cisco 6509 высока нагрузка

[vitaha-ua 8]

Может кто сталкивался в последнее время стал нагружаться проц на циске от 40 до 70%:

c6509#sh processes cpu sorted 1min
CPU utilization for five seconds: 42%/14%; one minute: 42%; five minutes: 44%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
 277  23563148962144479839       1098 18.55% 20.05% 21.77%   0 IP Input
  11   7549597361689179680        446  1.83%  1.99%  1.95%   0 ARP Input
в поисках гугла большинство ответов  на IP Input , cef включен

единственное что заметил есть две головы bdcom 3310 включены в гиговые оптические порты нагрузка там небольшая но если посмотреть на эти порты командой stat то трафик похоже обрабатывается процом почему то

c6509#sh int gigabitEthernet 2/16 stat
GigabitEthernet2/16
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
               Processor     294810   26829229          0          0
             Route cache          0          0          0          0
       Distributed cache          0          0          0          0
                   Total     294810   26829229          0          0

 

c6509#sh int gigabitEthernet 2/5 stat
GigabitEthernet2/5
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
               Processor     232326   20274743          0          0
             Route cache          0          0          0          0
       Distributed cache          0          0          0          0
                   Total     232326   20274743          0          0

 

а вот для примера линк который уходит на длинк и трафика там на порядок больше 

c6509#sh int gigabitEthernet 2/2 stat
GigabitEthernet2/2
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
               Processor          0          0          0          0
             Route cache          0          0          0          0
       Distributed cache          0          0          0          0
                   Total          0          0          0          0
 

Может кто сталкивался с подобным есть идеи?

[Den_LocalNet 1,474]

Снять дамп с проца и посмотреть что его фигачит. Часто ipv6 и мультик улетает на проц. 

 

debug netdr capture rx

show netdr capture

 

Ну и как бы модель проца осталась не известна. 

[Den_LocalNet 1,474]

https://supportforums.cisco.com/kxiwq67737/attachments/kxiwq67737/5856-docs-routing-switching/51/1/74984-Netdr_capture_6500_sup720.pdf

 

Хорошая дока по netdr

Edited 2020-04-09 05:43:46 by Den_LocalNet

[vitaha-ua 8]

как посмотреть за ipv6 , доку еще не успел почитать сейчас начну спасибо.

[Den_LocalNet 1,474]

Вы для начала вообще посмотрите какие пакеты на проц валят. Даже визуально часто можно оценить что каких-то очень много. 

 

Например ipv6 мультик в блоке 3333.0000.0000 - 3333.ffff.ffff. Таким говном нещадно поливают домашние говнороутеры. Вообще 6500/7600 без полиси трафа на проц и нормальной чистки трафа на абонентских выносах можно легко укладывать на лопатки обычным абонентским мусором. Ибо все что asic не умеет форвардить - летит на проц. 

[vitaha-ua 8]

скажите этими командами я сильно свою циску нагружу с таким никогда не сталкивался мало опыта, боязно на живом ядре эксперементировать

debug netdr capture rx

show netdr capture

[Den_LocalNet 1,474]

Ни на сколько не нагрузит. Там дамп всего 4096 пакетов. Снимается несколько мили секунд.

Ну гугл же у всех один, если что-то не ясно то можно почитать. Если и это не помогло - нанять админа. 

[vitaha-ua 8]

я за это почитал просто с английским у меня в основном через гугл переводчик а на русском информации мало вы были правы по поводу ipv6 мультик в блоке 3333.0000.0000

------- dump of incoming inband packet -------
interface Vl824, routine mistral_process_rx_packet_inlin, timestamp 09:28:07.836
dbus info: src_vlan 0x338(824), src_indx 0x4F(79), len 0x84(132)
  bpdu 0, index_dir 0, flood 1, dont_lrn 0, dest_indx 0x4338(17208)
  88020400 03380000 004F0000 84080000 0C110570 02024040 00000008 43380000
mistral hdr: req_token 0x0(0), src_index 0x4F(79), rx_offset 0x76(118)
  requeue 0, obl_pkt 0, vlan 0x338(824)
destmac 33.33.00.01.00.02, srcmac 00.26.22.74.D4.09, protocol 86DD
protocol ipv6: version 6, flow 1610612736, payload 74, nexthdr 17, hoplt 64
class 0, src FE80::226:22FF:FE74:D409, dst FF02::1:2

 

на доступе стоит des-3200-28f правила создавал но похоже они не работают

DES-3200-28F:5#show access_profile 20
Command: show access_profile

Next possible completions:
{}                  profile_id

DES-3200-28F:5#show access_profile profile_id 20
Command: show access_profile profile_id 20

Access Profile Table

=============================================================================
Profile ID: 20                         Type: Packet Content Frame Filter
=============================================================================
Owner: ACL
Masks  Option
Offset1 :   Byte 0  of L2    Value: 0xFFFF
Offset2 :   Byte 0  of L3    Value: 0xFFFF

-----------------------------------------------------------------------------
Access ID : 15
Ports     : 1-28
Mode      : Deny
Offset1  Value:       0x86DD

=============================================================================
Total Profile Entries: 4

Total Used Rule Entries: 4

Total Unused Rule Entries: 508
 

[Den_LocalNet 1,474]

Ну уже лучше. 

По длинку валом информации на русском. 

[vitaha-ua 8]

да уже копаю спасибо за помощь.

[mr.Scamp 43]

Некоторые роутеры D-Link (DIR-615, DIR-825) могут устраивать DHCPv6 флуд, DST ff02::1:2, dst-port 547. 

Флудит примерно 3kpps с одного роутера. DHCPv6 клиент есть в дефолтовом конфиге. Флудит даже в случае наличия работающего dhcpv6 сервера в аплинке. Помогает только перезагрузка.

 

[Туйон 1,298]

Не забывайте так же отключать принудительно всё, что связано с IGMP на роутерах а так же IPv6.

В своё время очень помучался с этим, флуды были.

[vitaha-ua 8]

я это (IGMP на роутерах а так же IPv6.) по умолчанию убиваю во всех роутерах, только где гарантия что клиент сам себе купил настроил и пофиг как работает , проблема почему на доступе нифига не отрабатывают acl на des-3200-28 c1,a1,b1

[vitaha-ua 8]

может кому пригодится мне на DGS-3120-24SC получилось отфильтровать ipv6 наглухо только фильтрацией на порту

# ena cpu_interface_filtering
# create cpu access_profile profile_id 5 ethernet ethernet_type
# config cpu access_profile profile_id 5 add access_id 1 ethernet ethernet_type 0x86DD port 1-24 deny

[Dmitry2 2]

В 10.04.2020 в 09:44, vitaha-ua сказал:

на доступе стоит des-3200-28f правила создавал но похоже они не работают

 

У D-Link есть штатный mld_snooping

[vitaha-ua 8]

а вы попробуйте настроить штатный mld_snooping а потом станьте снифером и посмотрите как он отрабатывает и не пропускает ipv6 до ядра

des-3200-28f c ним мне тоже помогло три строчки теперь наблюдаю пока все хорошо

# ena cpu_interface_filtering
# create cpu access_profile profile_id 5 ethernet ethernet_type
# config cpu access_profile profile_id 5 add access_id 1 ethernet ethernet_type 0x86DD port 1-24 deny

[Dmitry2 2]

# enable mld_snooping

# config mld_snooping all state enable

# config mld_snooping rate_limit ports 1-28 1

# config multicast vlan_filtering_mode all filter_unregistered_groups

Для диагностики:

 

# show mld_snooping group

# show mld_snooping forwarding

# #show mld_snooping mrouter_ports all

 

Попытайтесь отключить IPv6 функционал на свиче

 

# config ipif System ipv6 state disable