В продолжение темы:
Как настроть маршрутизацию для подсетей в разные шлюзы используя L3 коммутатор CISCO 3750 с учётом локальной маршрутизации (продолжение темы)?
Реализовал схему сети.
По умолчанию все ходили в интернет через Gate1 (192.168.0.1/30, соответствующий маршрут прописан на CISCO 3750)
Сделал лист:
ip access-list extended VLAN40-50_Gate2
deny ip any 192.168.1.64 0.0.0.63
deny ip any 192.168.1.128 0.0.0.63
deny ip any 192.168.1.192 0.0.0.63
permit ip 192.168.1.128 0.0.0.63 any
permit ip 192.168.1.192 0.0.0.63 any
Сделал карту:
route-map VLAN40-50_Gate2 permit 10
match ip address VLAN40-50_Gate2
set ip next-hop 192.168.0.5
На виртуальные интерфейсы VLAN40 и VLAN50 соответственно повесил:
interface VLAN 40
ip address 192.168.1.129 255.255.255.192
ip policy route-map VLAN40-50_Gate2
interface VLAN 50
ip address 192.168.1.193 255.255.255.192
ip policy route-map VLAN40-50_Gate2
При передаче данных между сетями VLAN30-VLAN40 и VLAN30-VLAN50 скорость не превышает 40 Мбит/с.
Загрузка процессора на CISCO 3750, даже при передаче данных всего с одного компьютера из VLAN40 или 50 на компьютер из VLAN 30, или обратно, поднимается до 40%.
В интернет VLAN40 и 50 ходят со скоростью до 200 Мбит/с.
Если я убираю с интерфейсов VLAN40 и 50 использование маршрутной карты (ip policy route-map VLAN40-50_Gate2), скорость поднимается до скорости сети (до 1 Гбит/с) (загрузка CPU на CISCO 3750 не поднимается выше 10%), но тогда Gate1 становится для всех шлюзом. И соответственно схема не работает.
Прошу помощи у сообщества в решении этой проблемы.
За время ползаний по просторам инета, наткнулся на упоминание статьи:
https://www.cisco.com/c/en/us/td/docs/switches/lan...
где собственно говорится об использовании ключа "deny" в ACL в PBR:
When configuring match criteria in a route map, follow these guidelines:
– Do not match ACLs that permit packets destined for a local address. PBR would forward these packets, which could cause ping or Telnet failure or route protocol flappping.
– Do not match ACLs with deny ACEs. Packets that match a deny ACE are sent to the CPU, which could cause high CPU utilization.
Короче, нужно, по совету Strabbo, использовать VRF. Но проблема в том, что информации по VRF не особо много. И в большинстве случаев рассматривают либо несвязанные между собой VRF, либо связь VRF+VRF. Мне же необходимо сделать связку VRF+GRT, т.к. сеть VLAN30 уже существует (она большая и вносить в неё изменения не представляется возможным). Нужно уменьшить её размер, путём вычленения конкретных машин и отделения других в сегменты, перенесённые в VRF с выходом через другой шлюз.
Простой
Простой
