Voronok

Коллеги здравствуйте. Вопрос по производительности. Выше в теме писали, извините, уже не помню где кто. Это имеется ввиду исходящий трафик для extfilter или общий транзитный для nfqfilter?

В смысле, только домен блокируется? Чисто с помощью SNI?

Заглушка это не так критично. А как блокируются, например, конкретные странички в vk, ютубе по https? В смысле блокируются отдельные страницы или только домен целиком?

Поправил сообщение выше.

Хотя, вряд ли из-за этого, ведь загрузка фабрики на этом шасси и днём гораздо выше. На BGP в часы пик на всех интерфейсах пробегает в сумме чуть больше 1Mpps. В принципе, здесь с петлянием по модулям, плюс вышел/зашёл может и набраться под 15Mpps. Надо будет подсчитать. Не подскажете, как снять статистику pps с эзерчанелов, которые идут на FWSM и ACE? Хотя, можно прикинуть по интерфейсам на картах. Я ведь знаю на какие модули что идёт. Прикидываю. Pps на интерфейсе, через который идёт трафик на FWSM, нужно умножать на 4: трафик входящий в порт + трафик входящий на FWSM + трафик уходящий с FWSM + трафик входящий на ACE. Нужно ли учитывать трафик, уходящий с порта в фабрику? Если да, то нужно умножать на 5. Так можно прикинуть pps для входящего трафика. Исходящий из ACE уходит по эзерчанелам. В каждом эзерчанеле трафик с двух ACE с одинаковой подсеткой. Значит нужно pps в уходящем эзерчанеле умножать на 2: трафик уходящий с портов + трафик уходящий с ACE. Опять же, нужно ли учитывать трафик, приходящий с фабрики в карту с эзерчанелами? Если да, то нужно умножать на 3. Правильно я прикинул?

Трафик с SCE заходит во 2 и 9 карты. Оттуда в FWSM, далее в ACE и со 2 карты бондингами (эзерчанелами) уходит на BGP. Часть трафика (~100 Мбит/с) растегируется и уходит с 9 карты на другое шасси, у него там FWSM, потом возвращается на 9 карту и уходит на BGP вместе с остальным трафиком. Ещё часть трафика (~900 Мбит/с) растегируется и уходит со 2 карты на другое шасси, у него там FWSM, потом возвращается на 2 карту и уходит на BGP вместе с остальным трафиком. Вчера убрал больше половины трафика с 9 карты, скорость выросла и трафик с двух каналов SCE упёрся в полку 1 Гбит/с. Может там из-за этого образовываться куча мусора, который грузит фабрику? Сейчас распределяю трафик равномерно по SCE, закончу, посмотрю на результат.

Ну вроде как чем больше трафика идёт, тем больше там пакетов. При превышении максимального pps начинается такая дикая загрузка интерфейсов фабрик?

Старая карта это WS-X6516A-GBIC? От ACE и FWSM я как избавлюсь? В другом шасси с этими картами такой загрузки шины нет. Трафика там раза в 2 меньше (на шасси), а загрузка шины меньше в 7 раз (42% против 6%).

Для первого модуля: #show interfaces port-channel 305 counters etherchannel Port InOctets InUcastPkts InMcastPkts InBcastPkts Po305 2052693338935933 2422866430553 15549 202185 Gi1/1 6562706511153 9464634436 35 1 Gi1/2 2919218649923 4390612579 35 1 Gi1/3 13543916976721 13432008584 35 4043 Gi1/4 6121782492100 8910096075 81 1 Gi1/5 3323798677489 4596871857 81 1 Gi1/6 12707443750301 12860067646 81 1 Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Po305 2053174485094084 2428454799177 58302629 228474949 Gi1/1 11442039746852 13717814991 1415820 4016853 Gi1/2 5098793062771 6295239389 9230 1 Gi1/3 6436480153946 7323811887 66 1 Gi1/4 11121081753395 13264534607 1 119945 Gi1/5 6075645041249 6928202343 2897 1 Gi1/6 5015083785595 6249519751 0 1 Для шестого: #show interfaces port-channel 310 counters etherchannel Port InOctets InUcastPkts InMcastPkts InBcastPkts Po310 1450783684971619 1692544741601 2397 638613 Gi6/1 221978479712889 298976423165 357 1 Gi6/2 135076175879956 174900607715 357 1 Gi6/3 423192663582885 427704531802 357 638609 Gi6/4 173338057456309 262072139978 442 1 Gi6/5 92503679448995 126751214675 442 1 Gi6/6 404699063160954 402144466671 442 1 Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Po310 1451094187214028 1696567513303 58684620 228906276 Gi6/1 371366062654573 432410515506 45087961 224468672 Gi6/2 227160845628372 255484340021 6947851 1 Gi6/3 173132715049260 210459486777 617 1 Gi6/4 324066716180648 395880323237 1943 4437098 Gi6/5 174232985673607 196797586039 6646180 1 Gi6/6 181138175901417 205538960735 65 1 Я пробовал ставить сессии monitor session servicemodule module 1 monitor session servicemodule module 6 результата не дало.

Перерыл весь конфиг. Различия в конфигах между нормальным шасси и проблемным минимальны. Попробовал убрать/изменить различающиеся настройки - результата не дало. Выложу конфиг, может кто увидит более опытным глазом. NAT1#sh run Building configuration... Current configuration : 14637 bytes ! ! Last configuration change at 13:50:10 MSK Wed Dec 21 2016 by bvn ! NVRAM config last updated at 14:27:50 MSK Wed Dec 21 2016 by bvn ! upgrade fpd auto version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption service counters max age 5 ! hostname NAT1 ! boot-start-marker boot system flash bootflash:s72033-adventerprisek9-mz.122-33.SXH8.bin boot bootldr bootflash:s72033-boot-mz.122-33.SXI5.bin boot-end-marker ! security passwords min-length 1 no logging console enable secret 5 $1$u9Mz$vYIbUCPlouhYHUczn0zK0/ ! username bvn privilege 15 secret 5 xxx aaa new-model ! aaa session-id common clock timezone MSK 3 svclc module 3 vlan-group 1,6,8,9, svclc module 4 vlan-group 1,4,8, svclc module 7 vlan-group 1,2,3,10, svclc module 8 vlan-group 1,5,7,21, svclc vlan-group 1 2 svclc vlan-group 2 11 svclc vlan-group 3 12 svclc vlan-group 4 14 svclc vlan-group 5 300 svclc vlan-group 6 25 svclc vlan-group 7 18 svclc vlan-group 8 13 svclc vlan-group 9 26 svclc vlan-group 10 120 svclc vlan-group 21 127 firewall module 1 vlan-group 1,6,9,24,25, firewall module 6 vlan-group 1,21,22, firewall vlan-group 22 110 firewall vlan-group 23 105 firewall vlan-group 24 16 firewall vlan-group 25 15 call-home alert-group configuration alert-group diagnostic alert-group environment alert-group inventory alert-group syslog ip subnet-zero ! ! ! ip ftp username bvn ip ftp password 7 xxx ip ssh version 1 ip domain-name sce1.nat.ttt ip name-server 10.x.x.x vtp domain pci vtp mode off mls netflow interface no mls flow ip no mls flow ipv6 mls cef error action reset ! ! ! ! ! ! ! ! ! archive log config logging enable hidekeys path ftp://10.x.x.x/PATCH/10.x.x.x/[$h][$t] write-memory time-period 10080 ! redundancy keepalive-enable mode sso main-cpu auto-sync running-config ! spanning-tree mode pvst no spanning-tree etherchannel guard misconfig spanning-tree extend system-id no spanning-tree vlan 7-150 diagnostic bootup level minimal diagnostic cns publish cisco.cns.device.diag_results diagnostic cns subscribe cisco.cns.device.diag_commands fabric timer 15 port-channel load-balance dst-ip ! vlan internal allocation policy ascending vlan access-log ratelimit 2000 ! vlan 2 name manager ! vlan 11 name 160.0_ACE3 ! vlan 12 name INPUT_L3-Home ! vlan 13 name 162.0_ACE1 ! vlan 14 name LAN_RFW-162_home4 ! vlan 15 name LAN_RFW-162_home5 ! vlan 16 name LAN_RFW-162_home6 ! vlan 17 name IN_ACE4 ! vlan 18 name 161.0_ACE1 ! vlan 20 name 163.0 ! vlan 25 name FWSM-ACE_home5 ! vlan 26 name WAN_RFW_162 ! vlan 27 name SM-MM ! vlan 50 name RFW_home1_input ! vlan 105 name INPUT_HOME3 ! vlan 109 name WAN_RFW_Home4 ! vlan 110 name INPUT_HOME1 ! vlan 120 name INPUT_L3-Home1 ! vlan 127 name LAN_home1 ! vlan 300 name LAN_home3 ! vlan 2005 name ivanovka_NAT_OUT ! ! ! ! ! interface Port-channel11 description 160.0/24 switchport switchport access vlan 11 switchport mode access ! interface Port-channel13 description 162.0/24 switchport switchport access vlan 13 switchport mode access ! interface Port-channel18 description 161.0/24 switchport switchport access vlan 18 switchport mode access ! interface GigabitEthernet2/1 switchport switchport access vlan 11 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/2 switchport switchport access vlan 11 switchport mode access speed 100 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/3 description BGP160_2.3p2 switchport switchport access vlan 11 switchport mode access no cdp enable channel-group 11 mode active ! interface GigabitEthernet2/4 description BGP160_2.3p1 switchport switchport access vlan 11 switchport mode access no cdp enable channel-group 11 mode active ! interface GigabitEthernet2/5 switchport switchport access vlan 11 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/6 switchport switchport access vlan 11 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/7 description HOME3_FWSM3_old1 switchport switchport access vlan 105 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/8 no ip address shutdown no cdp enable ! interface GigabitEthernet2/9 description wan_RFW_home4 switchport switchport access vlan 14 switchport mode access flowcontrol send off no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/10 no ip address shutdown no cdp enable ! interface GigabitEthernet2/11 description SCE1_GBE2_net_OUT switchport switchport access vlan 105 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/12 no ip address shutdown no cdp enable ! interface GigabitEthernet2/13 switchport switchport access vlan 11 switchport mode access no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/14 description HOME3_FWSM3 switchport switchport access vlan 105 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/15 description HOME3_Mikrotik switchport switchport access vlan 18 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/16 description sce_GBE2_net_OUT switchport switchport access vlan 109 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/17 description 161.0_group switchport switchport access vlan 18 switchport mode access no keepalive speed 1000 duplex full no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/18 description SCE1_GBE1_net_OUT switchport switchport access vlan 110 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/19 description 163.203_SM switchport switchport access vlan 20 switchport mode access no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/20 description description 163.204_CM switchport switchport access vlan 20 switchport mode access no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/21 description 161.0_HP_BLADE switchport switchport access vlan 18 switchport mode access no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/22 description sce_GBE1_net_out switchport switchport access vlan 15 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/23 no ip address shutdown no cdp enable ! interface GigabitEthernet2/24 switchport switchport access vlan 2 switchport mode access ip access-group Manager in no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/25 no ip address shutdown no cdp enable ! interface GigabitEthernet2/26 switchport switchport access vlan 13 switchport mode access speed 1000 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 13 mode active ! interface GigabitEthernet2/27 description 163.0 switchport switchport access vlan 20 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/28 no ip address shutdown no cdp enable ! interface GigabitEthernet2/29 no ip address shutdown no cdp enable ! interface GigabitEthernet2/30 description BGP162_2.3p6 switchport switchport access vlan 13 switchport mode access speed 1000 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 13 mode active ! interface GigabitEthernet2/31 description 91.205.161.0_group switchport switchport access vlan 18 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/32 no ip address shutdown no cdp enable ! interface GigabitEthernet2/33 no ip address shutdown no cdp enable ! interface GigabitEthernet2/34 description BGP162_2.3p5 switchport switchport access vlan 13 switchport mode access speed 1000 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 13 mode active ! interface GigabitEthernet2/35 no ip address shutdown no cdp enable ! interface GigabitEthernet2/36 no ip address shutdown no cdp enable ! interface GigabitEthernet2/37 description WAN_RFW_home3 switchport switchport access vlan 17 switchport mode access speed 1000 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/38 description BGP161_2.3p4 switchport switchport access vlan 18 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 18 mode active ! interface GigabitEthernet2/39 description HOME3_FWSM3 switchport switchport access vlan 300 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/40 no ip address shutdown no cdp enable ! interface GigabitEthernet2/41 switchport switchport access vlan 50 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/42 description BGP161_2.3p3 switchport switchport access vlan 18 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 18 mode active ! interface GigabitEthernet2/43 description HOME3_ACE_MKT switchport switchport access vlan 105 switchport mode access shutdown no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/44 no ip address shutdown no cdp enable ! interface GigabitEthernet2/45 no ip address shutdown no cdp enable ! interface GigabitEthernet2/46 description BGP160_2.3p2 switchport switchport access vlan 11 switchport mode access shutdown no cdp enable channel-group 11 mode active ! interface GigabitEthernet2/47 no ip address shutdown no cdp enable ! interface GigabitEthernet2/48 description BGP160_2.3p1 switchport switchport access vlan 11 switchport mode access shutdown no cdp enable channel-group 11 mode active ! interface GigabitEthernet5/1 no ip address shutdown ! interface GigabitEthernet5/2 description man switchport switchport access vlan 2 switchport mode access ip access-group Manager in media-type rj45 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/1 no ip address shutdown no cdp enable ! interface GigabitEthernet9/2 no ip address no cdp enable ! interface GigabitEthernet9/3 no ip address shutdown no cdp enable ! interface GigabitEthernet9/4 no ip address no cdp enable ! interface GigabitEthernet9/5 no ip address no cdp enable ! interface GigabitEthernet9/6 description INPUT_L3_Home1 switchport switchport access vlan 120 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/7 no ip address no cdp enable ! interface GigabitEthernet9/8 description INPUT_L3_Home switchport switchport access vlan 12 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/9 no ip address no cdp enable ! interface GigabitEthernet9/10 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 16,2005 switchport mode trunk switchport nonegotiate spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/11 no ip address shutdown ! interface GigabitEthernet9/12 no ip address ! interface GigabitEthernet9/13 description ivanovka_to_ACE_FWSM_out switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 2005 switchport mode trunk switchport nonegotiate no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/14 description NAT_IN switchport switchport access vlan 27 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/15 description ivanovka_to_BGP_in switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 11 switchport mode trunk switchport nonegotiate no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/16 description SCE1_GBE2_net_OUT switchport switchport access vlan 105 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface Vlan1 no ip address shutdown ! interface Vlan2 description manager ip address 10.x.x.x 255.255.255.0 ip access-group Manager in ip access-group Manager out no ip redirects no ip proxy-arp ! no ip classless ! ! no ip http server no ip http secure-server ! ip access-list standard Manager permit 10.x.x.0 0.0.0.255 ip access-list standard VTY permit 10.x.x.x permit 10.x.x.x permit 10.x.x.x permit 10.x.x.x permit 10.x.x.x ! logging 10.x.x.x no cdp run ! snmp-server community xxx RO snmp-server community xxx RW ! radius-server source-ports 1645-1646 ! control-plane ! ! dial-peer cor custom ! ! ! ! line con 0 access-class VTY in password 7 xxx line vty 0 4 access-class VTY in exec-timeout 30 0 password 7 xxx logging synchronous transport input ssh line vty 5 1510 access-class VTY in exec-timeout 30 0 password 7 xxx logging synchronous transport input ssh ! ! no monitor session servicemodule module 1 ntp clock-period 17180145 ntp update-calendar ntp server 10.x.x.x source Vlan2 ! end

Нет, на циске трафик не зеркалим. Изначально настраивал не я, сейчас пробежался по конфигу, единственное, что имеет отношение к SPAN, это строчка no monitor session servicemodule module 1 но она, наоборот выключает. Задача у этой циски простая - на неё приходит абонентский трафик через SCE, на циске прогоняется через FWSM+ACE и по etherchannel'у уходит на BGP.

Добрый день. Столкнулся с ограничением скорости на циске, стал разбираться и увидел такую картину. #sh modu Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 6 Firewall Module WS-SVC-FWM-1 SAD091705MC 2 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL12448BKN 3 1 Application Control Engine Module ACE20-MOD-K9 SAD140102Y6 4 1 Application Control Engine Module ACE20-MOD-K9 SAD13210234 5 2 Supervisor Engine 720 (Active) WS-SUP720-3B SAL09475VFE 6 6 Firewall Module WS-SVC-FWM-1 SAD0750007Y 7 1 Application Control Engine Module ACE20-MOD-K9 SAL14470BEU 8 1 Application Control Engine Module ACE20-MOD-K9 SAD1121005U 9 16 SFM-capable 16 port 1000mb GBIC WS-X6516A-GBIC SAL0802SD0H #sh plat hard cap fab Switch Fabric Resources Bus utilization: current: 3%, peak was 10% at 16:02:12 MSK Fri Mar 4 2016 Fabric utilization: Ingress Egress Module Chanl Speed rate peak rate peak 1 0 8G 11% 27% @20:19 20Dec16 40% 99% @20:45 15Dec16 2 0 20G 9% 32% @20:45 15Dec16 8% 15% @21:54 20Dec16 2 1 20G 5% 18% @20:08 20Dec16 13% 39% @22:00 20Dec16 3 0 20G 4% 10% @20:20 20Dec16 13% 31% @20:45 15Dec16 4 0 20G 2% 8% @23:10 30Jun16 13% 32% @19:45 01Dec16 5 0 20G 2% 9% @18:31 30Oct16 14% 34% @19:45 01Dec16 6 0 8G 5% 23% @18:13 01Dec16 37% 87% @21:54 20Dec16 7 0 20G 4% 10% @19:11 18Dec16 13% 32% @20:45 15Dec16 8 0 20G 5% 15% @12:14 16May16 13% 33% @20:45 15Dec16 9 0 8G 2% 19% @18:25 07Sep16 42% 100% @22:00 20Dec16 Switching mode: Module Switching mode 1 crossbar 2 acef 3 crossbar 4 crossbar 5 dcef 6 crossbar 7 crossbar 8 crossbar 9 crossbar #sh proc cpu sort CPU utilization for five seconds: 0%/0%; one minute: 4%; five minutes: 4% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 135 3229242534413685 0 0.23% 0.24% 0.23% 0 Earl NDE Task 220 8897560 40377875 220 0.15% 0.05% 0.05% 0 CEF: IPv4 proces 397 168916392 831355175 203 0.15% 1.18% 0.99% 0 SNMP ENGINE 355 29368 143033659 0 0.07% 0.00% 0.00% 0 PM Callback 113 18620 8000623 2 0.07% 0.01% 0.00% 0 HC Counter Timer 393 816350921332920585 61 0.07% 0.58% 0.46% 0 IP SNMP 9 27556352 165141424 166 0.07% 0.07% 0.07% 0 ARP Input 7 188 5704 32 0.00% 0.00% 0.00% 0 Pool Manager 6 73027200 5071303 14400 0.00% 0.26% 0.24% 0 Check heaps 5 0 1 0 0.00% 0.00% 0.00% 0 PF Redun ICC Req 8 0 2 0 0.00% 0.00% 0.00% 0 Timers #rem comm sw sh proc cpu sort CPU utilization for five seconds: 12%/0%; one minute: 14%; five minutes: 14% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 89 21901294763377815896 0 9.43% 9.47% 9.46% 0 slcp process 141 458935068 11508407 39878 1.67% 1.62% 1.71% 0 Vlan Statistics 63 93420628 338819557 275 0.31% 0.26% 0.26% 0 SCP Download Lis 348 19466184 197442007 98 0.15% 0.09% 0.08% 0 DiagCard2/-1 298 666680 192571573 3 0.07% 0.01% 0.00% 0 PM Callback 353 20781552 113356317 183 0.07% 0.07% 0.07% 0 DiagCard9/-1 147 334248 30072262 11 0.07% 0.00% 0.00% 0 CFIB LC TIMER Ta 124 614488 436454290 1 0.07% 0.01% 0.00% 0 EARL Intr Thrtl 288 168308 27259517 6 0.07% 0.00% 0.00% 0 NV Health Monito 9 1916 480552 3 0.00% 0.00% 0.00% 0 ARP Input 10 0 1 0 0.00% 0.00% 0.00% 0 AAA_SERVER_DEADT 8 0 2 0 0.00% 0.00% 0.00% 0 Timers #sh mls stat Statistics for Earl in Module 5 L2 Forwarding Engine Total packets Switched : 26725215726011 L3 Forwarding Engine Total packets Processed : 26725180475536 @ 1237092 pps Total packets L3 Switched : 13444649 @ 0 pps Total Packets Bridged : 25033087641580 Total Packets FIB Switched : 13444649 Total Packets ACL Routed : 0 Total Packets Netflow Switched : 0 Total Mcast Packets Switched/Routed : 1058154466 Total ip packets with TOS changed : 2 Total ip packets with COS changed : 2 Total non ip packets COS changed : 0 Total packets dropped by ACL : 1551637982 Total packets dropped by Policing : 0 Total packets exceeding CIR : 0 Total packets exceeding PIR : 0 Errors MAC/IP length inconsistencies : 2 Short IP packets received : 0 IP header checksum errors : 1 TTL failures : 0 MTU failures : 0 Total packets L3 Processed by all Modules: 26725180475536 @ 1237092 pps #sh ip cef summ IPv4 CEF is enabled for distributed and running VRF Default: 27 prefixes (27/0 fwd/non-fwd) Table id 0 Database epoch: 4 (27 entries at this epoch) #sh ver Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9-M), Version 12.2(33)SXH8, RELEASE SOFTWARE (fc1) ROM: System Bootstrap, Version 12.2(17r)SX7, RELEASE SOFTWARE (fc1) System image file is "sup-bootflash:s72033-adventerprisek9-mz.122-33.SXH8.bin" cisco WS-C6509 (R7000) processor (revision 3.0) with 458720K/65536K bytes of memory. Была перегружена 9 карта (WS-X6516A-GBIC), сумма in+out трафика по всем портам в пике была около 6.2 Гбит/с. Перенёс часть нагрузки на 2 карту, часть на другое шасси. Загрузка шины уменьшилась, но не сильно. Выше загрузка шины показана на данный момент. Сейчас в 9 карте задействованы 5 портов: 9/6 (24 Mbit/s (in) + 270 Mbit/s (out), 9/8 (50 Mbit/s + 520 Mbit/s), 9/10 (55 Mbit/s + 380 Mbit/s), 9/13 (40 Mbit/s + 5 Mbit/s), 9/15 (5 Mbit/s + 40 Mbit/s). Получается суммарный трафик на модуле сейчас 174 Mbit/s in + 1215 Mbit/s out, итого 1400 Mbit/s. При этом загрузка шины 40 %. Смущает также высокая загрузка шины у фаерволов (модули 1 и 6). При этом, на втором шасси такой загрузки шины не наблюдается. #sh modu Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 1 1 port 10-Gigabit Ethernet Module WS-X6502-10GE SAD063602DW 2 16 SFM-capable 16 port 1000mb GBIC WS-X6516A-GBIC SAL0803T0Q1 3 1 Application Control Engine Module ACE20-MOD-K9 SAD1351021W 4 1 Application Control Engine Module ACE20-MOD-K9 SAD131001FF 5 6 Firewall Module WS-SVC-FWM-1 SAD09330BLZ 6 2 Supervisor Engine 720 (Active) WS-SUP720-3B SAL1333W4PE #sh plat hard cap fab Switch Fabric Resources Bus utilization: current: 0%, peak was 1% at 10:52:23 UTC Fri Dec 16 2016 Fabric utilization: Ingress Egress Module Chanl Speed rate peak rate peak 1 0 8G 0% 29% @18:59 18Dec16 0% 6% @20:03 18Dec16 2 0 8G 6% 24% @18:06 18Dec16 5% 40% @18:59 18Dec16 3 0 20G 0% 0% 0% 2% @20:26 18Dec16 4 0 20G 0% 3% @10:22 18Dec16 0% 3% @19:52 18Dec16 5 0 8G 5% 21% @16:35 19Dec16 6% 23% @18:09 18Dec16 6 0 20G 2% 8% @17:36 17Dec16 2% 8% @18:40 18Dec16 Switching mode: Module Switching mode 1 crossbar 2 crossbar 3 crossbar 4 crossbar 5 crossbar 6 dcef #sh ver Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9-M), Version 12.2(33)SXH8, RELEASE SOFTWARE (fc1) ROM: System Bootstrap, Version 12.2(17r)SX5, RELEASE SOFTWARE (fc1) System image file is "sup-bootflash:s72033-adventerprisek9-mz.122-33.SXH8.bin" cisco WS-C6506 (R7000) processor (revision 2.0) with 458720K/65536K bytes of memory. На втором шасси во 2 модуле стоит такая же карта (WS-X6516A-GBIC), траффика на ней в 2 раза больше (перенёс на неё часть нагрузки), а загрузка шины гораздо меньше. Вот сейчас суммарно на карте 3012 Mbit/s, а загрузка шины всего 6%. Правда, на этой карте часть трафика идёт транзитом через access-vlan на два порта (порт 3 in + 4 out и 11 in + 12 out). Всего 1600 Mbit/s транзита. Остаётся 1400 Mbit/s, которые идут на другие модули. Сопоставимо с первым шасси. Плюс, на этом шасси гораздо меньшая загрузка шины у фаервола (модуль 5), хотя трафика фаервол обрабатывает не намного меньше. Подскажите, куда копать? Почему на 6509 шасси такая большая загрузка шины у 8G модулей? А на 6506 шасси загрузка шины у таких же модулей гораздо ниже при сопоставимом или даже большем трафике? Может какая-нибудь несовместимость или включено что-то лишнее? Помогите, пожалуйста.

Разобрался. На 4.1.0 был выключен URL Normalization. Рано радовался. 4.1.0 всё-равно пропускает.

Есть ссылка http://www.tudou.com/programs/view/GRnpYUjUvcw/?FR=LIAN Используем Cisco SCE. На версии 3.8.5 блокируется, версия 4.1.0 пропускает. На 3.8.5: SCE2000#>sh int li 0 sce-url-database all-entries | inc tudou.com 22845. tudou.com:/programs/view/grnpyujuvcw/:*:fr=lian* 208 22846. *.tudou.com:/programs/view/grnpyujuvcw/:*:fr=lian* 208 На 4.1.0: SCE2000#>sh int li 0 sce-url-database all-entries | inc tudou.com 22847. tudou.com:/programs/view/GRnpYUjUvcw/:*:FR=LIAN* 208 22848. *.tudou.com:/programs/view/GRnpYUjUvcw/:*:FR=LIAN* 208 Как быть? Преобразовывать всё в нижний регистр? Но тогда херятся ссылки с кириллицей. Может на SCE 4.1.0 есть опция отключающая такое поведение?

sol, ну добавьте в ACL какой-нибудь 127.0.0.1 пускай висит там постоянно.