-
Публикации
682 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем StSphinx
-
-
Там не в процесс-свитчинге дело, а в самом шейпинге. Он процессор жрет сильнее, чем полисинг.
В списке процессов HQF Shaper отъедает совсем чуть-чуть:
134 99380 816139795 0 0.23% 0.30% 0.31% 0 HQF Shaper Backg
-
Опубликовано · Изменено пользователем StSphinx · Жалоба на ответ
Доброго времени суток!
Перешли с использования полисинга на шейпинг, раздаем через Radius:
Cisco-AVPair=ip:sub-qos-policy-out=имя_политики
Политика описывается как:
policy-map premium_2048k class class-default shape average 2150000
Абоненты приходят по PPPoE. Шейпинг работает, но увеличилась нагрузка на CPU, процентов на 20. Оказалось, что львиная доля трафика уходит на process switching.
c7206-g1-edge#sh int g0/1 stats GigabitEthernet0/1 Switching path Pkts In Chars In Pkts Out Chars Out Processor 1354064 143432595 533087901 2359825786 Route cache 564697116 723332600 38563 24248286 Total 566051180 866765195 533126464 2384074072
Это нормально? И если нет, то как с этим бороться?
Железка:
Cisco 7206VXR (NPE-G1) processor (revision B) with 983040K/65536K bytes of memory.
IOS:
Cisco IOS Software, 7200 Software (C7200-A3JK91S-M), Version 12.2(31)SB16, RELEASE SOFTWARE (fc2)
-
Я тоже грешил на Radius. Выставил побольше таймуат ожидания ответа. Фишка в том, что при возникновении проблемы Radius успешно авторизовал клиентов. Сейчас проблема не проявляется, но тревожит тот факт, что не ясно в чем именно она была.
-
В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентов
лечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ...
Может тут похожая беда?
Попробую, спасибо!
-
gray_pool - это же dhcp pool. зачем на него ссылаться при pppoe авторизации?
И настройка nat при авторизации присылается. А в конфиге никаких следов настроек nat.
btw из-за того, что конфиг прислан неполный трудно траблшутить.
ip nat inside - это атавизм, ната нет на этой железке
gray_pool действительно dhcp pool, так исторически сложилось. dhcp на железке локальный.
Сразу хочу сказать, адресов в пуле хватает.
-
А когда длинк научится делать просто снупинг, без релея?
Честно говоря не пробовал, ибо не надо.
-
Описанная ситуация может возникть при неудачном клонировании Virtual-Access интерфейса. Возможно присылаемые в Access-Accept параметры авторизации конфиликтуют с настройками BRAS. Типовой Access-Accept приведите, пожалуйста.
Nov 19 09:48:07 MSK: RADIUS: Received from id 1645/214 192.168.0.10:1812, Access-Accept, len 361 Nov 19 09:48:07 MSK: RADIUS: authenticator 2E 6B 92 1D BB 5F 42 61 - B5 BA CE 2C 61 FA 40 82 Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 30 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 24 "ip:addr-pool=gray_pool" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 52 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 46 "lcp:interface-config=ip unnumbered loopback1" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 42 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 36 "lcp:interface-config=ip nat inside" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 108 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 102 "lcp:interface-config=rate-limit input 524288 98304 196608 conform-action transmit exceed-action drop" Nov 19 09:48:07 MSK: RADIUS: Vendor, Cisco [26] 109 Nov 19 09:48:07 MSK: RADIUS: Cisco AVpair [1] 103 "lcp:interface-config=rate-limit output 524288 98304 196608 conform-action transmit exceed-action drop"
Меня вот сто смущает, периодически в дебаге попадается:
RADIUS: Response for non-existent request ident
Как у Вас дела с установлением второй сессии тем же логином (это зависит от биллинга и железок), есть такая возможность или нет?Разрешена только одна сессия с одним логином, средствами биллинга, если была в этом проблема, видели бы в логе биллинге превышение максимального числа сессий.
Причины разрыва сессии "client-request". Что касательно ложного pppoe концентратора, в этом случае проблема была бы на всех трех BRAS'ах.
-
И к чему эта эпическая сага? На форуме Dlink'а буквально разжевано все это. Уже больше полугода в сети работает больше сотни 3028, было сконфигурено один раз, после вдумчивого чтения форума(скажу по секрету, там даже думать особо не надо было, все разжевано как для младенцев).
-
Плохая мысль - маска /32. Ловил разнообразные глюки с такой маской.Loop0 естественно есть, просто не весь конфиг привел..interface Loopback0 ip vrf forwarding Inet ip address X.X.X.X 255.255.255.255 !
Адресов в пуле валом...
Ну можно попробовать поставить маску пошире, но таки мне кажется Loop0 тут не при чем, с радиусом общаемся с другого интерфейса.
-
Опубликовано · Изменено пользователем StSphinx · Жалоба на ответ
Loop0 естественно есть, просто не весь конфиг привел..
interface Loopback0 ip vrf forwarding Inet ip address X.X.X.X 255.255.255.255 !
Адресов в пуле валом...
Уже подумываю над танцами с бубном - сейчас весь трафик ходит через один физический интерфейс, есть мысль попробовать развести вх/исх по разным интерфейсам, хотя нагрузка там никакая и ошибок нет.
-
Доброго времени суток, коллеги!
Добавил в сеть новый BRAS - Cisco 7206VXR (NPE-G1) processor (revision B) with 983040K/65536K bytes of memory, IOS: Cisco IOS Software, 7200 Software (C7200-A3JK91S-M), Version 12.2(31)SB16.
Все вроде бы нормально, но периодически на нем возникают отказы авторизации. Клиенты подключаются по PPPoE, последняя миля разная - WiFi, ADSL, FastEthernet.
На стороне клиента затык происходит на этапе авторизации(691 ошибка в винде), в биллинге видим, что клиент авторизован и тут же отключен. Ошибок в логах циски нет, Radius отвечает стабильно, задержек нет(уже даже на всякий случай увеличил таймуат на ожидание ответа от радиуса), debug pppoe / aaa тоже ничего не дал. Вообщем выглядит все как подземный стук... Может посоветуете на что еще посмотреть. Конфиг вот(не полностью):
version 12.2 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime show-timezone service timestamps log datetime localtime show-timezone service password-encryption service compress-config hostname c7206-g1-edge ! boot-start-marker boot system flash disk2:/c7200-a3jk91s-mz.122-31.SB16.bin boot-end-marker ! logging count logging buffered 65535 debugging logging rate-limit all 10 except debugging logging console notifications ! aaa new-model aaa session-mib disconnect ! ! aaa group server radius masterRAD server-private 192.168.0.10 auth-port 1812 acct-port 1813 key 7 XXXXXXXXXXXXXXXXXXX ip radius source-interface GigabitEthernet0/1 deadtime 3 ! aaa authentication login default local aaa authentication ppp default group masterRAD aaa authorization console aaa authorization network default local group masterRAD aaa accounting delay-start all aaa accounting delay-start aaa accounting update periodic 3 aaa accounting network default start-stop group masterRAD ! aaa server radius dynamic-author server-key 7 XXXXXXXXXXXXXXXXXXXXX auth-type any ! aaa session-id common aaa traceback recording aaa max-sessions 4096 clock timezone MSK 3 clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero no ip source-route ip icmp rate-limit unreachable DF 1 ip address-pool dhcp-pool ! ! no ip domain lookup no ip dhcp use vrf connected ! ip dhcp pool gray_pool vrf Inet network 172.31.4.0 255.255.252.0 dns-server X.X.X.X Y.Y.Y.Y ! ip vrf Inet description ===Inet=== rd 65534:100 route-target export 65534:100 route-target import 65534:100 ! ip cef vpdn enable vpdn logging vpdn logging local ! no file verify auto memory-size iomem 128 ! bba-group pppoe global virtual-template 1 vendor-tag circuit-id service vendor-tag strip sessions max limit 1500 threshold 1400 ! ! interface Loopback1 description ==Unlimit-clients== ip vrf forwarding Inet ip address 172.31.5.254 255.255.255.255 ! interface GigabitEthernet0/1 description ===MGMT=== ip address 192.168.3.7 255.255.255.240 media-type rj45 speed auto duplex auto no negotiation auto ! interface GigabitEthernet0/1.101 description ===NAT-Srv-192.168.3.240/30=== encapsulation dot1Q 101 ip vrf forwarding Inet ip address 192.168.3.242 255.255.255.252 no ip proxy-arp no cdp enable ! ! таких GE0/1.X около сотни interface GigabitEthernet0/1.XXX encapsulation dot1Q XXX ip vrf forwarding Inet ip flow ingress pppoe enable group global no cdp enable ! interface Virtual-Template1 description ===Common-PPPoE-Template=== ip vrf forwarding Inet ip unnumbered Loopback0 ip access-group BlockNetBIOS in ip verify unicast source reachable-via rx no ip redirects no logging event link-status peer default ip address pool PPPoE no snmp trap link-status ppp authentication chap pap ppp ipcp dns X.X.X.X Y.Y.Y.Y ! radius-server attribute 32 include-in-access-req format %i radius-server attribute 32 include-in-accounting-req format %i radius-server attribute 31 send nas-port-detail mac-only radius-server attribute 87 circuit-id radius-server dead-criteria time 30 tries 2 radius-server retransmit 5 radius-server timeout 30 radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication
Проблема возникает только на этом BRAS'е. Рядом стоят два послабее(NPE-400 и NPE-225), с тем же IOS'ом, но там проблемы нет.
-
Динамически генерим конфиг при создании нового пользователя. База в мускуле, скрипт на пхп который формирует конфиг (сабнеты, пулы и основной конфиг). Схема влан на дом, option82+ip-mac-port
А какого размера сеть? Как часто регенерируется конфиг? Сколько dhcp серверов обслуживает сеть? Каков размер конфига и как долго сервер поднимается после рестарта?
-
Опубликовано · Изменено пользователем StSphinx · Жалоба на ответ
Доброго времени суток, коллеги!
Хочу поинтересоваться у сообщества, есть ли использующие топиковый механизм, если да, то каким образом(напрямую в БД, динамическое формирование конфига dhcp), что за софт, какое кол-во пользователей в сети,
сколько dhcp серверов обслуживают сеть. Вопрос не праздный. Модернизируем сеть. Планируется сделать vlan per switch, dhcp dnooping+ip source guard, на L3 - ip unnumbered + arp proxy. IP адреса хочется брать из БД биллинга. В данный момент теряюсь как быть с dhcp. Буду бесконечно благодарен за дельные советы.
-
http://software.uninett.no/stager/Стоит задача: анализировать загруженность сети, кто её грузит, на какие сети больше всего идёт трафика, строить графики на основании данных.Сделать это можно с помощтю NetFlow анализатора, на который будет приходить множество потоком со многих маршрутизаторов в сети.
Уже перебрал несколько анализаторо - есть подходящие, но стоят более 1000$.
Компания банально не купит этот софт. Обьяснить руководству, что он очень хорош - проблема.
Поэтому стоит вопрос о опенсурс продуктах.
Прошу помощи в выборе.
Вот это еще не смотрели?
-
Насколько я знаю, на 5350 телефонный трафик с IP на IP развернуть нельзя.
Можно, на 5350xm и иосе с TDMIP IP-IP GW фичасетом.
Увы, у нас просто 5350.
-
Невнимательно прочитал пост, думал что у ребят h.323 используется.Если используется SIP то там нет понятия master-slavе при выборе кодекаВот только схема прохождения звонков странная какая-то... Зачем выгоняете до самой АТС?
Особенности биллингования.
IP2IP: SIPPhone->SoftSwicth-5350-ATC-5350-SoftSwitch-SIPPhoneИ похоже что глючит что-то в этой цепочке:
ATC->5350->SoftSwitch->SIPPhone
и именно в этом направлении.
Сокращайте цепочку до
IP2IP: SIPPhone->SoftSwicth->SIPPhone
Сокращали, работает нормально.
затем расширяйте до:IP2IP: SIPPhone->SoftSwicth-5350-SoftSwitch-SIPPhone
И найдете в каком месте глюк.
Насколько я знаю, на 5350 телефонный трафик с IP на IP развернуть нельзя.
Кодеки то какие используются?? tcpdump смотрели? если юникса нет, так ведь по винду кучу сниферов с анализаторами найти можно.Кодек G.711a везде. Ендпоинты используют SIP, стык CCM->5350 - H323.
Сниффер полезен, когда знаешь что именно нужно найти. Тут же суть проблемы не ясна. Я ж говорю - начинающие.
-
Опубликовано · Изменено пользователем StSphinx · Жалоба на ответ
Прочитал утром и понял, что ночью бредил, поэтому вот:
Софтсвич судя по всему не при чем...
Все звонки (IP2IP, POTS2IP, IP2POTS) проходят через софтсвич, 5350 и АТС. Но грабли есть только при звонках POTS2IP и IP2IP. Звонок идет следующим путем:
IP2IP: SIPPhone->SoftSwicth-5350-ATC-5350-SoftSwitch-SIPPhone
IP2POTS: SIPPhone->SoftSwitch->5350->ATC->POTS
POTS2IP: POTS->ATC->5350->SoftSwitch-SIPPhone
Попробуем отключить согласование кодека, посмотрим что будет...
Shape on Virtual-Acccess
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
На сколько я понимаю то, что обрабатывается CEF'ом должно все таки классифицироваться как route cache , а не как processor?
Или я не верно понимаю?