carleone

Он отвечает за netflow?

Да все нравится. Просто опыта нету в таких вещах. Не знаю какой лучше/хуже. В коробке мне показалось условно-портовое решение поинтереснее, чем держать хитрый-сплитерный патчкорд между устройствами.

Добрый день, коллеги. Просвятите, пожалуйста, требуется подать копию оптического сигнала на съемник с коэффициентом 70/30. Посоветуйте, какой можно использовать для этого сплиттер? Гугль чаще всего выдает эту модельку: http://www.netoptics.com/products/network-taps/10-gigabit-lc-fiber-tap Где такую можно закупить?

Иван, спасибо, помогло.

Cпасибо за анализ! =) Попробую поменять и собрать. В личке.

Добрый день, коллеги. Поднял сабж. Два lagg (вход/выход), тюнинг, MPD5.5 собирает netflow. По vmstat -z вижу что увеличивается счетчик FAILURES на позиции NetFlow cache: # vmstat -z ITEM SIZE LIMIT USED FREE REQUESTS FAILURES UMA Kegs: 208, 0, 79, 6, 79, 0 UMA Zones: 960, 0, 79, 1, 79, 0 UMA Slabs: 568, 0, 4431, 357, 8119, 0 UMA RCntSlabs: 568, 0, 37339, 6, 37339, 0 UMA Hash: 256, 0, 0, 15, 3, 0 16 Bucket: 152, 0, 189, 11, 189, 0 32 Bucket: 280, 0, 423, 11, 427, 1 64 Bucket: 536, 0, 736, 6, 753, 37 128 Bucket: 1048, 0, 1493, 199, 941336, 536 VM OBJECT: 216, 0, 46314, 3582, 6041003, 0 MAP: 232, 0, 7, 25, 7, 0 KMAP ENTRY: 120, 277605, 259, 1477, 231731, 0 MAP ENTRY: 120, 0, 881, 9318, 13323324, 0 DP fakepg: 120, 0, 0, 0, 0, 0 SG fakepg: 120, 0, 0, 0, 0, 0 mt_zone: 2056, 0, 207, 52, 207, 0 16: 16, 0, 5954, 3958, 10948191, 0 32: 32, 0, 10866, 4587, 1284742692, 0 64: 64, 0, 6297, 5071, 6159039, 0 128: 128, 0, 22193, 9040, 2963360, 0 256: 256, 0, 58051, 8054, 2586309256, 0 512: 512, 0, 4312, 3395, 7714622, 0 1024: 1024, 0, 307, 1105, 247887, 0 2048: 2048, 0, 599, 1101, 2989, 0 4096: 4096, 0, 227, 1388, 402296, 0 Files: 80, 0, 109, 2366, 5055083, 0 TURNSTILE: 136, 0, 3277, 323, 3277, 0 umtx pi: 96, 0, 0, 0, 0, 0 MAC labels: 40, 0, 0, 0, 0, 0 PROC: 1136, 0, 45, 1230, 253630, 0 THREAD: 1120, 0, 1506, 1770, 144196, 0 SLEEPQUEUE: 80, 0, 3277, 522, 3277, 0 VMSPACE: 392, 0, 28, 1372, 289093, 0 cpuset: 72, 0, 57, 343, 196, 0 audit_record: 952, 0, 0, 0, 0, 0 mbuf_packet: 256, 0, 66946, 7422, 2668444338, 0 mbuf: 256, 0, 4, 4093, 3165129665, 0 mbuf_cluster: 2048, 400000, 74368, 6, 74368, 0 mbuf_jumbo_page: 4096, 12800, 0, 152, 166, 0 mbuf_jumbo_9k: 9216, 6400, 0, 0, 0, 0 mbuf_jumbo_16k: 16384, 3200, 0, 0, 0, 0 mbuf_ext_refcnt: 4, 0, 0, 0, 0, 0 NetGraph items: 72, 65540, 0, 2958, 2856406, 0 NetGraph data items: 72, 65540, 1, 2232, 2645441708, 0 ttyinq: 160, 0, 135, 465, 765, 0 ttyoutq: 256, 0, 72, 243, 408, 0 g_bio: 232, 0, 0, 8464, 405343, 0 ata_request: 320, 0, 0, 2868, 101346, 0 ata_composite: 336, 0, 0, 0, 0, 0 VNODE: 472, 0, 95798, 1482, 323900, 0 VNODEPOLL: 112, 0, 1, 65, 1, 0 S VFS Cache: 108, 0, 73923, 28443, 311061, 0 L VFS Cache: 328, 0, 22869, 219, 25611, 0 NAMEI: 1024, 0, 0, 668, 6429193, 0 DIRHASH: 1024, 0, 1930, 374, 2260, 0 pipe: 728, 0, 5, 965, 133616, 0 ksiginfo: 112, 0, 1265, 1738, 6148, 0 itimer: 344, 0, 0, 0, 0, 0 KNOTE: 128, 0, 0, 406, 1873, 0 socket: 680, 25602, 43, 833, 1911099, 0 ipq: 56, 12537, 0, 0, 0, 0 udp_inpcb: 336, 25608, 9, 816, 1780557, 0 udpcb: 16, 25704, 9, 3351, 1780557, 0 tcp_inpcb: 336, 25608, 8, 146, 25, 0 tcpcb: 944, 25600, 8, 88, 25, 0 tcptw: 72, 5150, 0, 200, 5, 0 syncache: 144, 15366, 0, 182, 11, 0 hostcache: 136, 15372, 0, 196, 9, 0 tcpreass: 40, 25032, 0, 0, 0, 0 sackhole: 32, 0, 0, 202, 1, 0 ripcb: 336, 25608, 1, 714, 53945, 0 unpcb: 240, 25600, 15, 625, 76555, 0 rtentry: 200, 0, 4106, 2316, 26342, 0 IPFW dynamic rule: 120, 0, 0, 0, 0, 0 selfd: 56, 0, 2049, 2865, 115271476, 0 SWAPMETA: 288, 116519, 0, 0, 0, 0 Mountpoints: 752, 0, 5, 20, 5, 0 FFS inode: 168, 0, 95764, 1608, 323823, 0 FFS1 dinode: 128, 0, 0, 0, 0, 0 FFS2 dinode: 256, 0, 95764, 1601, 323823, 0 NetFlow cache: 80, 262160, 191175, 70985, 29063801, 939849 В колонке LIMITS находится значение 262160, при большой нагрузке (800 сессий) его не хватает и растет FAILURES. Подскажите, где можно увеличить netflow кэш? Исходники проясняют ситуацию смутно, так как не силен в Си и в архитектуре BSD.

sh ibc brief? Покажет нагрузку на RP. Если быстро поснифать не разбирая пакеты Копипастом ввести команды: debug netdr capture undebug netdr capture Cмотреть: show netdr captured-packets

А презентации будут?

Скажите, а почему видео докладчиков не пишите? =) p.s: Nanog же пишет.

Действительно, а есть ли success story PPPoE + netflow? А то IPoE, IPoE...

Коллеги, поделитесь пожалуйста c7600rsp72043-advipservicesk9-mz.122-33.SRE3.bin?

Влад, а DHCP на Питоне не покажете? Как и что отдаете радиусу?

Добрый день. Вообщем, расписал control-plane, увидел что больше всего бегает TCP | UDP any any. Подцепился monitor session к rp-inband (СPU) и увидел что в принципе бегает нормальный, легальный пользовательский трафик. Я конечно, может что-то недопонимаю, но его там быть не должно. Я разобрал пакеты и выделил DST IP (в моем случае там оказались сети Comcast и Level3) и прописал статикой на аплинка - трафик перестал форвардится через CPU. sh ip cef x.x.x.x показывает правильный nexthop. Что это может быть? Не хочется статикой прописывать /10 или /15.

Разобрали транк, который смотрел на аплинка - загрузка упала с 20% до 9%. Передернули OSPF - загрузка упала в 1% и стал бегать ESP.

тут пишут http://www.gossamer-threads.com/lists/cisco/nsp/143296 про похожие проблемы с IPSEC и нагрузкой на железку. Посмотрел у себя ( ИОС c7600rsp72043-advipservices-mz.122-33.SRD2a.bin), по sh ibc про IPSEC ничего нет. И загрузка в норме. Поделитесь, пожалуйста?

Будем рисовать. Пока конфигурацию не трогаем, и будем менять IOS на SRE2. Коллеги, тут появилась другая проблема: есть подозрение что перестали ходить транзитом ESP (IPSEC) пакеты, пожаловались уже двое абонентов. ACL нету. Они по дефолту не режутся, на этой платформе? show ibc показывает такую картину: Interface information: Interface IBC0/0(idb 0x14A92CE4) 5 minute rx rate 306450000 bits/sec, 52208 packets/sec 5 minute tx rate 625081000 bits/sec, 103637 packets/sec 19276131754 packets input, 14778309259733 bytes 19269085049 broadcasts received 19085819117 packets output, 14743390554795 bytes 57848004 broadcasts sent 0 Bridge Packet loopback drops 19262039656 Packets CEF Switched, 0 Packets Fast Switched 0 Packets SLB Switched, 0 Packets CWAN Switched Label switched pkts dropped: 0 Pkts dropped during dma: 9706 Invalid pkts dropped: 0 Pkts dropped(not cwan consumed): 0 [b]IPSEC pkts dropped: 1168172[/b] Xconnect pkts processed: 0, dropped: 0 Xconnect pkt reflection drops: 0 Total paks copied for process level 0 Total short paks sent in route cache 1780172829 Total throttle drops 132 Input queue drops 5 total spd packets classified (5124763 low, 1416017 medium, 6103030 high) total spd packets dropped (9701 low, 0 medium, 5 high) spd prio pkts allowed in due to selective throttling (0 med, 0 high) IBC resets = 1; last at 21:34:26.671 YEKT Wed Mar 30 2011 IPSEC pkts dropped: 1168172 связано ли это с данной проблемой? Зависит ли это от ИОСа (транзит ESP)? У меня простой ipservices. Кстати, поделитесь пожалуйста, SRE3?

ROM: System Bootstrap, Version 12.2(33r)SRD5, RELEASE SOFTWARE (fc1) BOOTLDR: Cisco IOS Software, c7600rsp72043_rp Software (c7600rsp72043_rp-IPSERVICESK9-M), Version 12.2(33)SRD5, RELEASE SOFTWARE (fc2) CPU utilization for five seconds: 29%/28%; one minute: 34%; five minutes: 31% Ничего не понимаю.

а можно вывод sh platform hardware capacity forward посмотреть ? Конечно border-rsp#sh platform hardware capacity forward L2 Forwarding Resources MAC Table usage: Module Collisions Total Used %Used 5 0 98304 54 1% VPN CAM usage: Total Used %Used 512 0 0% L3 Forwarding Resources FIB TCAM usage: Total Used %Used 72 bits (IPv4, MPLS, EoM) 524288 353672 67% 144 bits (IP mcast, IPv6) 262144 3 1% detail: Protocol Used %Used IPv4 353672 67% MPLS 0 0% EoM 0 0% IPv6 0 0% IPv4 mcast 3 1% IPv6 mcast 0 0% Adjacency usage: Total Used %Used 1048576 232 1% Forwarding engine load: Module pps peak-pps peak-time 5 534437 645281 21:22:36 YEKT Wed Mar 30 2011

es+ нужна будет. Я понял, плохая идея.

Ох, control-plane я попробую конечно. Правда, не думаю что трафик может убить это железо. На Тазике BSD бегало без проблем. Попробую начать с смены IOS, далее по результатам. Сейчас поднялось в 62%, 1.4GB/s. Кстати, это поведение может сказыватся что RSP работает аппаратно не корректно? И простите за глупый вопрос, если Port-channel1,2 подниму без switch port, а навешаю sub-interface на ченелы, будет ли разница какая? Потому что в будушем транк распадется на один 10G порт, и хотелось бы просто повесить на него IP адрес без всяких switchport'ов и поднятия VLAN как L3.

border-rsp#sh platform hardware capacity cpu CPU Resources CPU utilization: Module 5 seconds 1 minute 5 minutes 5 RP 64% / 57% 58% 58% Результат ожидаемый - куча трафика идёт через Route Processor. Никаких хитрых PBR не используете? interface Port-channel1 description trunk to core switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 92,230,901,907 switchport mode trunk switchport nonegotiate ! interface Port-channel2 description trunk to uplink switchport switchport access vlan 150 switchport mode access interface GigabitEthernet3/13 description trunk one to uplink switchport switchport access vlan 150 switchport mode access channel-group 2 mode passive ! interface GigabitEthernet3/14 description trunk two to uplink switchport switchport access vlan 150 switchport mode access channel-group 2 mode passive interface GigabitEthernet3/21 description trunk one to core switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 92,230,901,907 switchport mode trunk switchport nonegotiate no keepalive no cdp enable channel-group 1 mode active ! interface GigabitEthernet3/22 description trunk two to core switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 92,230,901,907 switchport mode trunk switchport nonegotiate no keepalive no cdp enable channel-group 1 mode active ! interface GigabitEthernet3/23 description trunk three to core switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 92,230,901,907 switchport mode trunk switchport nonegotiate no keepalive no cdp enable channel-group 1 mode active ! interface GigabitEthernet3/24 description trunk four to core switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 92,230,901,907 switchport mode trunk switchport nonegotiate no keepalive no cdp enable channel-group 1 mode active interface Vlan92 ip address xx.xxx.xxx.xx 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ! interface Vlan150 ip address xxx.xxx.xx.xxx 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ! interface Vlan230 ip address xxx.xx.xxx.xx 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ! interface Vlan901 ip address xx.xxx.xx.xxx 255.255.255.224 no ip redirects no ip unreachables no ip proxy-arp ip ospf priority 150 ACL не используем. Роутмапы юзаем чтобы расскрасить local-pref, к примеру: access-list 10 permit any route-map YANDEX-IN permit 10 match ip address 10 set local-preference 117

border-rsp#sh platform hardware capacity cpu CPU Resources CPU utilization: Module 5 seconds 1 minute 5 minutes 3 0% / 0% 0% 0% 4 0% / 0% 0% 0% 5 RP 64% / 57% 58% 58% 5 SP 4% / 0% 4% 5% Processor memory: Module Bytes: Total Used %Used 3 205963168 42255720 21% 4 205963168 42690004 21% 5 RP 1770249016 386159364 22% 5 SP 690462624 271949728 39% I/O memory: Module Bytes: Total Used %Used 5 RP 134217728 41549596 31% 5 SP 67108864 34324200 51% border-rsp#

Cisco IOS Software, c7600rsp72043_rp Software (c7600rsp72043_rp-ADVIPSERVICES-M), Version 12.2(33)SRB7, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2009 by Cisco Systems, Inc. Compiled Thu 03-Sep-09 15:58 by prod_rel_team ROM: System Bootstrap, Version 12.2(33r)SRD5, RELEASE SOFTWARE (fc1) border-rsp uptime is 1 day, 3 hours, 55 minutes Uptime for this control processor is 1 day, 3 hours, 55 minutes Time since border-rsp switched to active is 1 day, 3 hours, 54 minutes System returned to ROM by reload (SP by reload) System restarted at 12:33:15 YEKT Tue Mar 29 2011 System image file is "bootdisk:c7600rsp72043-advipservices-mz.122-33.SRB7.bin" Last reload type: Normal Reload cisco CISCO7606-S (M8500) processor (revision 1.1) with 1835008K/131072K bytes of memory. Processor board ID FOX1449GLGU CPU: MPC8548_E, Version: 2.0, (0x80390020) CORE: E500, Version: 2.0, (0x80210020) CPU:1200MHz, CCB:400MHz, DDR:200MHz, L1: D-cache 32 kB enabled I-cache 32 kB enabled Last reset from power-on 5 Virtual Ethernet interfaces 26 Gigabit Ethernet interfaces 4 Ten Gigabit Ethernet interfaces 3964K bytes of non-volatile configuration memory. 507024K bytes of Internal ATA PCMCIA card (Sector size 512 bytes). Configuration register is 0x2102 Документ видел. По процессам ничего криминального не вижу...

Подскажите куда можно заглянуть? Что бы уточнить что ее грузит.

Добрый день. С BSD роутера переехали на сабж. Подняли четыре транка SFP в ядро (lacp) и два транка в сторону аплинка (lacp), bgp (1FW + 1000 префикса), ospf отдача дефолта на насы. ACL не навешаны. При трафике в 930mb/s я наблюдаю загрузку сpu на 50%. Нормально ли это? Я так понимаю это цифра будет расти. Так как обычно нагрузка 1,8G. border-rsp#sh processes cpu sort CPU utilization for five seconds: 50%/49%; one minute: 51%; five minutes: 51% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 181 228 382 596 0.39% 0.03% 0.00% 1 Virtual Exec 291 73856 47608 1551 0.23% 0.06% 0.06% 0 HIDDEN VLAN Proc 64 7068 301032 23 0.07% 0.00% 0.00% 0 OSPF-1 Hello 220 214088 255946 836 0.07% 0.25% 0.25% 0 BGP Router 4 0 129 0 0.00% 0.00% 0.00% 0 Retransmission o 5 0 4 0 0.00% 0.00% 0.00% 0 IPC ISSU Dispatc 6 0 1 0 0.00% 0.00% 0.00% 0 PF Redun ICC Req 3 0 7 0 0.00% 0.00% 0.00% 0 OBFL Cfg Dispatc 9 0 2 0 0.00% 0.00% 0.00% 0 Timers border-rsp#show module Mod Ports Card Type Model --- ----- -------------------------------------- ------------------ 3 24 CEF720 24 port 1000mb SFP WS-X6724-SFP 4 4 CEF720 4 port 10-Gigabit Ethernet WS-X6704-10GE 5 2 Route Switch Processor 720 (Active) RSP720-3CXL-GE border-rsp#show fabric utilization slot channel speed Ingress % Egress % 3 0 20G 4 4 4 0 20G 0 0 4 1 20G 0 0 5 0 20G 4 3 Транк в ядро: border-rsp#sh int Port-channel1 Port-channel1 is up, line protocol is up (connected) Hardware is EtherChannel, address is 0017.e0b9.3d9e (bia 0017.e0b9.3d9e) Description: trunk to core MTU 1500 bytes, BW 4000000 Kbit, DLY 10 usec, reliability 255/255, txload 65/255, rxload 53/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 1000Mb/s input flow-control is off, output flow-control is off Members in this channel: Gi3/21 Gi3/22 Gi3/23 Gi3/24 ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 833966000 bits/sec, 157081 packets/sec 5 minute output rate 1032860000 bits/sec, 161730 packets/sec Это нормальные цифры для такой платформы?