chuck
  • dadv

BGP Full view & TCAM

Реально ли на 7606 с парой RSP720-3CXL-GE принимать BGP full view без фильтрации и отдавать дальше в полном объёме, но при заполнении TCAM (установке в FIB) выполнять фильтрацию по атрибутам BGP? Например, по AS-PATH:

ip as-path access-list 500 deny ^.+_.+_.+_.+_.+
ip as-path access-list 500 permit ^.*

То есть убирать из FIB маршруты до очень дальних AS, пусть идут по default route.

Update: похоже, что table-map filter как раз для этого.
Update2: сработало так:

router bgp NNN
 address-family ipv4
  table-map BGP2FIB filter
 address-family ipv6
  table-map BGP2FIB filter
!
ip as-path access-list 500 deny ^.+_.+_.+_.+_.+
ip as-path access-list 500 permit ^.*
!
route-map BGP2FIB permit 10
 match as-path 500
!


Из нынешних 790K префиксов IPv4 и 77.5K префиксов IPv6 в TCAM попало только 617K и 63.4K соответственно, что составляет 70% для IPv4 и 77% для IPv6 при лимитах:

mls cef maximum-routes ip 850
mls cef maximum-routes mpls 1


При этом BGP Full View в основной памяти нетронутый и всю таблицу можно продолжать анонсировать соседям, если надо.

Без этого сегодня в TCAM уже было 90% для IPv4 и 95% для IPv6.

Вопрос решен.
terminator
  • vpluto

(no subject)

Коллеги, кто более-менее хорошо знает платформу 76. Я, к сожалению, подзабыл уже :(

Есть 7609 с rsp720-10g-3cxl.
Смотрю на вывод sh platform hardware capacity fabric и вижу там следующее:
Fabric utilization:     Ingress                    Egress
Module  Chanl  Speed  rate  peak                 rate  peak
[...]
5       0        20G   62%   89% @21:54 20Oct17   80%   98% @22:24 29Oct17
5       1        20G    0%    4% @10:45 17Jan17    0%   30% @10:03 25Jul16

И вот как-то меня напрягает, что весь трафик супервизором обрабатывается только через одно, нулевое, касание фабрики, а в первом касании трафика нет вообще.
Особенно неприятно, что egress вчера разгонялся до 98% (ну т.е. фактически грузил касание в полку).

При этом остальные лайнкарты нормально и сравнительно равномерно грузят свои касания.

У меня есть две таких 7609 и на обеих картина одинаковая.

Вопрос - управляем ли процесс распределения трафика между разными касаниями и если да - то каким именно образом?
chuck
  • dadv

7201 & xconnect & STP BPDU forwarding

Умеет ли 7201 форвардить STP BDU через xconnect?

Именно форвардить, не туннелировать, L2 protocol tunneling не нужен. Чтобы этот xconnect мог быть полноценным звеном L2-кольца в влане.

chuck
  • dadv

host zero

Думал, в 2016 такого уже не бывает.

Юзер дистрибутива Linux Mint получает по DHCP от провайдера постоянный адрес X.X.185.0 из сети X.X.184.0/22. Пытается обратиться к серверу extra.linuxmint.com и не получает ответа даже на пинг (одинаково для обоих IP-адресов сервера), в то время как ответы на пинг адресу X.X.185.1 приходят успешно, как и успешно завершается трассировка ICMP-пакетами с адреса X.X.185.1, три последних хопа выглядят так:

19  [AS5580] ae00.edge01.chi01.us.as5580.net (78.152.45.134)  212.510 ms  212.603 ms  212.579 ms
20  [AS5580] 78.152.33.246 (78.152.33.246)  206.454 ms  206.359 ms  206.270 ms
21  [AS11878] static-68-235-39-11.cust.tzulo.com (68.235.39.11)  212.489 ms  212.249 ms  212.318 ms


Если трассировать с X.X.185.0, то последним ответившим хопом в трассе является 19-й. Те же результаты получаются, если адреса X.X.185.[01] для теста поставить на цискороутере провайдера. Та же проблема выявлена у адреса X.X.186.0, а вот у X.X.185.255 проблемы нет - ему ответы на пинг возвращаются.

nmap -O про 20-й хоп (первый не отвечающий) говорит, что там что-то похожее на IOS 12.4, но разве такие эффекты бывают на 12.4?
  • xrt_nn

wlc миграция настроек

Коллеги, может кто знает, у циски есть тулза или гайд какой по миграции всех настроек юзеров и вес страниц с одного wlc контроллера на другой?
Существующий железный уже при смерти, купили развернули виртуальный, но переносить все это руками меня это печалит сильно.

Странности с nat'ом на роутерах

Есть два роутера c2811 и c2911.
Картинка на обоих схожая. На внешний интерфейс прибит 79.134.xxx.aa5, но nat'им внутрь другой ip из того же диапазона.
Как-то так:
ip nat inside source static tcp 172.31.7.11 80 79.134.xxx.aa7 80 extendable

и на 2911 порт пробрасывается нормально, а на 2811 где-то застревает, хотя acl одинаковые.
Где может быть косяк?