Перейти до

cisco 6509 высока нагрузка


Рекомендованные сообщения

Может кто сталкивался в последнее время стал нагружаться проц на циске от 40 до 70%:

c6509#sh processes cpu sorted 1min
CPU utilization for five seconds: 42%/14%; one minute: 42%; five minutes: 44%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
 277  23563148962144479839       1098 18.55% 20.05% 21.77%   0 IP Input
  11   7549597361689179680        446  1.83%  1.99%  1.95%   0 ARP Input
в поисках гугла большинство ответов  на IP Input , cef включен

единственное что заметил есть две головы bdcom 3310 включены в гиговые оптические порты нагрузка там небольшая но если посмотреть на эти порты командой stat то трафик похоже обрабатывается процом почему то

c6509#sh int gigabitEthernet 2/16 stat
GigabitEthernet2/16
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
               Processor     294810   26829229          0          0
             Route cache          0          0          0          0
       Distributed cache          0          0          0          0
                   Total     294810   26829229          0          0

 

c6509#sh int gigabitEthernet 2/5 stat
GigabitEthernet2/5
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
               Processor     232326   20274743          0          0
             Route cache          0          0          0          0
       Distributed cache          0          0          0          0
                   Total     232326   20274743          0          0

 

а вот для примера линк который уходит на длинк и трафика там на порядок больше 

c6509#sh int gigabitEthernet 2/2 stat
GigabitEthernet2/2
          Switching path    Pkts In   Chars In   Pkts Out  Chars Out
               Processor          0          0          0          0
             Route cache          0          0          0          0
       Distributed cache          0          0          0          0
                   Total          0          0          0          0
 

Может кто сталкивался с подобным есть идеи?

Ссылка на сообщение
Поделиться на других сайтах

Снять дамп с проца и посмотреть что его фигачит. Часто ipv6 и мультик улетает на проц. 

 

debug netdr capture rx

show netdr capture

 

Ну и как бы модель проца осталась не известна. 

Ссылка на сообщение
Поделиться на других сайтах

https://supportforums.cisco.com/kxiwq67737/attachments/kxiwq67737/5856-docs-routing-switching/51/1/74984-Netdr_capture_6500_sup720.pdf

 

Хорошая дока по netdr

Відредаговано Den_LocalNet
Ссылка на сообщение
Поделиться на других сайтах

Вы для начала вообще посмотрите какие пакеты на проц валят. Даже визуально часто можно оценить что каких-то очень много. 

 

Например ipv6 мультик в блоке 3333.0000.0000 - 3333.ffff.ffff. Таким говном нещадно поливают домашние говнороутеры. Вообще 6500/7600 без полиси трафа на проц и нормальной чистки трафа на абонентских выносах можно легко укладывать на лопатки обычным абонентским мусором. Ибо все что asic не умеет форвардить - летит на проц. 

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

скажите этими командами я сильно свою циску нагружу с таким никогда не сталкивался мало опыта, боязно на живом ядре эксперементировать

debug netdr capture rx

show netdr capture

Ссылка на сообщение
Поделиться на других сайтах

Ни на сколько не нагрузит. Там дамп всего 4096 пакетов. Снимается несколько мили секунд.

Ну гугл же у всех один, если что-то не ясно то можно почитать. Если и это не помогло - нанять админа. 

Ссылка на сообщение
Поделиться на других сайтах

я за это почитал просто с английским у меня в основном через гугл переводчик а на русском информации мало вы были правы по поводу ipv6 мультик в блоке 3333.0000.0000

------- dump of incoming inband packet -------
interface Vl824, routine mistral_process_rx_packet_inlin, timestamp 09:28:07.836
dbus info: src_vlan 0x338(824), src_indx 0x4F(79), len 0x84(132)
  bpdu 0, index_dir 0, flood 1, dont_lrn 0, dest_indx 0x4338(17208)
  88020400 03380000 004F0000 84080000 0C110570 02024040 00000008 43380000
mistral hdr: req_token 0x0(0), src_index 0x4F(79), rx_offset 0x76(118)
  requeue 0, obl_pkt 0, vlan 0x338(824)
destmac 33.33.00.01.00.02, srcmac 00.26.22.74.D4.09, protocol 86DD
protocol ipv6: version 6, flow 1610612736, payload 74, nexthdr 17, hoplt 64
class 0, src FE80::226:22FF:FE74:D409, dst FF02::1:2

 

на доступе стоит des-3200-28f правила создавал но похоже они не работают

DES-3200-28F:5#show access_profile 20
Command: show access_profile

Next possible completions:
{}                  profile_id

DES-3200-28F:5#show access_profile profile_id 20
Command: show access_profile profile_id 20

Access Profile Table

=============================================================================
Profile ID: 20                         Type: Packet Content Frame Filter
=============================================================================
Owner: ACL
Masks  Option
Offset1 :   Byte 0  of L2    Value: 0xFFFF
Offset2 :   Byte 0  of L3    Value: 0xFFFF

-----------------------------------------------------------------------------
Access ID : 15
Ports     : 1-28
Mode      : Deny
Offset1  Value:       0x86DD

=============================================================================
Total Profile Entries: 4

Total Used Rule Entries: 4

Total Unused Rule Entries: 508
 

Ссылка на сообщение
Поделиться на других сайтах

Некоторые роутеры D-Link (DIR-615, DIR-825) могут устраивать DHCPv6 флуд, DST ff02::1:2, dst-port 547. 

Флудит примерно 3kpps с одного роутера. DHCPv6 клиент есть в дефолтовом конфиге. Флудит даже в случае наличия работающего dhcpv6 сервера в аплинке. Помогает только перезагрузка.

 

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

Не забывайте так же отключать принудительно всё, что связано с IGMP на роутерах а так же IPv6.

В своё время очень помучался с этим, флуды были.

Ссылка на сообщение
Поделиться на других сайтах

я это (IGMP на роутерах а так же IPv6.) по умолчанию убиваю во всех роутерах, только где гарантия что клиент сам себе купил настроил и пофиг как работает , проблема почему на доступе нифига не отрабатывают acl на des-3200-28 c1,a1,b1

Ссылка на сообщение
Поделиться на других сайтах

может кому пригодится мне на DGS-3120-24SC получилось отфильтровать ipv6 наглухо только фильтрацией на порту

# ena cpu_interface_filtering
# create cpu access_profile profile_id 5 ethernet ethernet_type
# config cpu access_profile profile_id 5 add access_id 1 ethernet ethernet_type 0x86DD port 1-24 deny

Ссылка на сообщение
Поделиться на других сайтах
В 10.04.2020 в 09:44, vitaha-ua сказал:

на доступе стоит des-3200-28f правила создавал но похоже они не работают

 

У D-Link есть штатный mld_snooping

Ссылка на сообщение
Поделиться на других сайтах

а вы попробуйте настроить штатный mld_snooping а потом станьте снифером и посмотрите как он отрабатывает и не пропускает ipv6 до ядра

des-3200-28f c ним мне тоже помогло три строчки теперь наблюдаю пока все хорошо

# ena cpu_interface_filtering
# create cpu access_profile profile_id 5 ethernet ethernet_type
# config cpu access_profile profile_id 5 add access_id 1 ethernet ethernet_type 0x86DD port 1-24 deny

Ссылка на сообщение
Поделиться на других сайтах

# enable mld_snooping

# config mld_snooping all state enable

# config mld_snooping rate_limit ports 1-28 1

# config multicast vlan_filtering_mode all filter_unregistered_groups


Для диагностики:

 

# show mld_snooping group

# show mld_snooping forwarding

# #show mld_snooping mrouter_ports all

 

Попытайтесь отключить IPv6 функционал на свиче

 

# config ipif System ipv6 state disable

 

 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...