полтора гигабита неизвестного входящего трафика

[ledge5]

Господа, помогите разобраться как определить что за тип трафика генерируется в таком количестве.

Имеется сеть внутри датацентра на нексусах и каталистах

 

Я взял новый 7-тонник, абсолютно пустой, подключил только одним 10гбитным портом порт-чаннелом к корневому свитчу и поднял только один (служебный) влан, в котором трафика нет , от силы мегабит изза всяких мониторинговых сервисов типа nagios, solarwinds и тд.

А мне туда дуром прет 1,5 гигабита непонятного трафика

Пробовал смотреть по debug ip - ничего крамольного не увидел кроме редких запросов по snmp от nagios и проч. Откуда там 1,5 гигабита ума не приложу как разобраться?

Никаких левых бродкастов и мультикастов там тоже нет.

 

вот статистика интерфейса:

sh interface ethernet 7/2

Ethernet7/2 is up

admin state is up, Dedicated Interface

Belongs to Po203

Hardware: 10000 Ethernet, address: 588d.092a.bd21 (bia 588d.092a.bd21)

MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation ARPA, medium is broadcast

Port mode is trunk

full-duplex, 10 Gb/s, media type is 10G

Beacon is turned off

Auto-Negotiation is turned off

Input flow-control is off, output flow-control is off

Auto-mdix is turned off

Rate mode is shared

Switchport monitor is off

EtherType is 0x8100

EEE (efficient-ethernet) : n/a

Last link flapped 47week(s) 0day(s)

Last clearing of "show interface" counters never

1 interface resets

Load-Interval #1: 30 seconds

30 seconds input rate 411440 bits/sec, 274 packets/sec

30 seconds output rate 32 bits/sec, 0 packets/sec

input rate 411.44 Kbps, 274 pps; output rate 32 bps, 0 pps

Load-Interval #2: 5 minute (300 seconds)

300 seconds input rate 518456896 bits/sec, 392109 packets/sec

300 seconds output rate 248 bits/sec, 0 packets/sec

input rate 518.46 Mbps, 392.11 Kpps; output rate 248 bps, 0 pps

RX

61090394002 unicast packets 786080060 multicast packets 1076931002 broadca

st packets

62953405064 input packets 11054425864888 bytes

0 jumbo packets 0 storm suppression packets

0 runts 0 giants 0 CRC/FCS 0 no buffer

0 input error 0 short frame 0 overrun 0 underrun 0 ignored

0 watchdog 0 bad etype drop 0 bad proto drop 0 if down drop

0 input with dribble 689370 input discard

0 Rx pause

TX

19927366 unicast packets 1424129 multicast packets 3 broadcast packets

21351498 output packets 4502242438 bytes

0 jumbo packets

0 output error 0 collision 0 deferred 0 late collision

0 lost carrier 0 no carrier 0 babble 0 output discard

0 Tx pause

 

sh port-channel sum

Flags: D - Down P - Up in port-channel (members)

I - Individual H - Hot-standby (LACP only)

s - Suspended r - Module-removed

S - Switched R - Routed

U - Up (port-channel)

M - Not in use. Min-links not met

--------------------------------------------------------------------------------

Group Port- Type Protocol Member Ports

Channel

--------------------------------------------------------------------------------

203 Po203(SU) Eth LACP Eth7/2(P)

 

 

 

interface port-channel203

switchport

switchport mode trunk

switchport trunk allowed vlan 7,9,24,31,95,100,521-522

spanning-tree port-priority 192

spanning-tree cost 200000000

logging event port link-status

logging event port trunk-status

 

 

 

-------------------------------------------------------------------------------

Interface Secondary VLAN(Type) Status Reason

-------------------------------------------------------------------------------

Vlan1 -- down Administratively down

Vlan9 -- up --

Vlan265 -- down VLAN is down

 

 

Software

BIOS: version 3.22.0

kickstart: version 6.2(14)

system: version 6.2(14)

BIOS compile time: 02/20/10

kickstart image file is: bootflash:///n7000-s1-kickstart.6.2.14.bin

kickstart compile time: 7/27/2015 9:00:00 [08/27/2015 22:41:26]

system image file is: bootflash:///n7000-s1-dk9.6.2.14.bin

system compile time: 7/27/2015 9:00:00 [08/28/2015 00:31:27]

 

 

Hardware

cisco Nexus7000 C7010 (10 Slot) Chassis ("Supervisor Module-1X")

Intel® Xeon® CPU with 8260692 kB of memory.

 

Где покопаться, чтобы определить что это за трафик?

Edited April 25, 2017 by ledge5

[orlik]

копаться на коробке куда подключили . может это unknown unicast ?

 

а вообще у вас вроде и трафика не много.

 

Load-Interval #1: 30 seconds
30 seconds input rate 411440 bits/sec, 274 packets/sec
30 seconds output rate 32 bits/sec, 0 packets/sec

[maxkst]

Load-Interval #1: 30 seconds

30 seconds input rate 411440 bits/sec, 274 packets/sec

30 seconds output rate 32 bits/sec, 0 packets/sec

input rate 411.44 Kbps, 274 pps; output rate 32 bps, 0 pps

 

Трафик судя по этому интервалу не постоянный. Почему бы не активировать SNMP и не порисовать графики для этого физ.интерфейса и вилана отдельно?

[catalist]

30 seconds input rate 411440 bits/sec, 274 packets/sec

всего то 0,4 мегабита, где вы тут 1.5 гигабита увидели?

 

заверините в миррор спан и там смотрите.

[uxcr]

У вас при включении нового устройства в какой-то толстый влан с кучей сетей произошёл сброс топологии spanning-tree.

Да, явно unknown unicast.

 

orlik

Полгига в 300seconds

[ledge5]

как только сюда написал, трафик тут же и упал :)

сделал график в cacti, посмотрим, что завтра будет, трафик судя по всему не постоянный

[maxkst]

Просто интересуюсь, а в дата-центрах используют STP?

 

как только сюда написал, трафик тут же и упал :)

сделал график в cacti, посмотрим, что завтра будет, трафик судя по всему не постоянный

Статистика с какого устройства идет? трафик то исходящий рисуется, а вначале был input rate 518.46 Mbps, 392.11 Kpps;

[ledge5]

Статистика с какого устройства идет? трафик то исходящий рисуется, а вначале был input rate 518.46 Mbps, 392.11 Kpps;

 

с того, в который я 7митонник воткнул

Ну на самом 7митоннике эта стата тоже видна

[ilili]

786080060 multicast packets 1076931002 broadcast packets

Что-то подозрительно )

[maxkst]

62953405064 input packets 61090394002 unicast packets а это не подозрительно? :-)

[YuryD]

Ну подозрительно, а контрольный вопрос - счётчики обнуляли ? А то за лет пяток там и не такое накапает. Похоже на криво сконфигурованное кольцо, не все вланы в нём прописаны.

[maruk]

Просто интересуюсь, а в дата-центрах используют STP?

 

бывает...

особенно когда старый DC работает на 65К и не в VSS и требуется плавно смигрировать на Nexus-ы.

[rover-lt]

Просто интересуюсь, а в дата-центрах используют STP?

Просто интересуюсь, а есть другие варианты? Или надо его просто отключать? Ну, чтоб модно было, стильно и молодежно.

 

Просто интересуюсь, а в дата-центрах используют STP?

 

бывает...

особенно когда старый DC работает на 65К и не в VSS и требуется плавно смигрировать на Nexus-ы.

то есть на нексусах СТП не нужен?

Edited April 27, 2017 by rover-lt

[maxkst]

Просто интересуюсь, а есть другие варианты? Или надо его просто отключать? Ну, чтоб модно было, стильно и молодежно.

Я просто думал, что в датацентрах это на L3 реализовано...

[maruk]

то есть на нексусах СТП не нужен?

 

ненужен если fabricpath,

если нет fabricpath то все по классике, STP со всеми вытекающими вкусняшками,

с той лишь разницей, что CORE и EDGE свитчи группируются в vPC и подключаются между собой port channel.

 

Просто интересуюсь, а есть другие варианты? Или надо его просто отключать? Ну, чтоб модно было, стильно и молодежно.

Я просто думал, что в датацентрах это на L3 реализовано...

 

если взрослая схема, когда в ядре N77K а на агрегацию N55(56) и с лицензией feature-set fabricpath

то будет L3, ну точней ISIS в качестве Control Plane для коммутации.

[applx]

помимо ваших устарелых FabricPath / TRILL есть VXLAN / EVPN, STP полюбому есть на ToR свичах смотряшии на хосты

[maruk]

есть VXLAN

 

согласен, модный тренд...

 

STP полюбому есть на ToR свичах смотряшии на хосты

 

с чего бы это?

STP на ToR свичах это опционально,

нафига мне STP если у меня Po и vPC в сторону хостов?

[applx]

есть VXLAN

 

согласен, модный тренд...

 

STP полюбому есть на ToR свичах смотряшии на хосты

 

с чего бы это?

STP на ToR свичах это опционально,

нафига мне STP если у меня Po и vPC в сторону хостов?

 

best practice. ну а то что дурак залупит вам два порта и положет весь ДЦ?

[maruk]

best practice.

 

это спорный best practice

 

ну а то что дурак залупит вам два порта и положет весь ДЦ?

 

давайте разберем конкретные примеры.

 

полно хостов которые банально не умеют работать даже с STP,

начиная от standalone, на которых собираются bonding active - active линки,

или к примеру HP Virtual Connect FlexFabric.

В ситуациях когда подключаются корзины блейд-центров с полноценным коммутатором, этот коммутатор должны настраивать те же сетевые специалисты, которые администрируют и Nexus-ы.

[applx]

best practice.

 

это спорный best practice

 

тоесть с вендором вы спорить будите какой у них best practice? почитайте Cisco CVD.

 

ну а то что дурак залупит вам два порта и положет весь ДЦ?

 

давайте разберем конкретные примеры.

 

полно хостов которые банально не умеют работать даже с STP,

начиная от standalone, на которых собираются bonding active - active линки,

или к примеру HP Virtual Connect FlexFabric.

В ситуациях когда подключаются корзины блейд-центров с полноценным коммутатором, этот коммутатор должны настраивать те же сетевые специалисты, которые администрируют и Nexus-ы.

 

STP Toolkit без STP работать не будет. вы STP глобально вурубаите как здешние народые умельцы?

[myth]

ну, на абонентских портах точно вырубаю

[maruk]

ну, на абонентских портах точно вырубаю

 

именно! STP выключен на downlink в сторону хостов/серверов.

[uxcr]

bpdufilter мало.

Гугл "topology change bit" и "unicast flood".

[applx]

ну, на абонентских портах точно вырубаю

 

именно! STP выключен на downlink в сторону хостов/серверов.

молодцы конечно...

[myth]

молодцы конечно...

А нафига он там нужен?