JFYI: RSP720 is comin'

[uri]

О чем так долго  говорили большевики:

http://www.cisco.com/en/US/products/hw/rou...cd8057f3b6.html

P.S. Не прошло и полтора года с момента появления первых слухов... %)

[boombastic]

я правильно понял, это то что называлось раньше SUP1440?

[uri]

я правильно понял, это то что называлось раньше SUP1440?

  Возможно, что нет. RSP720 -- детище 76k bussiness-unit и в дополнении к 12.2(33)SR, все это должно разделить платформы 65k и 76k. И вполне может быть, что 65k-team через некоторое время все-таки анонсирует свой sup1440.

[boombastic]

следующую 76-ую берём с RSP720  ?

[uri]

Возможно, что нет. RSP720 -- детище 76k bussiness-unit и в дополнении к 12.2(33)SR, все это должно разделить платформы 65k и 76k.

[snip]

А вот и оно:

http://www.cisco.com/en/US/products/hw/rou...cd805df25d.html

[boombastic]

With the 12.2SR train, the Cisco 7600 Series will continue leading feature development focusing on Intelligent Carrier Ethernet, voice, video, and data services in metropolitan, cable, and eventually Ethernet Broadband Remote Access Server segments

and eventually Ethernet Broadband Remote Access Server segments
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Интересно, означает ли это что в 76-ую будет заложен функционал PE-раутера/Broadband аггрегатора. или он по прежнему будет позиционироваться как P-раутер.

[uri]

and eventually Ethernet Broadband Remote Access Server segments
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Интересно, означает ли это что в 76-ую будет заложен функционал PE-раутера/Broadband аггрегатора. или он
по прежнему будет позиционироваться как P-раутер.

  1. У меня большие сомнения в возможности *аппаратной* поддержки функциональности bras непосредственно на (sup|rsp)720 (pfc-mode). Если такая функциональность и будет, то скорее всего она будет реализована в сервис-модулях, а это -- дополнительные kUSD, поэтому, проще посмотреть в сторону npe-g2 или, если уж охота совсем правильно, то -- redback или erx. Про софтовую реализацию этих фич, думаю, говорить нет смысла из-за маломощности msfc.
 
  2. 7600 всегда позиционировалась кошкарями как PE-платформа для серьезных операторских сетей, либо как P/PE, для сетей по-меньше. PE-функциональность, например, для 2547bis была на ней с момента FCS.

[boombastic]

Юра, у тебя часом нету информации по кол-ву ACE в RSP-720.

Для SUP720 эта инфа доступна:
http://www.cisco.com/en/US/products/hw/mod...0080159856.html
Table 3. Security Features
32K for ALL models
А вот для RSP-720 пока нету
http://www.cisco.com/en/US/products/hw/rou...cd8057f3b6.html
На http://www.cisco.com/univercd/home/home.htm тоже ничего
А меня понемногу прижимает, даже несмотря на установку 122-18.SXF7

[uri]

Юра, у тебя часом нету информации по кол-ву ACE в RSP-720.

Для SUP720 эта инфа доступна:
http://www.cisco.com/en/US/products/hw/mod...0080159856.html
Table 3. Security Features
32K for ALL models
А вот для RSP-720 пока нету

  Нет, для rsp720 такой инфы у меня нет -- у кошки вообще очень фигово со scalability numbers, особенно для новых железок. Но *pfc3c*, про который идет речь, также устанавливается на me6524. Вот что показывает для нее sh tcam (12.2(18)ZU2/ADIPSERV):

           Used        Free        Percent Used       Reserved
           ----        ----        ------------       --------
[snip]

ACL_TCAM
--------
  Masks:     38        4058            0                    72
Entries:    162       32606            0                   576

[snip]

Так что боюсь, что rsp720 в этой ситуации вряд ли тебе поможет.

http://www.cisco.com/en/US/products/hw/rou...cd8057f3b6.html
На http://www.cisco.com/univercd/home/home.htm тоже ничего
А меня понемногу прижимает, даже несмотря на установку 122-18.SXF7

  Если идти стандартным путем, то следующим шагом можно попробовать миграцию rockies --> barracuda, в слабой надежде на то, что там драматически переделали алгоритмы acl merge для динамических acl... Но лучше начинать думать в сторону смены дизайна -- например, на этапе авторизации садить пользователя в vrf с ограниченной видимостью или делать ему PBR или еще как-то, но оставив в покое центральный раутер, который должен заниматься своим делом

[boombastic]

скорее всего мне придётся педелать по твоему подобию:
3560G - на access-layer для некоторых линков + там же ACL (перенесённый с 76-го).

[uri]

скорее всего мне придётся педелать по твоему подобию:
3560G - на access-layer для некоторых линков + там же ACL (перенесённый с 76-го).

  По какому подобию? 95% коробок 3550/3560 у меня стоят в L2...   Но идея правильная.

[boombastic]

Если идти стандартным путем, то следующим шагом можно попробовать миграцию rockies --> barracuda, в слабой надежде на то, что там драматически переделали алгоритмы acl merge для динамических acl... Но лучше начинать думать в сторону смены дизайна -- например, на этапе авторизации садить пользователя в vrf с ограниченной видимостью или делать ему PBR или еще как-то, но оставив в покое центральный раутер, который должен заниматься своим делом

 
Где б ещё найти этот самый SRB train , btw выяснился ещё один неприятный момент. SXF7 не поддерживает ACL на транковых портах (при усовершенствованном acl merge algorithm)
interface GigabitEthernet1/19
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan [snip]
 switchport mode trunk
 switchport nonegotiate
 no ip address
 service-policy input CLASSIFY-INBOUND-TRAFFIC
conf t
int gi 1/19
(config-if)#ip ?
Interface IP configuration subcommands:
  address     Set the IP address of an interface
  admission   Apply Network Admission Control
  arp         Configure ARP features
  auth-proxy  Apply authenticaton proxy
  dhcp        DHCP
  rsvp        RSVP interface commands
  rtp         RTP parameters
  vrf         VPN Routing/Forwarding parameters on the interface


no access-group (((((

[uri]

Где б ещё найти этот самый SRB train ,

  Известно где -- на CCO, Только у них сегодня опять какие-то траблы -- на попытку утянуть что-либо через upgrade planner, весело сообщают: "Error: DB: ip_check :3". Демоны.

btw выяснился ещё один неприятный момент. SXF7 не поддерживает ACL на транковых портах (при усовершенствованном acl merge algorithm)
interface GigabitEthernet1/19
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan [snip]
 switchport mode trunk
 switchport nonegotiate
 no ip address
 service-policy input CLASSIFY-INBOUND-TRAFFIC
conf t
int gi 1/19
(config-if)#ip ?
Interface IP configuration subcommands:
  address     Set the IP address of an interface
  admission   Apply Network Admission Control
  arp         Configure ARP features
  auth-proxy  Apply authenticaton proxy
  dhcp        DHCP
  rsvp        RSVP interface commands
  rtp         RTP parameters
  vrf         VPN Routing/Forwarding parameters on the interface
no access-group (((((

  Если мне не изменеят склероз, то pfc3 не поддерживает port-ACL... Используй RACL для routed и VACL для bridged трафика.

[boombastic]

Если мне не изменеят склероз, то pfc3 не поддерживает port-ACL... Используй RACL для routed и VACL для bridged трафика.

 
Держит держит.
поднял вот бэкапы за январь
boot system flash disk0:/s72033-advipservicesk9_wan-mz.122-18.SXE4.bin
[snip]
interface GigabitEthernet1/24
 description TOMSKTELECOM-DIN
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan [snip]
 switchport mode trunk
 no ip address
 ip access-group 108 in
 no cdp enable

Видимо SXE версия это умела.

[uri]

Держит держит.
поднял вот бэкапы за январь
boot system flash disk0:/s72033-advipservicesk9_wan-mz.122-18.SXE4.bin
[snip]
interface GigabitEthernet1/24
 description TOMSKTELECOM-DIN
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan [snip]
 switchport mode trunk
 no ip address
 ip access-group 108 in
 no cdp enable

Видимо SXE версия это умела.

  *Работает* в конкретном релизе и *поддерживается* это, как ты понимаешь, несколько разные вещи -- использовать это или нет какждый решает сам, на свой страх и риск. А дока на 12.2(18)SX не делает различий на подрелизы:

http://www.cisco.com/en/US/products/hw/rou....html#wp1081810

P.S. Сам наступил на эти грабли, когда понадобился MAC-based PACL.

[boombastic]

Кстати, возвращаясь к обсуждению в пятницу. Получил ответ от Cisco-вского инженера по RSP & ACL

видимо скоро 6524me появится и у нас

[uri]

Кстати, возвращаясь к обсуждению в пятницу. Получил ответ от Cisco-вского инженера по RSP & ACL

[snip]

  You ROCK!

касательно ACE только IPv6

[snip]

  Вот видишь, дедушка тебя не обманывал  

[uri]

  Btw, касательно PACL и pfc3 обнаружил такую вещь на sup720 (SFX6) PACL на switchports недоступен в cli, а на sup32 (SXF6) -- *без* проблем...

P.S. Что еще интересно, старые даташиты на sup720 содержат упоминания об PACL...






  Уточнение к предыдущему посту -- sup720/3b.

P.S. На me6524 (AIS, 12.2(18)ZU2) с PACL все ОК.

[visual]

Btw, касательно PACL и pfc3 обнаружил такую вещь на sup720 (SFX6) PACL на switchports недоступен в cli, а на sup32 (SXF6) -- *без* проблем...

у меня на sup720 доступен. м.б. не то смотрю?
(config-if)#switchport access ?
  vlan  Set VLAN when interface is in access mode
правда IOS древний 12.2(18)SXD6 , пока все что нужно работает, не хочу менять. м.б. зря.
P.S. WS-C6509-E

[boombastic]

Ок, всем спасибо
Завтра откачусь на SXE4 (новее нет) и посмотрю как распределяется TCAM в случае PACL вместо VACL (особенно на несколько vlan в транке)