Добрый день.

Пытаюсь настроить PBR на Catalyst 3750-12S.

Версия IOS:   12.2(25)SEE2   C3750-ADVIPSERVICESK

В соответствии с цисковым руководством выполнил:

RBZ-c3750-T1-U1(config)#sdm prefer routing

перегрузился.

RBZ-c3750-T1-U1#show sdm prefer
The current template is "aggregate routing" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.

  number of unicast mac addresses:                  6K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    20K
    number of directly-connected IPv4 hosts:        6K
    number of indirect IPv4 routes:                 14K
  number of IPv4 policy based routing aces:         512
  number of IPv4/MAC qos aces:                      512
  number of IPv4/MAC security aces:                 1K

Отсюда видно, что требуемые настройки примерились. Опять таки, ссылаясь на руководство.

Далее:

RBZ-c3750-T1-U1(config)#access-list 11 permit 192.168.17.0 0.0.0.255

RBZ-c3750-T1-U1#show access-lists 11
Standard IP access list 11
    10 permit 192.168.17.0, wildcard bits 0.0.0.255

RBZ-c3750-T1-U1(config)#route-map TEST_MAP permit 10
RBZ-c3750-T1-U1(config-route-map)#match ip address 11
RBZ-c3750-T1-U1(config-route-map)#set ip default next-hop 172.16.59.6

RBZ-c3750-T1-U1#show route-map TEST_MAP
route-map TEST_MAP, permit, sequence 10
  Match clauses:
    ip address (access-lists): 11
  Set clauses:
    ip default next-hop 172.16.58.6
  Policy routing matches: 0 packets, 0 bytes

RBZ-c3750-T1-U1(config)#int vlan 17
RBZ-c3750-T1-U1(config-if)#ip policy route-map TEST_MAP  

При этом последнюю команду циска успешно проглатывает, но show ip policy ничего не показывает. И tracert естественно показывает, что ничего не работает.

RBZ-c3750-T1-U1#show ip policy
Interface      Route map

vrf вроде не включал и никаких упоминаний о нем нет...

Дебаг выдает вот такую фигню, когда применюя политику на интерфейсе:

13w2d: %PLATFORM_PBR-3-UNSUPPORTED_RMAP: Route-map TEST_MAP not supported for Policy-Based Routing

Не подскажете в чем проблема и что делать?  

Заранее благодарю.

• Policy Based Routin on C3750,sh_, 11:16 , 26-Мрт-09
  • Policy Based Routin on C3750,Pve1, 17:11 , 26-Мрт-09
    • Policy Based Routin on C3750,sh_, 18:25 , 26-Мрт-09
      • Policy Based Routin on C3750,Pve1, 16:32 , 28-Мрт-09
      • Policy Based Routin on C3750,Pve1, 20:19 , 28-Мрт-09
        • Policy Based Routin on C3750,sh_, 10:24 , 30-Мрт-09
          • Policy Based Routin on C3750,Pve1, 12:16 , 30-Мрт-09
            • Policy Based Routin on C3750,MANG, 14:21 , 12-Май-09
              • Policy Based Routin on C3750,sh_, 16:51 , 12-Май-09

Поставьте set next-hop вместо set default next-hop.

Policy-based routing based on packet length, TOS, set interface, set default next hop, or set default
interface are not supported. Policy maps with no valid set actions or with set action set to Don’t
Fragment are not supported.

>Поставьте set next-hop вместо set default next-hop.
>
>
>
>Policy-based routing based on packet length, TOS, set interface, set default next
>hop, or set default
>interface are not supported. Policy maps with no valid set actions or
>with set action set to Don’t
>Fragment are not supported.

Мда... печально...  

set next-hop  действительно работает - но результат то не тот(((  она все кидает на этот hop. А мне то надо прописать только маршрут по умолчанию...

А есть версии IOS, которые поддерживают?

Хотя полагаю если и поддерживают - то программно исключительно... что не лучшим образом отразится на производительности...

Может как-то по другому можно порешать вашу задачу? Что вы конкретно хотите сделать?

>Может как-то по другому можно порешать вашу задачу? Что вы конкретно хотите
>сделать?

Да задача проста.
Некоторому множеству хостов, соответствующему некоторому ACL, необходимо прописать маршрут по умолчанию, отличный от общего ip route 0.0.0.0 0.0.0.0 ..... Причем задачка весьма актуальна(((
Иные методы решения, кроме как политики с set ip defaul next-hop - мне в голову что то не приходят)))

>Может как-то по другому можно порешать вашу задачу? Что вы конкретно хотите
>сделать?

А ведь действительно -я могу создать extended ACL и в нем по destinatio-адресу отфильтровать интернет-запросы от внутренних. И тогда set next-hop отработает и я получу как раз то, что хотел...

Только вот интересно, как в данном случае обработка extended ACL скажется на производительности роутинга...?

И вообще, не подскажите - можно ли где то найти адекватные сведения о том, как PBR и обработка ACL повлияют на производительность?  

З.Ы. Спасибо, что подтолкнули к варианту решения задачи...

>И вообще, не подскажите - можно ли где то найти адекватные сведения
>о том, как PBR и обработка ACL повлияют на производительность?
>

Никак не повлияют...

>
>>И вообще, не подскажите - можно ли где то найти адекватные сведения
>>о том, как PBR и обработка ACL повлияют на производительность?
>>
>
>Никак не повлияют...

Ой-ли... Что то сомневаюсь немного...   На англоязычных форумах видел иные мнения.. Аргументов там правда тоже не было..)

Можете аргументировать это утверждение?  Или вы из практики наблюдали?

P.S. PBR то работает, и делает то - что надо! Спасибо еще раз.

Из практики - PBR с ексендед ACL - очень сильно нагрузит каталист.
У меня после попыток использовать на трех интерфейсах (для такой же задачи - выпусить клиентов в инет через отдельный роутер) - нагрузка процессора 40%, пинги до 100 мс между вланами. Пришлось отказаться от такого использования PBR

2MANG

Возможно у вас трафик начинал литься на процессор. Это могло происходить например поэтому:
Packets that match a deny ACE are sent to the CPU, which
could cause high CPU utilization.

Так же есть вот такая штука:
PBR can be fast-switched or implemented at speeds that do not slow down the switch. Fast-switched
PBR supports most match and set commands. PBR must be enabled before you enable fast-switched
PBR. Fast-switched PBR is disabled by default.