Jump to content
Калькуляторы

Cisco ip unnumbered Дилема с железками

Добрый день коллеги.

Подскажите такой вопрос. Есть сеть с рабочей схемой ip unnumbered, все крутится на броневиках cisco 3550, но стал вопрос уплотнится в одну железку. Привезли пару новых железок cisco 4948-10ge и cisco 3750e.

Заволокли на 3750, 400 SVI, все отлично, все работает, загрузка CPU в пределах 20%, но смущает то что Unicast MAC addresses 6K и Unicast routes 8K это ее максимум, для меня это мало.

Настроил 4948, затянул на нее только 200 SVI и тут она уже начала срать кирпичами

ca508c0a0a29.jpg

 

Это график на 400 SVI

d1c87ab9f9a9.jpg

 

Начали разбираться, лезет паразитный трафик без ipsrcdst и portdst, цыска кидает его на проц и начинает погибать.

И вот собственно что делать, cisco 4948-10ge устраивает по количествам роутов и мак таблицы, но не устраивает что она при малейшем флуде включает Валеру.

Сisco 3750e устраивает во всем, кроме Unicast MAC addresses 6K и Unicast routes 8K.

Если у кого нибудь опыт эксплуатации cisco 4948, может чего то упустил в настройке? Или посоветуйте железку по устойчивости как 3550/3750 но только с большим запасом таблиц мак адерсов и роутов.

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

ну так может Control plane policy прикрутить? мануалы вроде есть

Share this post


Link to post
Share on other sites

6503(4)+sup32-10g

 

Думали об этом, но шеститонник энергии жрет как маленькое государство в Африке.

 

Кольца используете?

Какие процессы в топе во время пиков?

 

Эта железка в кольце не участвует, задача у железки только одна ip unnumbered

Весь проц выжирает Cat4k Mgmt LoPri

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

Эта железка в кольце не участвует, задача у железки только одна ip unnumbered

Весь проц выжирает Cat4k Mgmt LoPri

То есть bpdu на порты попадать не должны или таки попадают? Счётчики TC растут или нет?

Как unnumbered интерфейсы настроены?

Конфиг можете показать?

 

Посмотрите здесь - http://www.cisco.com/c/en/us/support/docs/switches/catalyst-4000-series-switches/65591-cat4500-high-cpu.html

 

Так как планируем 4948E для такой же задачи то я заинтересован в разборе такого явления

Share this post


Link to post
Share on other sites

То есть bpdu на порты попадать не должны или таки попадают? Счётчики TC растут или нет?

Как unnumbered интерфейсы настроены?

Конфиг можете показать?

 

Посмотрите здесь - http://www.cisco.com...0-high-cpu.html

 

Так как планируем 4948E для такой же задачи то я заинтересован в разборе такого явления

 

interface Loopback1
ip address 10.1.12.1 255.255.252.0 secondary
ip address **.**.84.1 255.255.252.0 secondary
ip address **.**.94.1 255.255.254.0 secondary
ip address **.**.54.1 255.255.254.0 secondary
ip address **.**.34.1 255.255.254.0 secondary
ip address **.**.32.1 255.255.224.0 secondary
ip address **.**.76.1 255.255.252.0
!
interface Port-channel1
description sw111.2p38-39
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 233,251,1401-1409,1411-1423,1425-1431,1601-1755
switchport trunk allowed vlan add 1759-1786,1788-1800
switchport mode trunk
switchport block multicast
switchport block unicast
spanning-tree bpdufilter enable

interface Vlan701
ip unnumbered Loopback1
ip helper-address 91.**.**.**
no ip redirects
no ip unreachables
ip route-cache policy
ip policy route-map redir

 

Снятие route mat эффекта не давало.

Когда слили зеркало трафика которые бежит через CPU все пакеты были были IpSrcDst 0.0.0.0 или отсутствовал SrcPortDst

Сегодня ночью попробую еще раз запустить ее и прикрутить Control plane policy глянем что с этого выйдет.

 

Вам то только суп и питать

А есть реальные цифры потребление энергии?

Share this post


Link to post
Share on other sites

а show platform health ?

 

proxy-arp вам нужен?

не пробовали local-proxy-arp?

на 6500 и me3400g ещё помогает немного снизить загрузку - no ip gratuitous-arps

Share this post


Link to post
Share on other sites

а show platform health ?

 

proxy-arp вам нужен?

не пробовали local-proxy-arp?

на 6500 и me3400g ещё помогает немного снизить загрузку - no ip gratuitous-arps

В show platform health видно что нагрузку дает K2CpuMan Review

Сейчас ничего попробовать не могу, потому что железка стоит курит.

Сегодня ночью снова заверну на нее трафик и буду что-то думать, пока что в голову пришла только одна мысль, слить зеркало с CPU, смотреть что за трафик и зарезать его через Control plane policy

Share this post


Link to post
Share on other sites

Из приведённого мануала - "The process that performs software packet forwarding If you see high CPU utilization due to this process, investigate the packets that hit the CPU with use of the show platform cpu packet statistics command."

Share this post


Link to post
Share on other sites

рекомендую

google: "4948 Control Plane Policing"

И ещё вроде в 4948 есть mls rate-limit, если неохота писать политики.

Share this post


Link to post
Share on other sites

Из приведённого мануала - "The process that performs software packet forwarding If you see high CPU utilization due to this process, investigate the packets that hit the CPU with use of the show platform cpu packet statistics command."

show platform cpu packet statistics
Packets Dropped In Hardware By CPU Subport (txQueueNotAvail)

CPU Subport  TxQueue 0       TxQueue 1       TxQueue 2       TxQueue 3
------------ --------------- --------------- --------------- ---------------
          0               0             859               0        26296254
          6               0               0            7295        14672865


RkiosSysPacketMan:
Packet allocation failures: 0
Packet Buffer(Software Common) allocation failures: 0
Packet Buffer(Software ESMP) allocation failures: 0
Packet Buffer(Software EOBC) allocation failures: 0
Packet Buffer(Software SupToSup) allocation failures: 0
IOS Packet Buffer Wrapper allocation failures: 0

Packets Dropped In Processing Overall

Total                5 sec avg 1 min avg 5 min avg 1 hour avg
-------------------- --------- --------- --------- ----------
            5802035         0         0         0          0

Packets Dropped In Processing by CPU event

Event             Total                5 sec avg 1 min avg 5 min avg 1 hour avg
----------------- -------------------- --------- --------- --------- ----------
Input Acl                      5801329         0         0         0          0
SA Miss                             23         0         0         0          0
L2 Forward                           5         0         0         0          0

Packets Dropped In Processing by Priority

Priority          Total                5 sec avg 1 min avg 5 min avg 1 hour avg
----------------- -------------------- --------- --------- --------- ----------
Normal                         3875597         0         0         0          0
Medium                           14778         0         0         0          0
High                           1912273         0         0         0          0
Crucial                             65         0         0         0          0

Packets Dropped In Processing by Reason

Reason             Total                5 sec avg 1 min avg 5 min avg 1 hour avg
------------------ -------------------- --------- --------- --------- ----------
SrcAddrTableFilt                      2         0         0         0          0
STPDrop                              21         0         0         0          0
L2DstDrop                             5         0         0         0          0
NoDstPorts                      4475152         0         0         0          0
NoFloodPorts                    1326855         0         0         0          0

Total packet queues 16

Packets Received by Packet Queue

Queue                  Total           5 sec avg 1 min avg 5 min avg 1 hour avg
---------------------- --------------- --------- --------- --------- ----------
L2/L3Control                   9650933         0         0         0          0
Host Learning                   898512         0         0         0          0
L3 Fwd High                   20779203         0         0         0          0
L3 Fwd Medium                161515259         0         0         0          0
L3 Fwd Low                  1529486174         0         0         0          0
L2 Fwd High                        125         0         0         0          0
L2 Fwd Medium                   163315         0         0         0          0
L2 Fwd Low                    40230401         0         0         0          0
L3 Rx High                      172530         0         0         0          0
L3 Rx Low                      9191344         0         0         0          0

Packets Dropped by Packet Queue

Queue                  Total           5 sec avg 1 min avg 5 min avg 1 hour avg
---------------------- --------------- --------- --------- --------- ----------
L2/L3Control                    629584         0         0         0          0
Host Learning                      735         0         0         0          0
L3 Fwd High                         82         0         0         0          0
L3 Fwd Medium                   197916         0         0         0          0
L3 Fwd Low                     7573203         0         0         0          0
L2 Fwd Low                        1796         0         0         0          0
L3 Rx Low                        70377         0         0         0          0

Share this post


Link to post
Share on other sites

6503(4)+sup32-10g

Думали об этом, но шеститонник энергии жрет как маленькое государство в Африке.

Используем 4900M для таких целей, получается что-то около 300Вт. При доступности недорогих свитчиков 10G-агрегации можно обойтись пустой коробкой, без лайнкарт.

Share this post


Link to post
Share on other sites

Да тут смело можно начинать с рейт-лимита на arp в copp.

 

Тут похоже не всё так просто:

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/54sg/configuration/guide/config/cntl_pln.pdf

"ARP policing is not supported on either the classic series supervisor engines or fixed configuration

switches. It is supported on the Catalyst 4900M and 4948E switches, Supervisor Engine 6-E, and

Supervisor Engine 6L-E."

Share this post


Link to post
Share on other sites

Тут похоже не всё так просто:

серьезно?

cisco 4948-10ge

 

4948#sh inv

NAME: "Switch System", DESCR: "Cisco Systems, Inc. WS-C4948-10GE 1 slot switch "

 

4948#conf t

Enter configuration commands, one per line. End with CNTL/Z.

4948(config)#macro global apply system-cpp

4948(config)#class-map match-all system-cpp-arp

4948(config-cmap)#match protocol arp

4948(config-cmap)#exit

4948(config)#policy-map system-cpp-policy

4948(config-pmap)#class system-cpp-arp

4948(config-pmap-c)#police 64k 8k co tr ex dr

4948(config-pmap-c)#end

4948#sh policy-map control-plane input class system-cpp-arp

Control Plane

 

Service-policy input: system-cpp-policy

 

Class-map: system-cpp-arp (match-all)

815 packets

Match: protocol arp

police: Per-interface

Conform: 0 bytes Exceed: 0 bytes

как бы все...

Share this post


Link to post
Share on other sites

LoPri может спокойно жрать весь проц, серьезных проблем это не должно вызывать, все важное имеет больший приоритет.

При флуде (если там не гигабиты) проц на цисках 100% но клиенты фактически не замечают.

Share this post


Link to post
Share on other sites

перевел часть трафика, прикрутил plane policy

class-map match-all system-cpp-arp
match protocol arp
class-map match-all system-cpp-cdp
match access-group name system-cpp-cdp
class-map match-all system-cpp-pim
match access-group name system-cpp-pim
class-map match-all system-cpp-pppoe-disc
match access-group name system-cpp-pppoe-disc
class-map match-all system-cpp-bpdu-range
match access-group name system-cpp-bpdu-range
class-map match-all system-cpp-hsrpv2
match access-group name system-cpp-hsrpv2
class-map match-all system-cpp-dhcp-cs
match access-group name system-cpp-dhcp-cs
class-map match-all system-cpp-dhcp-sc
match access-group name system-cpp-dhcp-sc
class-map match-all system-cpp-all-systems-on-subnet
match access-group name system-cpp-all-systems-on-subnet
class-map match-all system-cpp-all-routers-on-subnet
match access-group name system-cpp-all-routers-on-subnet
class-map match-all system-cpp-ripv2
match access-group name system-cpp-ripv2
class-map match-all system-cpp-mcast-cfm
match access-group name system-cpp-mcast-cfm
class-map match-all system-cpp-dot1x
match access-group name system-cpp-dot1x
class-map match-all system-cpp-ucast-cfm
match access-group name system-cpp-ucast-cfm
class-map match-all system-cpp-dhcp-ss
match access-group name system-cpp-dhcp-ss
class-map match-all system-cpp-sstp
match access-group name system-cpp-sstp
class-map match-all system-cpp-ospf
match access-group name system-cpp-ospf
class-map match-all system-cpp-lldp
match access-group name system-cpp-lldp
class-map match-all system-cpp-igmp
match access-group name system-cpp-igmp
class-map match-all system-cpp-ip-mcast-linklocal
match access-group name system-cpp-ip-mcast-linklocal
class-map match-all system-cpp-cgmp
match access-group name system-cpp-cgmp
!
!
policy-map system-cpp-policy   
class system-cpp-dot1x
class system-cpp-lldp
class system-cpp-bpdu-range
class system-cpp-cdp
class system-cpp-sstp
class system-cpp-cgmp
class system-cpp-mcast-cfm
class system-cpp-ucast-cfm
class system-cpp-pppoe-disc
class system-cpp-ospf
class system-cpp-igmp
   police 64 kbps 8 kbyte conform-action transmit exceed-action drop
class system-cpp-pim
class system-cpp-all-systems-on-subnet
class system-cpp-all-routers-on-subnet
class system-cpp-ripv2
class system-cpp-hsrpv2
class system-cpp-ip-mcast-linklocal
class system-cpp-dhcp-cs
class system-cpp-dhcp-sc
class system-cpp-dhcp-ss
class system-cpp-arp
   police 32 kbps 8 kbyte conform-action transmit exceed-action drop

 

Теперь осталось подождать полдень, когда будет трафик

Edited by FATHER_FBI

Share this post


Link to post
Share on other sites

Вам то только суп и питать

А есть реальные цифры потребление энергии?

 

 

Router#show power status all

Power-Capacity PS-Fan Output Oper

PS Type Watts A @42V Status Status State

---- ------------------ ------- ------ ------ ------ -----

1 PWR-2700-AC/4 2669.10 63.55 OK OK on

2 none

Pwr-Allocated Oper

Fan Type Watts A @42V State

---- ------------------ ------- ------ -----

1 FAN-MOD-4HS 57.54 1.37 OK

Pwr-Requested Pwr-Allocated Admin Oper

Slot Card-Type Watts A @42V Watts A @42V State State

---- ------------------ ------- ------ ------- ------ ----- -----

1 WS-SUP32-GE-3B 154.98 3.69 154.98 3.69 on on

2 (Redundant Sup) - - 154.98 3.69 - -

Router#

 

2 (Redundant Sup) - - 154.98 3.69 - -

 

 

~200-250w в пределе разве много? Как пару лампочек 100w

Edited by SyJet

Share this post


Link to post
Share on other sites

Вам то только суп и питать

А есть реальные цифры потребление энергии?

 

 

Router#show power status all

Power-Capacity PS-Fan Output Oper

PS Type Watts A @42V Status Status State

---- ------------------ ------- ------ ------ ------ -----

1 PWR-2700-AC/4 2669.10 63.55 OK OK on

2 none

Pwr-Allocated Oper

Fan Type Watts A @42V State

---- ------------------ ------- ------ -----

1 FAN-MOD-4HS 57.54 1.37 OK

Pwr-Requested Pwr-Allocated Admin Oper

Slot Card-Type Watts A @42V Watts A @42V State State

---- ------------------ ------- ------ ------- ------ ----- -----

1 WS-SUP32-GE-3B 154.98 3.69 154.98 3.69 on on

2 (Redundant Sup) - - 154.98 3.69 - -

Router#

 

2 (Redundant Sup) - - 154.98 3.69 - -

 

 

~200-250w в пределе разве много? Как пару лампочек 100w

В принципе копейки.

Если 49 цыска не оправдает надежд, будем смотреть в сторону шеститонника

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this