
да и не суть важно, смена ios решила проблему.
-
у меня на sup720 доступен. м.б. не то смотрю?
(config-if)#switchport access ?
vlan Set VLAN when interface is in access mode
Имелась ввиду возможность поставить ip acl на L2-порт.
правда IOS древний 12.2(18)SXD6 , пока все что нужно работает, не хочу менять. м.б. зря.
P.S. WS-C6509-E
В принципе, SXD6 у меня жил без проблем, просто со временем потребовались новые фичи.
PACL на транках держит как SXE так и SXD (проверено на SXD7)
М.б. это скрытая фича/баг именно SXF ветки?
Это *очень* непохоже на bug. Хотя с последними в SXF тоже все в порядке -- вылазят регулярно
-
Имелась ввиду возможность поставить ip acl на L2-порт.
#sh run int gi9/26
Building configuration...
Current configuration : 163 bytes
!
interface GigabitEthernet9/26
no ip address
switchport
switchport access vlan xxx
switchport mode access
switchport nonegotiate
spanning-tree portfast
end
#conf t
Enter configuration commands, one per line. End with CNTL/Z.
(config)#int gi9/26
(config-if)#ip access-group ?
<1-199> IP access list (standard or extended)
<1300-2699> IP expanded access list (standard or extended)
WORD Access-list nameоно?
В принципе, SXD6 у меня жил без проблем, просто со временем потребовались новые фичи.
скажи какие, м.б. мне тоже надо, а я сплю спокойно?
-
Имелась ввиду возможность поставить ip acl на L2-порт.
единственное что мне не очень понятно, что мешало сделать IP ACL на L2 не только in, но и out.
-
#
#conf t
Enter configuration commands, one per line. End with CNTL/Z.
(config)#int gi9/26
(config-if)#ip access-group ?
<1-199> IP access list (standard or extended)
<1300-2699> IP expanded access list (standard or extended)
WORD Access-list name
visual,имелась в виду возможность повесить IP-ACL на L2-TRUNK. Как оказалось не в каждой IOS это есть.
-
visual,имелась в виду возможность посить IP-ACL на L2-TRUNK. Как оказалось не в каждой IOS это есть.
#sh run int po1
Building configuration...
Current configuration : 206 bytes
!
interface Port-channel1
no ip address
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
end
#conf t
Enter configuration commands, one per line. End with CNTL/Z.
(config)#int po1
(config-if)#ip access-group ?
<1-199> IP access list (standard or extended)
<1300-2699> IP expanded access list (standard or extended)
WORD Access-list nameсудя по всему у меня есть. в транке сидит три TE интерфейса. однако я правильно сделал что не переехал на свежий IOS.
-
единственное что мне не очень понятно, что мешало сделать IP ACL на L2 не только in, но и out.
IMHO, ограничения в h/w. Причем, на маленьких каталистах картина аналогичная -- PACL ingress only.
-
[snip]
скажи какие, м.б. мне тоже надо, а я сплю спокойно?
o SXF-driven h/w features: sup32, ws-x6148a-ge-tx
o SXE-driven s/w features: bfd, erspan, ospf overload protection, для eompls были еще какие-то улучшения, но я уже деталей не помню.
-
o SXF-driven h/w features: sup32, ws-x6148a-ge-tx
o SXE-driven s/w features: bfd, erspan, ospf overload protection, для eompls были еще какие-то улучшения, но я уже деталей не помню.
вы у себя модульный IOS не поднимали? выглядит вкусно, но попробовать еще не успел.
-
вы у себя модульный IOS не поднимали? выглядит вкусно, но попробовать еще не успел.
S/w modularity пробовал сразу после появления имиджей на cco, но глубоко не разбирался. В продакшн не ставился, т.к. на текущий момент, в нем нет поддержки mpls.