Cisco6509+sup720+acl = нагрузка cpu на 100%

Сообщение **serg_sk** » 29.10.2012 18:28

Приветствую всех!

Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU.

Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят":

Код: Выделить всё

(config)#ip access-list extended 199
(config-ext-nacl)#dynamic GOODBOYS permit ip any any

Код: Выделить всё

cisco6509#show access-lists 199
Extended IP access list 199
    10 Dynamic GOODBOYS permit ip any any
    10   permit ip host xxx.xxx.xxx.xxx any (1 match)
ну и тут много аналогичных правил.

Собственно все, кто в этот список не попал, доступа не имеют.

После применения листа получаем:

Код: Выделить всё

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
 202   535031420  35126860      15231 78.97% 83.80% 83.74%   0 FM core

Опытные цисководы есть? С циской столкнулся впервые и пока только разбираюсь.
Есть у кого идеи как разгрузить проц?

daedalus · Сообщение **daedalus** » 29.10.2012 20:44

Код: Выделить всё

get config nvram

с циски

Сообщение **serg_sk** » 29.10.2012 21:17

Такой команды нет. Вам нужен рабочий конфиг или что? Весь конфиг ну очень большой )

Скажите, что конкретно интересует.

daedalus · Сообщение **daedalus** » 30.10.2012 12:52

Интересует как задаете ACL правила. Может лучше добавлять записи нехороших абонентов, их меньше чем хороших. Следовательно меньше операций придется выполнять процессору коммутатора.

Сообщение **serg_sk** » 30.10.2012 14:30

Я же описал выше как задаю.

А нехороших.. на первое число нехороших становится куда больше, чем хороших.

taaroa · Сообщение **taaroa** » 30.10.2012 14:58

serg_sk писал(а): ↑
29.10.2012 18:28
Опытные цисководы есть?

http://forum.nag.ru/forum/index.php?showforum=3

daedalus · Сообщение **daedalus** » 30.10.2012 21:58

Вообще при таком количестве абонентов на коммутаторе лучше сделать таблицу маршрутизации для обычных пользователей, а неплательщиков пускать через правила ACL, остальные по стандартным IPROUTE.

Сообщение **serg_sk** » 06.11.2012 16:39

Пока сделал таблицу BADBOYS. Вношу туда всех неплатильщиков, а остальных пропускаю в интернет. Количество acl уменьшилось с 5к до 1к )

Сообщение **serg_sk** » 12.09.2013 15:28

Переделал вообще по другому и теперь не блокирую кошкой, а выдаю dhcp другую айпишку и для абонентов с левыми айпишками прописываю next-hop на мой сервер заглушку.

unixforum.org

Cisco6509+sup720+acl = нагрузка cpu на 100%

Cisco6509+sup720+acl = нагрузка cpu на 100%

Re: Cisco6509+sup720+acl = нагрузка cpu на 100%

Re: Cisco6509+sup720+acl = нагрузка cpu на 100%

Re: Cisco6509+sup720+acl = нагрузка cpu на 100%

Re: Cisco6509+sup720+acl = нагрузка cpu на 100%

Re: Cisco6509+sup720+acl = нагрузка cpu на 100%

Re: Cisco6509+sup720+acl = нагрузка cpu на 100%

Re: Cisco6509+sup720+acl = нагрузка cpu на 100%

Re: Cisco6509+sup720+acl = нагрузка cpu на 100%