Перейти к содержимому
Калькуляторы

StSphinx

Активный участник
 Просмотреть профиль  Активность

  • Публикации

    682

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем StSphinx

  1. Опубликовано · Жалоба на ответ

    Вырастает нагрузка по прерываниям (CEF), её нет в списке процессов.

    На сколько я понимаю то, что обрабатывается CEF'ом должно все таки классифицироваться как route cache , а не как processor?

    Или я не верно понимаю?

  2. Опубликовано · Жалоба на ответ

    Там не в процесс-свитчинге дело, а в самом шейпинге. Он процессор жрет сильнее, чем полисинг.

    В списке процессов HQF Shaper отъедает совсем чуть-чуть:

     

     134       99380 816139795          0  0.23%  0.30%  0.31%   0 HQF Shaper Backg

  3. Опубликовано · Изменено пользователем StSphinx · Жалоба на ответ

    Доброго времени суток!

    Перешли с использования полисинга на шейпинг, раздаем через Radius:

    Cisco-AVPair=ip:sub-qos-policy-out=имя_политики

    Политика описывается как:

     

    policy-map premium_2048k
  class class-default
    shape average 2150000

     

    Абоненты приходят по PPPoE. Шейпинг работает, но увеличилась нагрузка на CPU, процентов на 20. Оказалось, что львиная доля трафика уходит на process switching.

    c7206-g1-edge#sh int g0/1 stats
GigabitEthernet0/1
Switching path    Pkts In          Chars In       Pkts Out        Chars Out
Processor          1354064   143432595  533087901  2359825786
Route cache     564697116  723332600      38563       24248286
Total               566051180  866765195  533126464  2384074072

    Это нормально? И если нет, то как с этим бороться?

     

    Железка:

     

    Cisco 7206VXR (NPE-G1) processor (revision B) with 983040K/65536K bytes of memory.

     

    IOS:

     

    Cisco IOS Software, 7200 Software (C7200-A3JK91S-M), Version 12.2(31)SB16, RELEASE SOFTWARE (fc2)

  4. Опубликовано · Жалоба на ответ

    Я тоже грешил на Radius. Выставил побольше таймуат ожидания ответа. Фишка в том, что при возникновении проблемы Radius успешно авторизовал клиентов. Сейчас проблема не проявляется, но тревожит тот факт, что не ясно в чем именно она была.

  5. Опубликовано · Жалоба на ответ

    В 7400ASR была проблемка с тем, что на интерфейсе по умолчанию максимум 100 клиентов

    лечилось выставлением в bba-group pppoe global параметра sessions per-vlan limit ...

     

    Может тут похожая беда?

    Попробую, спасибо!

  6. Опубликовано · Жалоба на ответ

    gray_pool - это же dhcp pool. зачем на него ссылаться при pppoe авторизации?

     

    И настройка nat при авторизации присылается. А в конфиге никаких следов настроек nat.

     

    btw из-за того, что конфиг прислан неполный трудно траблшутить.

    ip nat inside - это атавизм, ната нет на этой железке

    gray_pool действительно dhcp pool, так исторически сложилось. dhcp на железке локальный.

    Сразу хочу сказать, адресов в пуле хватает.

  8. Опубликовано · Жалоба на ответ

    Описанная ситуация может возникть при неудачном клонировании Virtual-Access интерфейса. Возможно присылаемые в Access-Accept параметры авторизации конфиликтуют с настройками BRAS. Типовой Access-Accept приведите, пожалуйста.

    Nov 19 09:48:07 MSK: RADIUS: Received from id 1645/214 192.168.0.10:1812, Access-Accept, len 361
Nov 19 09:48:07 MSK: RADIUS:  authenticator 2E 6B 92 1D BB 5F 42 61 - B5 BA CE 2C 61 FA 40 82
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  30
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   24  "ip:addr-pool=gray_pool"
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  52
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   46  "lcp:interface-config=ip unnumbered loopback1"
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  42
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   36  "lcp:interface-config=ip nat inside"
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  108
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   102 "lcp:interface-config=rate-limit input 524288 98304 196608 conform-action transmit exceed-action drop"
Nov 19 09:48:07 MSK: RADIUS:  Vendor, Cisco       [26]  109
Nov 19 09:48:07 MSK: RADIUS:   Cisco AVpair       [1]   103 "lcp:interface-config=rate-limit output 524288 98304 196608 conform-action transmit exceed-action drop"

     

    Меня вот сто смущает, периодически в дебаге попадается:

     

    RADIUS: Response for non-existent request ident

     

     

    Как у Вас дела с установлением второй сессии тем же логином (это зависит от биллинга и железок), есть такая возможность или нет?

    Разрешена только одна сессия с одним логином, средствами биллинга, если была в этом проблема, видели бы в логе биллинге превышение максимального числа сессий.

    Причины разрыва сессии "client-request". Что касательно ложного pppoe концентратора, в этом случае проблема была бы на всех трех BRAS'ах.

     

     

     

  9. Опубликовано · Жалоба на ответ

    И к чему эта эпическая сага? На форуме Dlink'а буквально разжевано все это. Уже больше полугода в сети работает больше сотни 3028, было сконфигурено один раз, после вдумчивого чтения форума(скажу по секрету, там даже думать особо не надо было, все разжевано как для младенцев).

     

     

  10. Опубликовано · Жалоба на ответ

    Loop0 естественно есть, просто не весь конфиг привел..

    interface Loopback0
ip vrf forwarding Inet
ip address X.X.X.X 255.255.255.255
!

    Адресов в пуле валом...

    Плохая мысль - маска /32. Ловил разнообразные глюки с такой маской.

    Ну можно попробовать поставить маску пошире, но таки мне кажется Loop0 тут не при чем, с радиусом общаемся с другого интерфейса.

  11. Опубликовано · Изменено пользователем StSphinx · Жалоба на ответ

    Loop0 естественно есть, просто не весь конфиг привел..

     

    interface Loopback0
ip vrf forwarding Inet
ip address X.X.X.X 255.255.255.255
!

     

    Адресов в пуле валом...

     

    Уже подумываю над танцами с бубном - сейчас весь трафик ходит через один физический интерфейс, есть мысль попробовать развести вх/исх по разным интерфейсам, хотя нагрузка там никакая и ошибок нет.

  12. Опубликовано · Жалоба на ответ

    Доброго времени суток, коллеги!

    Добавил в сеть новый BRAS - Cisco 7206VXR (NPE-G1) processor (revision B) with 983040K/65536K bytes of memory, IOS: Cisco IOS Software, 7200 Software (C7200-A3JK91S-M), Version 12.2(31)SB16.

    Все вроде бы нормально, но периодически на нем возникают отказы авторизации. Клиенты подключаются по PPPoE, последняя миля разная - WiFi, ADSL, FastEthernet.

    На стороне клиента затык происходит на этапе авторизации(691 ошибка в винде), в биллинге видим, что клиент авторизован и тут же отключен. Ошибок в логах циски нет, Radius отвечает стабильно, задержек нет(уже даже на всякий случай увеличил таймуат на ожидание ответа от радиуса), debug pppoe / aaa тоже ничего не дал. Вообщем выглядит все как подземный стук... Может посоветуете на что еще посмотреть. Конфиг вот(не полностью):

    version 12.2
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
service password-encryption
service compress-config
hostname c7206-g1-edge
!
boot-start-marker
boot system flash disk2:/c7200-a3jk91s-mz.122-31.SB16.bin
boot-end-marker
!
logging count
logging buffered 65535 debugging
logging rate-limit all 10 except debugging
logging console notifications
!
aaa new-model
aaa session-mib disconnect
!
!
aaa group server radius masterRAD
server-private 192.168.0.10 auth-port 1812 acct-port 1813 key 7 XXXXXXXXXXXXXXXXXXX
ip radius source-interface GigabitEthernet0/1
deadtime 3
!
aaa authentication login default local
aaa authentication ppp default group masterRAD
aaa authorization console
aaa authorization network default local group masterRAD
aaa accounting delay-start all
aaa accounting delay-start
aaa accounting update periodic 3
aaa accounting network default start-stop group masterRAD
!
aaa server radius dynamic-author
server-key 7 XXXXXXXXXXXXXXXXXXXXX
auth-type any
!
aaa session-id common
aaa traceback recording
aaa max-sessions 4096
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
no ip source-route
ip icmp rate-limit unreachable DF 1
ip address-pool dhcp-pool
!
!
no ip domain lookup
no ip dhcp use vrf connected
!
ip dhcp pool gray_pool
   vrf Inet
   network 172.31.4.0 255.255.252.0
   dns-server X.X.X.X Y.Y.Y.Y
!
ip vrf Inet
description ===Inet===
rd 65534:100
route-target export 65534:100
route-target import 65534:100
!
ip cef
vpdn enable
vpdn logging
vpdn logging local
!
no file verify auto
memory-size iomem 128
!
bba-group pppoe global
virtual-template 1
vendor-tag circuit-id service
vendor-tag strip
sessions max limit 1500 threshold 1400
!
!
interface Loopback1
description ==Unlimit-clients==
ip vrf forwarding Inet
ip address 172.31.5.254 255.255.255.255
!
interface GigabitEthernet0/1
description ===MGMT===
ip address 192.168.3.7 255.255.255.240
media-type rj45
speed auto
duplex auto
no negotiation auto
!
interface GigabitEthernet0/1.101
description ===NAT-Srv-192.168.3.240/30===
encapsulation dot1Q 101
ip vrf forwarding Inet
ip address 192.168.3.242 255.255.255.252
no ip proxy-arp
no cdp enable
!
! таких GE0/1.X около сотни
interface GigabitEthernet0/1.XXX
encapsulation dot1Q XXX
ip vrf forwarding Inet
ip flow ingress
pppoe enable group global
no cdp enable
!
interface Virtual-Template1
description ===Common-PPPoE-Template===
ip vrf forwarding Inet
ip unnumbered Loopback0
ip access-group BlockNetBIOS in
ip verify unicast source reachable-via rx
no ip redirects
no logging event link-status
peer default ip address pool PPPoE
no snmp trap link-status
ppp authentication chap pap
ppp ipcp dns X.X.X.X Y.Y.Y.Y
!
radius-server attribute 32 include-in-access-req format %i
radius-server attribute 32 include-in-accounting-req format %i
radius-server attribute 31 send nas-port-detail mac-only
radius-server attribute 87 circuit-id
radius-server dead-criteria time 30 tries 2
radius-server retransmit 5
radius-server timeout 30
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

     

    Проблема возникает только на этом BRAS'е. Рядом стоят два послабее(NPE-400 и NPE-225), с тем же IOS'ом, но там проблемы нет.

     

  13. Опубликовано · Жалоба на ответ

    Динамически генерим конфиг при создании нового пользователя. База в мускуле, скрипт на пхп который формирует конфиг (сабнеты, пулы и основной конфиг). Схема влан на дом, option82+ip-mac-port

     

    А какого размера сеть? Как часто регенерируется конфиг? Сколько dhcp серверов обслуживает сеть? Каков размер конфига и как долго сервер поднимается после рестарта?

  14. Опубликовано · Изменено пользователем StSphinx · Жалоба на ответ

    Доброго времени суток, коллеги!

    Хочу поинтересоваться у сообщества, есть ли использующие топиковый механизм, если да, то каким образом(напрямую в БД, динамическое формирование конфига dhcp), что за софт, какое кол-во пользователей в сети,

    сколько dhcp серверов обслуживают сеть. Вопрос не праздный. Модернизируем сеть. Планируется сделать vlan per switch, dhcp dnooping+ip source guard, на L3 - ip unnumbered + arp proxy. IP адреса хочется брать из БД биллинга. В данный момент теряюсь как быть с dhcp. Буду бесконечно благодарен за дельные советы.

  15. Опубликовано · Жалоба на ответ

    Стоит задача: анализировать загруженность сети, кто её грузит, на какие сети больше всего идёт трафика, строить графики на основании данных.

    Сделать это можно с помощтю NetFlow анализатора, на который будет приходить множество потоком со многих маршрутизаторов в сети.

    Уже перебрал несколько анализаторо - есть подходящие, но стоят более 1000$.

    Компания банально не купит этот софт. Обьяснить руководству, что он очень хорош - проблема.

     

    Поэтому стоит вопрос о опенсурс продуктах.

     

    Прошу помощи в выборе.

    http://software.uninett.no/stager/

    Вот это еще не смотрели?

  17. Опубликовано · Жалоба на ответ

    Если используется SIP то там нет понятия master-slavе при выборе кодека
    Невнимательно прочитал пост, думал что у ребят h.323 используется.

     

    Вот только схема прохождения звонков странная какая-то... Зачем выгоняете до самой АТС?

    Особенности биллингования.

     

    IP2IP: SIPPhone->SoftSwicth-5350-ATC-5350-SoftSwitch-SIPPhone

     

    И похоже что глючит что-то в этой цепочке:

    ATC->5350->SoftSwitch->SIPPhone

    и именно в этом направлении.

     

    Сокращайте цепочку до

    IP2IP: SIPPhone->SoftSwicth->SIPPhone

    Сокращали, работает нормально.

     

    затем расширяйте до:

    IP2IP: SIPPhone->SoftSwicth-5350-SoftSwitch-SIPPhone

     

    И найдете в каком месте глюк.

    Насколько я знаю, на 5350 телефонный трафик с IP на IP развернуть нельзя.

     

    Кодеки то какие используются?? tcpdump смотрели? если юникса нет, так ведь по винду кучу сниферов с анализаторами найти можно.

    Кодек G.711a везде. Ендпоинты используют SIP, стык CCM->5350 - H323.

     

    Сниффер полезен, когда знаешь что именно нужно найти. Тут же суть проблемы не ясна. Я ж говорю - начинающие.

  18. Опубликовано · Изменено пользователем StSphinx · Жалоба на ответ

    Прочитал утром и понял, что ночью бредил, поэтому вот:

     

    Софтсвич судя по всему не при чем...

    Все звонки (IP2IP, POTS2IP, IP2POTS) проходят через софтсвич, 5350 и АТС. Но грабли есть только при звонках POTS2IP и IP2IP. Звонок идет следующим путем:

    IP2IP: SIPPhone->SoftSwicth-5350-ATC-5350-SoftSwitch-SIPPhone

    IP2POTS: SIPPhone->SoftSwitch->5350->ATC->POTS

    POTS2IP: POTS->ATC->5350->SoftSwitch-SIPPhone

    Попробуем отключить согласование кодека, посмотрим что будет...