-
Публикации
154 -
Зарегистрирован
-
Посещение
-
Блокировка сайтов провайдерами
тему ответил в a-zazell пользователя Voronok в Программное обеспечение, биллинг и *unix системы
Коллеги здравствуйте. Вопрос по производительности. Выше в теме писали, извините, уже не помню где кто. Это имеется ввиду исходящий трафик для extfilter или общий транзитный для nfqfilter? -
htts и страничка редиректа.
тему ответил в YuryD пользователя Voronok в СКАТ DPI и СКАТ CACHE
В смысле, только домен блокируется? Чисто с помощью SNI? -
htts и страничка редиректа.
тему ответил в YuryD пользователя Voronok в СКАТ DPI и СКАТ CACHE
Заглушка это не так критично. А как блокируются, например, конкретные странички в vk, ютубе по https? В смысле блокируются отдельные страницы или только домен целиком? -
Помогите, не могу понять откуда загрузка шины на 6509
тему ответил в Voronok пользователя Voronok в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Поправил сообщение выше. -
Помогите, не могу понять откуда загрузка шины на 6509
тему ответил в Voronok пользователя Voronok в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Хотя, вряд ли из-за этого, ведь загрузка фабрики на этом шасси и днём гораздо выше. На BGP в часы пик на всех интерфейсах пробегает в сумме чуть больше 1Mpps. В принципе, здесь с петлянием по модулям, плюс вышел/зашёл может и набраться под 15Mpps. Надо будет подсчитать. Не подскажете, как снять статистику pps с эзерчанелов, которые идут на FWSM и ACE? Хотя, можно прикинуть по интерфейсам на картах. Я ведь знаю на какие модули что идёт. Прикидываю. Pps на интерфейсе, через который идёт трафик на FWSM, нужно умножать на 4: трафик входящий в порт + трафик входящий на FWSM + трафик уходящий с FWSM + трафик входящий на ACE. Нужно ли учитывать трафик, уходящий с порта в фабрику? Если да, то нужно умножать на 5. Так можно прикинуть pps для входящего трафика. Исходящий из ACE уходит по эзерчанелам. В каждом эзерчанеле трафик с двух ACE с одинаковой подсеткой. Значит нужно pps в уходящем эзерчанеле умножать на 2: трафик уходящий с портов + трафик уходящий с ACE. Опять же, нужно ли учитывать трафик, приходящий с фабрики в карту с эзерчанелами? Если да, то нужно умножать на 3. Правильно я прикинул? -
Помогите, не могу понять откуда загрузка шины на 6509
тему ответил в Voronok пользователя Voronok в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Трафик с SCE заходит во 2 и 9 карты. Оттуда в FWSM, далее в ACE и со 2 карты бондингами (эзерчанелами) уходит на BGP. Часть трафика (~100 Мбит/с) растегируется и уходит с 9 карты на другое шасси, у него там FWSM, потом возвращается на 9 карту и уходит на BGP вместе с остальным трафиком. Ещё часть трафика (~900 Мбит/с) растегируется и уходит со 2 карты на другое шасси, у него там FWSM, потом возвращается на 2 карту и уходит на BGP вместе с остальным трафиком. Вчера убрал больше половины трафика с 9 карты, скорость выросла и трафик с двух каналов SCE упёрся в полку 1 Гбит/с. Может там из-за этого образовываться куча мусора, который грузит фабрику? Сейчас распределяю трафик равномерно по SCE, закончу, посмотрю на результат. -
Помогите, не могу понять откуда загрузка шины на 6509
тему ответил в Voronok пользователя Voronok в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Ну вроде как чем больше трафика идёт, тем больше там пакетов. При превышении максимального pps начинается такая дикая загрузка интерфейсов фабрик? -
Помогите, не могу понять откуда загрузка шины на 6509
тему ответил в Voronok пользователя Voronok в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Старая карта это WS-X6516A-GBIC? От ACE и FWSM я как избавлюсь? В другом шасси с этими картами такой загрузки шины нет. Трафика там раза в 2 меньше (на шасси), а загрузка шины меньше в 7 раз (42% против 6%). -
Помогите, не могу понять откуда загрузка шины на 6509
тему ответил в Voronok пользователя Voronok в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Для первого модуля: #show interfaces port-channel 305 counters etherchannel Port InOctets InUcastPkts InMcastPkts InBcastPkts Po305 2052693338935933 2422866430553 15549 202185 Gi1/1 6562706511153 9464634436 35 1 Gi1/2 2919218649923 4390612579 35 1 Gi1/3 13543916976721 13432008584 35 4043 Gi1/4 6121782492100 8910096075 81 1 Gi1/5 3323798677489 4596871857 81 1 Gi1/6 12707443750301 12860067646 81 1 Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Po305 2053174485094084 2428454799177 58302629 228474949 Gi1/1 11442039746852 13717814991 1415820 4016853 Gi1/2 5098793062771 6295239389 9230 1 Gi1/3 6436480153946 7323811887 66 1 Gi1/4 11121081753395 13264534607 1 119945 Gi1/5 6075645041249 6928202343 2897 1 Gi1/6 5015083785595 6249519751 0 1 Для шестого: #show interfaces port-channel 310 counters etherchannel Port InOctets InUcastPkts InMcastPkts InBcastPkts Po310 1450783684971619 1692544741601 2397 638613 Gi6/1 221978479712889 298976423165 357 1 Gi6/2 135076175879956 174900607715 357 1 Gi6/3 423192663582885 427704531802 357 638609 Gi6/4 173338057456309 262072139978 442 1 Gi6/5 92503679448995 126751214675 442 1 Gi6/6 404699063160954 402144466671 442 1 Port OutOctets OutUcastPkts OutMcastPkts OutBcastPkts Po310 1451094187214028 1696567513303 58684620 228906276 Gi6/1 371366062654573 432410515506 45087961 224468672 Gi6/2 227160845628372 255484340021 6947851 1 Gi6/3 173132715049260 210459486777 617 1 Gi6/4 324066716180648 395880323237 1943 4437098 Gi6/5 174232985673607 196797586039 6646180 1 Gi6/6 181138175901417 205538960735 65 1 Я пробовал ставить сессии monitor session servicemodule module 1 monitor session servicemodule module 6 результата не дало. -
Помогите, не могу понять откуда загрузка шины на 6509
тему ответил в Voronok пользователя Voronok в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Перерыл весь конфиг. Различия в конфигах между нормальным шасси и проблемным минимальны. Попробовал убрать/изменить различающиеся настройки - результата не дало. Выложу конфиг, может кто увидит более опытным глазом. NAT1#sh run Building configuration... Current configuration : 14637 bytes ! ! Last configuration change at 13:50:10 MSK Wed Dec 21 2016 by bvn ! NVRAM config last updated at 14:27:50 MSK Wed Dec 21 2016 by bvn ! upgrade fpd auto version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption service counters max age 5 ! hostname NAT1 ! boot-start-marker boot system flash bootflash:s72033-adventerprisek9-mz.122-33.SXH8.bin boot bootldr bootflash:s72033-boot-mz.122-33.SXI5.bin boot-end-marker ! security passwords min-length 1 no logging console enable secret 5 $1$u9Mz$vYIbUCPlouhYHUczn0zK0/ ! username bvn privilege 15 secret 5 xxx aaa new-model ! aaa session-id common clock timezone MSK 3 svclc module 3 vlan-group 1,6,8,9, svclc module 4 vlan-group 1,4,8, svclc module 7 vlan-group 1,2,3,10, svclc module 8 vlan-group 1,5,7,21, svclc vlan-group 1 2 svclc vlan-group 2 11 svclc vlan-group 3 12 svclc vlan-group 4 14 svclc vlan-group 5 300 svclc vlan-group 6 25 svclc vlan-group 7 18 svclc vlan-group 8 13 svclc vlan-group 9 26 svclc vlan-group 10 120 svclc vlan-group 21 127 firewall module 1 vlan-group 1,6,9,24,25, firewall module 6 vlan-group 1,21,22, firewall vlan-group 22 110 firewall vlan-group 23 105 firewall vlan-group 24 16 firewall vlan-group 25 15 call-home alert-group configuration alert-group diagnostic alert-group environment alert-group inventory alert-group syslog ip subnet-zero ! ! ! ip ftp username bvn ip ftp password 7 xxx ip ssh version 1 ip domain-name sce1.nat.ttt ip name-server 10.x.x.x vtp domain pci vtp mode off mls netflow interface no mls flow ip no mls flow ipv6 mls cef error action reset ! ! ! ! ! ! ! ! ! archive log config logging enable hidekeys path ftp://10.x.x.x/PATCH/10.x.x.x/[$h][$t] write-memory time-period 10080 ! redundancy keepalive-enable mode sso main-cpu auto-sync running-config ! spanning-tree mode pvst no spanning-tree etherchannel guard misconfig spanning-tree extend system-id no spanning-tree vlan 7-150 diagnostic bootup level minimal diagnostic cns publish cisco.cns.device.diag_results diagnostic cns subscribe cisco.cns.device.diag_commands fabric timer 15 port-channel load-balance dst-ip ! vlan internal allocation policy ascending vlan access-log ratelimit 2000 ! vlan 2 name manager ! vlan 11 name 160.0_ACE3 ! vlan 12 name INPUT_L3-Home ! vlan 13 name 162.0_ACE1 ! vlan 14 name LAN_RFW-162_home4 ! vlan 15 name LAN_RFW-162_home5 ! vlan 16 name LAN_RFW-162_home6 ! vlan 17 name IN_ACE4 ! vlan 18 name 161.0_ACE1 ! vlan 20 name 163.0 ! vlan 25 name FWSM-ACE_home5 ! vlan 26 name WAN_RFW_162 ! vlan 27 name SM-MM ! vlan 50 name RFW_home1_input ! vlan 105 name INPUT_HOME3 ! vlan 109 name WAN_RFW_Home4 ! vlan 110 name INPUT_HOME1 ! vlan 120 name INPUT_L3-Home1 ! vlan 127 name LAN_home1 ! vlan 300 name LAN_home3 ! vlan 2005 name ivanovka_NAT_OUT ! ! ! ! ! interface Port-channel11 description 160.0/24 switchport switchport access vlan 11 switchport mode access ! interface Port-channel13 description 162.0/24 switchport switchport access vlan 13 switchport mode access ! interface Port-channel18 description 161.0/24 switchport switchport access vlan 18 switchport mode access ! interface GigabitEthernet2/1 switchport switchport access vlan 11 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/2 switchport switchport access vlan 11 switchport mode access speed 100 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/3 description BGP160_2.3p2 switchport switchport access vlan 11 switchport mode access no cdp enable channel-group 11 mode active ! interface GigabitEthernet2/4 description BGP160_2.3p1 switchport switchport access vlan 11 switchport mode access no cdp enable channel-group 11 mode active ! interface GigabitEthernet2/5 switchport switchport access vlan 11 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/6 switchport switchport access vlan 11 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/7 description HOME3_FWSM3_old1 switchport switchport access vlan 105 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/8 no ip address shutdown no cdp enable ! interface GigabitEthernet2/9 description wan_RFW_home4 switchport switchport access vlan 14 switchport mode access flowcontrol send off no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/10 no ip address shutdown no cdp enable ! interface GigabitEthernet2/11 description SCE1_GBE2_net_OUT switchport switchport access vlan 105 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/12 no ip address shutdown no cdp enable ! interface GigabitEthernet2/13 switchport switchport access vlan 11 switchport mode access no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/14 description HOME3_FWSM3 switchport switchport access vlan 105 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/15 description HOME3_Mikrotik switchport switchport access vlan 18 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/16 description sce_GBE2_net_OUT switchport switchport access vlan 109 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/17 description 161.0_group switchport switchport access vlan 18 switchport mode access no keepalive speed 1000 duplex full no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/18 description SCE1_GBE1_net_OUT switchport switchport access vlan 110 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/19 description 163.203_SM switchport switchport access vlan 20 switchport mode access no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/20 description description 163.204_CM switchport switchport access vlan 20 switchport mode access no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/21 description 161.0_HP_BLADE switchport switchport access vlan 18 switchport mode access no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/22 description sce_GBE1_net_out switchport switchport access vlan 15 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/23 no ip address shutdown no cdp enable ! interface GigabitEthernet2/24 switchport switchport access vlan 2 switchport mode access ip access-group Manager in no keepalive no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/25 no ip address shutdown no cdp enable ! interface GigabitEthernet2/26 switchport switchport access vlan 13 switchport mode access speed 1000 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 13 mode active ! interface GigabitEthernet2/27 description 163.0 switchport switchport access vlan 20 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/28 no ip address shutdown no cdp enable ! interface GigabitEthernet2/29 no ip address shutdown no cdp enable ! interface GigabitEthernet2/30 description BGP162_2.3p6 switchport switchport access vlan 13 switchport mode access speed 1000 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 13 mode active ! interface GigabitEthernet2/31 description 91.205.161.0_group switchport switchport access vlan 18 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/32 no ip address shutdown no cdp enable ! interface GigabitEthernet2/33 no ip address shutdown no cdp enable ! interface GigabitEthernet2/34 description BGP162_2.3p5 switchport switchport access vlan 13 switchport mode access speed 1000 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 13 mode active ! interface GigabitEthernet2/35 no ip address shutdown no cdp enable ! interface GigabitEthernet2/36 no ip address shutdown no cdp enable ! interface GigabitEthernet2/37 description WAN_RFW_home3 switchport switchport access vlan 17 switchport mode access speed 1000 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/38 description BGP161_2.3p4 switchport switchport access vlan 18 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 18 mode active ! interface GigabitEthernet2/39 description HOME3_FWSM3 switchport switchport access vlan 300 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/40 no ip address shutdown no cdp enable ! interface GigabitEthernet2/41 switchport switchport access vlan 50 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/42 description BGP161_2.3p3 switchport switchport access vlan 18 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable channel-group 18 mode active ! interface GigabitEthernet2/43 description HOME3_ACE_MKT switchport switchport access vlan 105 switchport mode access shutdown no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet2/44 no ip address shutdown no cdp enable ! interface GigabitEthernet2/45 no ip address shutdown no cdp enable ! interface GigabitEthernet2/46 description BGP160_2.3p2 switchport switchport access vlan 11 switchport mode access shutdown no cdp enable channel-group 11 mode active ! interface GigabitEthernet2/47 no ip address shutdown no cdp enable ! interface GigabitEthernet2/48 description BGP160_2.3p1 switchport switchport access vlan 11 switchport mode access shutdown no cdp enable channel-group 11 mode active ! interface GigabitEthernet5/1 no ip address shutdown ! interface GigabitEthernet5/2 description man switchport switchport access vlan 2 switchport mode access ip access-group Manager in media-type rj45 no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/1 no ip address shutdown no cdp enable ! interface GigabitEthernet9/2 no ip address no cdp enable ! interface GigabitEthernet9/3 no ip address shutdown no cdp enable ! interface GigabitEthernet9/4 no ip address no cdp enable ! interface GigabitEthernet9/5 no ip address no cdp enable ! interface GigabitEthernet9/6 description INPUT_L3_Home1 switchport switchport access vlan 120 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/7 no ip address no cdp enable ! interface GigabitEthernet9/8 description INPUT_L3_Home switchport switchport access vlan 12 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/9 no ip address no cdp enable ! interface GigabitEthernet9/10 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 16,2005 switchport mode trunk switchport nonegotiate spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/11 no ip address shutdown ! interface GigabitEthernet9/12 no ip address ! interface GigabitEthernet9/13 description ivanovka_to_ACE_FWSM_out switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 2005 switchport mode trunk switchport nonegotiate no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/14 description NAT_IN switchport switchport access vlan 27 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/15 description ivanovka_to_BGP_in switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 11 switchport mode trunk switchport nonegotiate no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface GigabitEthernet9/16 description SCE1_GBE2_net_OUT switchport switchport access vlan 105 switchport mode access no cdp enable spanning-tree bpdufilter enable spanning-tree bpduguard enable ! interface Vlan1 no ip address shutdown ! interface Vlan2 description manager ip address 10.x.x.x 255.255.255.0 ip access-group Manager in ip access-group Manager out no ip redirects no ip proxy-arp ! no ip classless ! ! no ip http server no ip http secure-server ! ip access-list standard Manager permit 10.x.x.0 0.0.0.255 ip access-list standard VTY permit 10.x.x.x permit 10.x.x.x permit 10.x.x.x permit 10.x.x.x permit 10.x.x.x ! logging 10.x.x.x no cdp run ! snmp-server community xxx RO snmp-server community xxx RW ! radius-server source-ports 1645-1646 ! control-plane ! ! dial-peer cor custom ! ! ! ! line con 0 access-class VTY in password 7 xxx line vty 0 4 access-class VTY in exec-timeout 30 0 password 7 xxx logging synchronous transport input ssh line vty 5 1510 access-class VTY in exec-timeout 30 0 password 7 xxx logging synchronous transport input ssh ! ! no monitor session servicemodule module 1 ntp clock-period 17180145 ntp update-calendar ntp server 10.x.x.x source Vlan2 ! end -
Помогите, не могу понять откуда загрузка шины на 6509
тему ответил в Voronok пользователя Voronok в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Нет, на циске трафик не зеркалим. Изначально настраивал не я, сейчас пробежался по конфигу, единственное, что имеет отношение к SPAN, это строчка no monitor session servicemodule module 1 но она, наоборот выключает. Задача у этой циски простая - на неё приходит абонентский трафик через SCE, на циске прогоняется через FWSM+ACE и по etherchannel'у уходит на BGP. -
Добрый день. Столкнулся с ограничением скорости на циске, стал разбираться и увидел такую картину. #sh modu Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 6 Firewall Module WS-SVC-FWM-1 SAD091705MC 2 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL12448BKN 3 1 Application Control Engine Module ACE20-MOD-K9 SAD140102Y6 4 1 Application Control Engine Module ACE20-MOD-K9 SAD13210234 5 2 Supervisor Engine 720 (Active) WS-SUP720-3B SAL09475VFE 6 6 Firewall Module WS-SVC-FWM-1 SAD0750007Y 7 1 Application Control Engine Module ACE20-MOD-K9 SAL14470BEU 8 1 Application Control Engine Module ACE20-MOD-K9 SAD1121005U 9 16 SFM-capable 16 port 1000mb GBIC WS-X6516A-GBIC SAL0802SD0H #sh plat hard cap fab Switch Fabric Resources Bus utilization: current: 3%, peak was 10% at 16:02:12 MSK Fri Mar 4 2016 Fabric utilization: Ingress Egress Module Chanl Speed rate peak rate peak 1 0 8G 11% 27% @20:19 20Dec16 40% 99% @20:45 15Dec16 2 0 20G 9% 32% @20:45 15Dec16 8% 15% @21:54 20Dec16 2 1 20G 5% 18% @20:08 20Dec16 13% 39% @22:00 20Dec16 3 0 20G 4% 10% @20:20 20Dec16 13% 31% @20:45 15Dec16 4 0 20G 2% 8% @23:10 30Jun16 13% 32% @19:45 01Dec16 5 0 20G 2% 9% @18:31 30Oct16 14% 34% @19:45 01Dec16 6 0 8G 5% 23% @18:13 01Dec16 37% 87% @21:54 20Dec16 7 0 20G 4% 10% @19:11 18Dec16 13% 32% @20:45 15Dec16 8 0 20G 5% 15% @12:14 16May16 13% 33% @20:45 15Dec16 9 0 8G 2% 19% @18:25 07Sep16 42% 100% @22:00 20Dec16 Switching mode: Module Switching mode 1 crossbar 2 acef 3 crossbar 4 crossbar 5 dcef 6 crossbar 7 crossbar 8 crossbar 9 crossbar #sh proc cpu sort CPU utilization for five seconds: 0%/0%; one minute: 4%; five minutes: 4% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 135 3229242534413685 0 0.23% 0.24% 0.23% 0 Earl NDE Task 220 8897560 40377875 220 0.15% 0.05% 0.05% 0 CEF: IPv4 proces 397 168916392 831355175 203 0.15% 1.18% 0.99% 0 SNMP ENGINE 355 29368 143033659 0 0.07% 0.00% 0.00% 0 PM Callback 113 18620 8000623 2 0.07% 0.01% 0.00% 0 HC Counter Timer 393 816350921332920585 61 0.07% 0.58% 0.46% 0 IP SNMP 9 27556352 165141424 166 0.07% 0.07% 0.07% 0 ARP Input 7 188 5704 32 0.00% 0.00% 0.00% 0 Pool Manager 6 73027200 5071303 14400 0.00% 0.26% 0.24% 0 Check heaps 5 0 1 0 0.00% 0.00% 0.00% 0 PF Redun ICC Req 8 0 2 0 0.00% 0.00% 0.00% 0 Timers #rem comm sw sh proc cpu sort CPU utilization for five seconds: 12%/0%; one minute: 14%; five minutes: 14% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 89 21901294763377815896 0 9.43% 9.47% 9.46% 0 slcp process 141 458935068 11508407 39878 1.67% 1.62% 1.71% 0 Vlan Statistics 63 93420628 338819557 275 0.31% 0.26% 0.26% 0 SCP Download Lis 348 19466184 197442007 98 0.15% 0.09% 0.08% 0 DiagCard2/-1 298 666680 192571573 3 0.07% 0.01% 0.00% 0 PM Callback 353 20781552 113356317 183 0.07% 0.07% 0.07% 0 DiagCard9/-1 147 334248 30072262 11 0.07% 0.00% 0.00% 0 CFIB LC TIMER Ta 124 614488 436454290 1 0.07% 0.01% 0.00% 0 EARL Intr Thrtl 288 168308 27259517 6 0.07% 0.00% 0.00% 0 NV Health Monito 9 1916 480552 3 0.00% 0.00% 0.00% 0 ARP Input 10 0 1 0 0.00% 0.00% 0.00% 0 AAA_SERVER_DEADT 8 0 2 0 0.00% 0.00% 0.00% 0 Timers #sh mls stat Statistics for Earl in Module 5 L2 Forwarding Engine Total packets Switched : 26725215726011 L3 Forwarding Engine Total packets Processed : 26725180475536 @ 1237092 pps Total packets L3 Switched : 13444649 @ 0 pps Total Packets Bridged : 25033087641580 Total Packets FIB Switched : 13444649 Total Packets ACL Routed : 0 Total Packets Netflow Switched : 0 Total Mcast Packets Switched/Routed : 1058154466 Total ip packets with TOS changed : 2 Total ip packets with COS changed : 2 Total non ip packets COS changed : 0 Total packets dropped by ACL : 1551637982 Total packets dropped by Policing : 0 Total packets exceeding CIR : 0 Total packets exceeding PIR : 0 Errors MAC/IP length inconsistencies : 2 Short IP packets received : 0 IP header checksum errors : 1 TTL failures : 0 MTU failures : 0 Total packets L3 Processed by all Modules: 26725180475536 @ 1237092 pps #sh ip cef summ IPv4 CEF is enabled for distributed and running VRF Default: 27 prefixes (27/0 fwd/non-fwd) Table id 0 Database epoch: 4 (27 entries at this epoch) #sh ver Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9-M), Version 12.2(33)SXH8, RELEASE SOFTWARE (fc1) ROM: System Bootstrap, Version 12.2(17r)SX7, RELEASE SOFTWARE (fc1) System image file is "sup-bootflash:s72033-adventerprisek9-mz.122-33.SXH8.bin" cisco WS-C6509 (R7000) processor (revision 3.0) with 458720K/65536K bytes of memory. Была перегружена 9 карта (WS-X6516A-GBIC), сумма in+out трафика по всем портам в пике была около 6.2 Гбит/с. Перенёс часть нагрузки на 2 карту, часть на другое шасси. Загрузка шины уменьшилась, но не сильно. Выше загрузка шины показана на данный момент. Сейчас в 9 карте задействованы 5 портов: 9/6 (24 Mbit/s (in) + 270 Mbit/s (out), 9/8 (50 Mbit/s + 520 Mbit/s), 9/10 (55 Mbit/s + 380 Mbit/s), 9/13 (40 Mbit/s + 5 Mbit/s), 9/15 (5 Mbit/s + 40 Mbit/s). Получается суммарный трафик на модуле сейчас 174 Mbit/s in + 1215 Mbit/s out, итого 1400 Mbit/s. При этом загрузка шины 40 %. Смущает также высокая загрузка шины у фаерволов (модули 1 и 6). При этом, на втором шасси такой загрузки шины не наблюдается. #sh modu Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 1 1 port 10-Gigabit Ethernet Module WS-X6502-10GE SAD063602DW 2 16 SFM-capable 16 port 1000mb GBIC WS-X6516A-GBIC SAL0803T0Q1 3 1 Application Control Engine Module ACE20-MOD-K9 SAD1351021W 4 1 Application Control Engine Module ACE20-MOD-K9 SAD131001FF 5 6 Firewall Module WS-SVC-FWM-1 SAD09330BLZ 6 2 Supervisor Engine 720 (Active) WS-SUP720-3B SAL1333W4PE #sh plat hard cap fab Switch Fabric Resources Bus utilization: current: 0%, peak was 1% at 10:52:23 UTC Fri Dec 16 2016 Fabric utilization: Ingress Egress Module Chanl Speed rate peak rate peak 1 0 8G 0% 29% @18:59 18Dec16 0% 6% @20:03 18Dec16 2 0 8G 6% 24% @18:06 18Dec16 5% 40% @18:59 18Dec16 3 0 20G 0% 0% 0% 2% @20:26 18Dec16 4 0 20G 0% 3% @10:22 18Dec16 0% 3% @19:52 18Dec16 5 0 8G 5% 21% @16:35 19Dec16 6% 23% @18:09 18Dec16 6 0 20G 2% 8% @17:36 17Dec16 2% 8% @18:40 18Dec16 Switching mode: Module Switching mode 1 crossbar 2 crossbar 3 crossbar 4 crossbar 5 crossbar 6 dcef #sh ver Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9-M), Version 12.2(33)SXH8, RELEASE SOFTWARE (fc1) ROM: System Bootstrap, Version 12.2(17r)SX5, RELEASE SOFTWARE (fc1) System image file is "sup-bootflash:s72033-adventerprisek9-mz.122-33.SXH8.bin" cisco WS-C6506 (R7000) processor (revision 2.0) with 458720K/65536K bytes of memory. На втором шасси во 2 модуле стоит такая же карта (WS-X6516A-GBIC), траффика на ней в 2 раза больше (перенёс на неё часть нагрузки), а загрузка шины гораздо меньше. Вот сейчас суммарно на карте 3012 Mbit/s, а загрузка шины всего 6%. Правда, на этой карте часть трафика идёт транзитом через access-vlan на два порта (порт 3 in + 4 out и 11 in + 12 out). Всего 1600 Mbit/s транзита. Остаётся 1400 Mbit/s, которые идут на другие модули. Сопоставимо с первым шасси. Плюс, на этом шасси гораздо меньшая загрузка шины у фаервола (модуль 5), хотя трафика фаервол обрабатывает не намного меньше. Подскажите, куда копать? Почему на 6509 шасси такая большая загрузка шины у 8G модулей? А на 6506 шасси загрузка шины у таких же модулей гораздо ниже при сопоставимом или даже большем трафике? Может какая-нибудь несовместимость или включено что-то лишнее? Помогите, пожалуйста.
-
Блокировка сайтов провайдерами
тему ответил в a-zazell пользователя Voronok в Программное обеспечение, биллинг и *unix системы
Разобрался. На 4.1.0 был выключен URL Normalization. Рано радовался. 4.1.0 всё-равно пропускает. -
Блокировка сайтов провайдерами
тему ответил в a-zazell пользователя Voronok в Программное обеспечение, биллинг и *unix системы
Есть ссылка http://www.tudou.com/programs/view/GRnpYUjUvcw/?FR=LIAN Используем Cisco SCE. На версии 3.8.5 блокируется, версия 4.1.0 пропускает. На 3.8.5: SCE2000#>sh int li 0 sce-url-database all-entries | inc tudou.com 22845. tudou.com:/programs/view/grnpyujuvcw/:*:fr=lian* 208 22846. *.tudou.com:/programs/view/grnpyujuvcw/:*:fr=lian* 208 На 4.1.0: SCE2000#>sh int li 0 sce-url-database all-entries | inc tudou.com 22847. tudou.com:/programs/view/GRnpYUjUvcw/:*:FR=LIAN* 208 22848. *.tudou.com:/programs/view/GRnpYUjUvcw/:*:FR=LIAN* 208 Как быть? Преобразовывать всё в нижний регистр? Но тогда херятся ссылки с кириллицей. Может на SCE 4.1.0 есть опция отключающая такое поведение? -
Обновление PBR route-map при изменении ACL на 6500
тему ответил в sol пользователя Voronok в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
sol, ну добавьте в ACL какой-нибудь 127.0.0.1 пускай висит там постоянно.