o PBR adiciona alguma latência ao fazer o SNAT, assumindo que o PBR é todo feito em hardware?
O Sup720 suporta PBR em HW , a latência adicional (se houver) é insignificante porque o PBR não adiciona mais filas de interface. Acho que a PBR tornaria as coisas mais difíceis do que precisam (e ainda não tenho certeza se funcionaria ... as especificidades dessa opção não são totalmente claras)
Com exceção do XFF e do SNAT mencionados anteriormente, a PBR é a única opção aqui e qual é a melhor maneira de manter a PBR bem configurada?
PBR não é a única opção. Sua opção proposta não é clara, mas o PBR normalmente se resume a nada mais do que uma maneira mais sofisticada de fazer o roteamento estático.
Normalmente, essa é a melhor topologia para serviços com balanceamento de carga que requerem consultas SQL ...
- Coloque seus VIPs em uma sub-rede frontal ... 172.16.1.0/24 no diagrama
- Coloque seus pools de servidores em uma sub-rede traseira ... 172.16.2.0/24 no diagrama
- Coloque suas consultas SQL em outra interface ... 172.16.3.0/24 no diagrama. Adicione uma segunda interface a todos os servidores que requerem consultas SQL. Faça todas as suas consultas SQL para endereços nesta sub-rede. Essa topologia funciona para Unix e Windows, pois você depende apenas de ARP ou rotas de host (dependendo da sua preferência) para conectividade SQL.
Diagrama:
Essa topologia possui benefícios adicionais:
- Ele separa as interfaces SQL do tráfego da Web, pois as consultas SQL são explosivas e podem acabar com o tráfego da Web.
- Ele fornece MTUs diferentes para seus serviços de balanceamento de carga (que geralmente precisam permanecer em 1500 ou menos, se eles transitarem na Internet) e para os serviços SQL (que favorecem os jumbo-frames).
Qualquer topologia de balanceador de carga com um braço é uma opção menos desejável, pois você acaba cortando pela metade o rendimento máximo por causa da topologia com um braço.
Edição para pergunta sobre HW vs SW comutação no Sup720
Este é um tópico profundo, mas darei a versão resumida ... Sup720 aplica uma ACL em cada direção (entrada / saída) e a ACL deve caber no TCAM com base no algoritmo de mesclagem escolhido pela plataforma. O Gerenciador de recursos do Sup720 (ou seja, fm) é responsável por mediar os recursos no TCAM e informar se você tem uma adjacência de pontapé (ou seja, comutação SW) ou se a combinação de protocolo e direção é alternada no HW. Para isolar se
- Primeiro, identifique todas as interfaces Layer3 de entrada e saída que o tráfego PBR pode transitar
- Em seguida, examine a saída de
show fm fie int <L3_intf_name> | i ^Interf|Result|Flow|Config
(você deve examinar as direções de entrada e saída para todas as interfaces na Etapa 1 ). Seu tráfego será HW comutado se os valores no CAPS corresponderem aos valores que você vê abaixo ... observe que a saída do comando que estou usando é muito semelhante à que você vê em show fm fie summary
...
Tx.Core01#sh fm fie int Vl220 | i ^Interf|Result|Flow|Config
Interface Vl220:
Flowmask conflict status for protocol IP : FIE_FLOWMASK_STATUS_SUCCESS <--- in HW
Flowmask conflict status for protocol OTHER : FIE_FLOWMASK_STATUS_SUCCESS <--- in HW
Flowmask conflict status for protocol IPV6 : FIE_FLOWMASK_STATUS_SUCCESS <--- in HW
Interface Vl220 [Ingress]:
FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT <--- in HW
Features Configured : V4_DEF - Protocol : IP
FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT <--- in HW
Features Configured : OTH_DEF - Protocol : OTHER
FIE Result for protocol IPV6 : FIE_SUCCESS_NO_CONFLICT <--- in HW
Features Configured : V6_DEF - Protocol : IPV6
Interface Vl220 [Egress]:
No Features Configured
No IP Guardian Feature Configured
No IPv6 Guardian Feature Configured
No QoS Feature Configured
Tx.Core01#
A interface acima não mostra a saída de saída, mas isso é irrelevante ... a saída é semelhante à direção de entrada. Ricky Micky escreveu uma excelente explicação da 'interface sh fm fie' se você quiser obter mais detalhes sobre a dinâmica dos resultados de mesclagem / bancos do TCAM.