FATHER_FBI Опубликовано 24 сентября, 2015 (изменено) · Жалоба Добрый день коллеги. Подскажите такой вопрос. Есть сеть с рабочей схемой ip unnumbered, все крутится на броневиках cisco 3550, но стал вопрос уплотнится в одну железку. Привезли пару новых железок cisco 4948-10ge и cisco 3750e. Заволокли на 3750, 400 SVI, все отлично, все работает, загрузка CPU в пределах 20%, но смущает то что Unicast MAC addresses 6K и Unicast routes 8K это ее максимум, для меня это мало. Настроил 4948, затянул на нее только 200 SVI и тут она уже начала срать кирпичами Это график на 400 SVI Начали разбираться, лезет паразитный трафик без ipsrcdst и portdst, цыска кидает его на проц и начинает погибать. И вот собственно что делать, cisco 4948-10ge устраивает по количествам роутов и мак таблицы, но не устраивает что она при малейшем флуде включает Валеру. Сisco 3750e устраивает во всем, кроме Unicast MAC addresses 6K и Unicast routes 8K. Если у кого нибудь опыт эксплуатации cisco 4948, может чего то упустил в настройке? Или посоветуйте железку по устойчивости как 3550/3750 но только с большим запасом таблиц мак адерсов и роутов. Изменено 24 сентября, 2015 пользователем FATHER_FBI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 24 сентября, 2015 · Жалоба ну так может Control plane policy прикрутить? мануалы вроде есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 24 сентября, 2015 (изменено) · Жалоба 6503(4)+sup32-10g Изменено 24 сентября, 2015 пользователем SyJet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 24 сентября, 2015 · Жалоба Кольца используете? Какие процессы в топе во время пиков? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 24 сентября, 2015 (изменено) · Жалоба 6503(4)+sup32-10g Думали об этом, но шеститонник энергии жрет как маленькое государство в Африке. Кольца используете? Какие процессы в топе во время пиков? Эта железка в кольце не участвует, задача у железки только одна ip unnumbered Весь проц выжирает Cat4k Mgmt LoPri Изменено 24 сентября, 2015 пользователем FATHER_FBI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 24 сентября, 2015 · Жалоба Эта железка в кольце не участвует, задача у железки только одна ip unnumbered Весь проц выжирает Cat4k Mgmt LoPri То есть bpdu на порты попадать не должны или таки попадают? Счётчики TC растут или нет? Как unnumbered интерфейсы настроены? Конфиг можете показать? Посмотрите здесь - http://www.cisco.com/c/en/us/support/docs/switches/catalyst-4000-series-switches/65591-cat4500-high-cpu.html Так как планируем 4948E для такой же задачи то я заинтересован в разборе такого явления Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 24 сентября, 2015 · Жалоба Вам то только суп и питать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 24 сентября, 2015 · Жалоба То есть bpdu на порты попадать не должны или таки попадают? Счётчики TC растут или нет? Как unnumbered интерфейсы настроены? Конфиг можете показать? Посмотрите здесь - http://www.cisco.com...0-high-cpu.html Так как планируем 4948E для такой же задачи то я заинтересован в разборе такого явления interface Loopback1 ip address 10.1.12.1 255.255.252.0 secondary ip address **.**.84.1 255.255.252.0 secondary ip address **.**.94.1 255.255.254.0 secondary ip address **.**.54.1 255.255.254.0 secondary ip address **.**.34.1 255.255.254.0 secondary ip address **.**.32.1 255.255.224.0 secondary ip address **.**.76.1 255.255.252.0 ! interface Port-channel1 description sw111.2p38-39 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 233,251,1401-1409,1411-1423,1425-1431,1601-1755 switchport trunk allowed vlan add 1759-1786,1788-1800 switchport mode trunk switchport block multicast switchport block unicast spanning-tree bpdufilter enable interface Vlan701 ip unnumbered Loopback1 ip helper-address 91.**.**.** no ip redirects no ip unreachables ip route-cache policy ip policy route-map redir Снятие route mat эффекта не давало. Когда слили зеркало трафика которые бежит через CPU все пакеты были были IpSrcDst 0.0.0.0 или отсутствовал SrcPortDst Сегодня ночью попробую еще раз запустить ее и прикрутить Control plane policy глянем что с этого выйдет. Вам то только суп и питать А есть реальные цифры потребление энергии? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 24 сентября, 2015 · Жалоба а show platform health ? proxy-arp вам нужен? не пробовали local-proxy-arp? на 6500 и me3400g ещё помогает немного снизить загрузку - no ip gratuitous-arps Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 24 сентября, 2015 · Жалоба а show platform health ? proxy-arp вам нужен? не пробовали local-proxy-arp? на 6500 и me3400g ещё помогает немного снизить загрузку - no ip gratuitous-arps В show platform health видно что нагрузку дает K2CpuMan Review Сейчас ничего попробовать не могу, потому что железка стоит курит. Сегодня ночью снова заверну на нее трафик и буду что-то думать, пока что в голову пришла только одна мысль, слить зеркало с CPU, смотреть что за трафик и зарезать его через Control plane policy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 24 сентября, 2015 · Жалоба Из приведённого мануала - "The process that performs software packet forwarding If you see high CPU utilization due to this process, investigate the packets that hit the CPU with use of the show platform cpu packet statistics command." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 24 сентября, 2015 · Жалоба рекомендую google: "4948 Control Plane Policing" И ещё вроде в 4948 есть mls rate-limit, если неохота писать политики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 24 сентября, 2015 · Жалоба Да тут смело можно начинать с рейт-лимита на arp в copp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 24 сентября, 2015 · Жалоба Из приведённого мануала - "The process that performs software packet forwarding If you see high CPU utilization due to this process, investigate the packets that hit the CPU with use of the show platform cpu packet statistics command." show platform cpu packet statistics Packets Dropped In Hardware By CPU Subport (txQueueNotAvail) CPU Subport TxQueue 0 TxQueue 1 TxQueue 2 TxQueue 3 ------------ --------------- --------------- --------------- --------------- 0 0 859 0 26296254 6 0 0 7295 14672865 RkiosSysPacketMan: Packet allocation failures: 0 Packet Buffer(Software Common) allocation failures: 0 Packet Buffer(Software ESMP) allocation failures: 0 Packet Buffer(Software EOBC) allocation failures: 0 Packet Buffer(Software SupToSup) allocation failures: 0 IOS Packet Buffer Wrapper allocation failures: 0 Packets Dropped In Processing Overall Total 5 sec avg 1 min avg 5 min avg 1 hour avg -------------------- --------- --------- --------- ---------- 5802035 0 0 0 0 Packets Dropped In Processing by CPU event Event Total 5 sec avg 1 min avg 5 min avg 1 hour avg ----------------- -------------------- --------- --------- --------- ---------- Input Acl 5801329 0 0 0 0 SA Miss 23 0 0 0 0 L2 Forward 5 0 0 0 0 Packets Dropped In Processing by Priority Priority Total 5 sec avg 1 min avg 5 min avg 1 hour avg ----------------- -------------------- --------- --------- --------- ---------- Normal 3875597 0 0 0 0 Medium 14778 0 0 0 0 High 1912273 0 0 0 0 Crucial 65 0 0 0 0 Packets Dropped In Processing by Reason Reason Total 5 sec avg 1 min avg 5 min avg 1 hour avg ------------------ -------------------- --------- --------- --------- ---------- SrcAddrTableFilt 2 0 0 0 0 STPDrop 21 0 0 0 0 L2DstDrop 5 0 0 0 0 NoDstPorts 4475152 0 0 0 0 NoFloodPorts 1326855 0 0 0 0 Total packet queues 16 Packets Received by Packet Queue Queue Total 5 sec avg 1 min avg 5 min avg 1 hour avg ---------------------- --------------- --------- --------- --------- ---------- L2/L3Control 9650933 0 0 0 0 Host Learning 898512 0 0 0 0 L3 Fwd High 20779203 0 0 0 0 L3 Fwd Medium 161515259 0 0 0 0 L3 Fwd Low 1529486174 0 0 0 0 L2 Fwd High 125 0 0 0 0 L2 Fwd Medium 163315 0 0 0 0 L2 Fwd Low 40230401 0 0 0 0 L3 Rx High 172530 0 0 0 0 L3 Rx Low 9191344 0 0 0 0 Packets Dropped by Packet Queue Queue Total 5 sec avg 1 min avg 5 min avg 1 hour avg ---------------------- --------------- --------- --------- --------- ---------- L2/L3Control 629584 0 0 0 0 Host Learning 735 0 0 0 0 L3 Fwd High 82 0 0 0 0 L3 Fwd Medium 197916 0 0 0 0 L3 Fwd Low 7573203 0 0 0 0 L2 Fwd Low 1796 0 0 0 0 L3 Rx Low 70377 0 0 0 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 24 сентября, 2015 · Жалоба То же самое во время высокой загрузки бы посмотреть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 24 сентября, 2015 · Жалоба 6503(4)+sup32-10g Думали об этом, но шеститонник энергии жрет как маленькое государство в Африке. Используем 4900M для таких целей, получается что-то около 300Вт. При доступности недорогих свитчиков 10G-агрегации можно обойтись пустой коробкой, без лайнкарт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 24 сентября, 2015 · Жалоба Да тут смело можно начинать с рейт-лимита на arp в copp. Тут похоже не всё так просто: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/54sg/configuration/guide/config/cntl_pln.pdf "ARP policing is not supported on either the classic series supervisor engines or fixed configuration switches. It is supported on the Catalyst 4900M and 4948E switches, Supervisor Engine 6-E, and Supervisor Engine 6L-E." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 24 сентября, 2015 · Жалоба Мб есть mls rate-limit unicast cef? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 24 сентября, 2015 · Жалоба Тут похоже не всё так просто: серьезно? cisco 4948-10ge 4948#sh inv NAME: "Switch System", DESCR: "Cisco Systems, Inc. WS-C4948-10GE 1 slot switch " 4948#conf t Enter configuration commands, one per line. End with CNTL/Z. 4948(config)#macro global apply system-cpp 4948(config)#class-map match-all system-cpp-arp 4948(config-cmap)#match protocol arp 4948(config-cmap)#exit 4948(config)#policy-map system-cpp-policy 4948(config-pmap)#class system-cpp-arp 4948(config-pmap-c)#police 64k 8k co tr ex dr 4948(config-pmap-c)#end 4948#sh policy-map control-plane input class system-cpp-arp Control Plane Service-policy input: system-cpp-policy Class-map: system-cpp-arp (match-all) 815 packets Match: protocol arp police: Per-interface Conform: 0 bytes Exceed: 0 bytes как бы все... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 24 сентября, 2015 · Жалоба LoPri может спокойно жрать весь проц, серьезных проблем это не должно вызывать, все важное имеет больший приоритет. При флуде (если там не гигабиты) проц на цисках 100% но клиенты фактически не замечают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 24 сентября, 2015 · Жалоба как бы все... А ios какой? Я привёл цитату из мануала по 12.2-54SG. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 24 сентября, 2015 · Жалоба А ios какой? cat4500-entservices-mz.150-2.SG8.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 24 сентября, 2015 (изменено) · Жалоба перевел часть трафика, прикрутил plane policy class-map match-all system-cpp-arp match protocol arp class-map match-all system-cpp-cdp match access-group name system-cpp-cdp class-map match-all system-cpp-pim match access-group name system-cpp-pim class-map match-all system-cpp-pppoe-disc match access-group name system-cpp-pppoe-disc class-map match-all system-cpp-bpdu-range match access-group name system-cpp-bpdu-range class-map match-all system-cpp-hsrpv2 match access-group name system-cpp-hsrpv2 class-map match-all system-cpp-dhcp-cs match access-group name system-cpp-dhcp-cs class-map match-all system-cpp-dhcp-sc match access-group name system-cpp-dhcp-sc class-map match-all system-cpp-all-systems-on-subnet match access-group name system-cpp-all-systems-on-subnet class-map match-all system-cpp-all-routers-on-subnet match access-group name system-cpp-all-routers-on-subnet class-map match-all system-cpp-ripv2 match access-group name system-cpp-ripv2 class-map match-all system-cpp-mcast-cfm match access-group name system-cpp-mcast-cfm class-map match-all system-cpp-dot1x match access-group name system-cpp-dot1x class-map match-all system-cpp-ucast-cfm match access-group name system-cpp-ucast-cfm class-map match-all system-cpp-dhcp-ss match access-group name system-cpp-dhcp-ss class-map match-all system-cpp-sstp match access-group name system-cpp-sstp class-map match-all system-cpp-ospf match access-group name system-cpp-ospf class-map match-all system-cpp-lldp match access-group name system-cpp-lldp class-map match-all system-cpp-igmp match access-group name system-cpp-igmp class-map match-all system-cpp-ip-mcast-linklocal match access-group name system-cpp-ip-mcast-linklocal class-map match-all system-cpp-cgmp match access-group name system-cpp-cgmp ! ! policy-map system-cpp-policy class system-cpp-dot1x class system-cpp-lldp class system-cpp-bpdu-range class system-cpp-cdp class system-cpp-sstp class system-cpp-cgmp class system-cpp-mcast-cfm class system-cpp-ucast-cfm class system-cpp-pppoe-disc class system-cpp-ospf class system-cpp-igmp police 64 kbps 8 kbyte conform-action transmit exceed-action drop class system-cpp-pim class system-cpp-all-systems-on-subnet class system-cpp-all-routers-on-subnet class system-cpp-ripv2 class system-cpp-hsrpv2 class system-cpp-ip-mcast-linklocal class system-cpp-dhcp-cs class system-cpp-dhcp-sc class system-cpp-dhcp-ss class system-cpp-arp police 32 kbps 8 kbyte conform-action transmit exceed-action drop Теперь осталось подождать полдень, когда будет трафик Изменено 25 сентября, 2015 пользователем FATHER_FBI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 25 сентября, 2015 (изменено) · Жалоба Вам то только суп и питать А есть реальные цифры потребление энергии? Router#show power status all Power-Capacity PS-Fan Output Oper PS Type Watts A @42V Status Status State ---- ------------------ ------- ------ ------ ------ ----- 1 PWR-2700-AC/4 2669.10 63.55 OK OK on 2 none Pwr-Allocated Oper Fan Type Watts A @42V State ---- ------------------ ------- ------ ----- 1 FAN-MOD-4HS 57.54 1.37 OK Pwr-Requested Pwr-Allocated Admin Oper Slot Card-Type Watts A @42V Watts A @42V State State ---- ------------------ ------- ------ ------- ------ ----- ----- 1 WS-SUP32-GE-3B 154.98 3.69 154.98 3.69 on on 2 (Redundant Sup) - - 154.98 3.69 - - Router# 2 (Redundant Sup) - - 154.98 3.69 - - ~200-250w в пределе разве много? Как пару лампочек 100w Изменено 25 сентября, 2015 пользователем SyJet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 25 сентября, 2015 · Жалоба Вам то только суп и питать А есть реальные цифры потребление энергии? Router#show power status all Power-Capacity PS-Fan Output Oper PS Type Watts A @42V Status Status State ---- ------------------ ------- ------ ------ ------ ----- 1 PWR-2700-AC/4 2669.10 63.55 OK OK on 2 none Pwr-Allocated Oper Fan Type Watts A @42V State ---- ------------------ ------- ------ ----- 1 FAN-MOD-4HS 57.54 1.37 OK Pwr-Requested Pwr-Allocated Admin Oper Slot Card-Type Watts A @42V Watts A @42V State State ---- ------------------ ------- ------ ------- ------ ----- ----- 1 WS-SUP32-GE-3B 154.98 3.69 154.98 3.69 on on 2 (Redundant Sup) - - 154.98 3.69 - - Router# 2 (Redundant Sup) - - 154.98 3.69 - - ~200-250w в пределе разве много? Как пару лампочек 100w В принципе копейки. Если 49 цыска не оправдает надежд, будем смотреть в сторону шеститонника Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...