[ayf]

Коллеги,  приветствую. Стоит у меня циска 1002. 5 лет отработала, начался какой-то непорядок. Загрузка процессора стала прыгать до 80-90%. Посмотрел, что грузит. Жалуется на snmp и ip input.  Ну snmp стер, посмотрел загрузку. Вроде стала поменьше. Трафик идет примерно 300-400 Мегабит/с. Почитал форумы, посоветовался. Сказали заменить иос, ибо был баг в нем, как раз snmp.  Заменил. Айсар стал падать. Нехватка оперативки. А её там не увеличить. Откатил. Почитал. В 2013 году были проблемы. Циска не советует держать на одной железке ipoe и Nat overload. Вот теперь сижу и думаю, куда наты выносить? На чем поднимать? Что посоветуете? Или не все так критично и можно подобрать стабильный иос?

[s.lobanov]

Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом

 

А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k

 

Какие у вас требования по netflow? Надо/не надо/какой формат?

[zhenya`]

Бгп есть? Soft-reconfiguration inbound выключен на пирах?

[VolanD666]

Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки.

 

Ну либо косяк в конфигурации

[AlKov]

9 часов назад, s.lobanov сказал:

Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом

 

А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k

Не просто смеяться, а радостно ржать! :-)

Intel Xeon E3-1271(4 ядра), 16Г памяти, две Intel 82576 сетевухи в бондинге, CentOS 6.9.

Всё это в ЧНН NAT-ит следующее:

1. 1,2 Гбит/с траф при 1,2 Mpps

2. 136k conntrack

3. ipt_netflow с nat_events

Плюс к этому маршрутизация (~ 1300 маршрутов RIP), фаервол, radius и mysql.

Всё это хозяйство в ЧНН грузит CPU аж на 9-11%

 

[ayf]

10 часов назад, s.lobanov сказал:

Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом

 

А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k

 

Какие у вас требования по netflow? Надо/не надо/какой формат?

Netflow v9 надо.

 

4 часа назад, zhenya` сказал:

Бгп есть? Soft-reconfiguration inbound выключен на пирах?

2 bgp full view. Насчет софт реконфигурайшен проверю. А надо выключить или включить?;)

 

4 часа назад, VolanD666 сказал:

Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки.

 

Ну либо косяк в конфигурации

Софт ищется. Попозже скину, Что на что менял.

[zhenya`]

Ipt_netflow есть. Он умеет натевенты.

 

 

Выключить конечно.  У вас коробка падает или cef отключается?

[s.lobanov]

8 часов назад, VolanD666 сказал:

Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки.

 

Ну либо косяк в конфигурации

За 2 года эксплуатации asr1k я так и не подобрал идеального ios, чтобы не было ни одной проблемы с nat. в итоге остановился на каком-то где была трабла только с PPTP ALG, но в каждом ios был разный набор багов. Если у ТС ещё и очень сложный конфиг, то скорее всего придётся разносить

 

1 час назад, zhenya` сказал:

Ipt_netflow есть. Он умеет натевенты.

 

Это понятно, но, возможно, что СОРМ у ТС уже заточен под netflow с asr1k с port-range'ами и т.д. и т.п., поэтому надо смотреть по формату (по составу данных в netflow). linux iptables/netfilter не умеет все эти модные штуки типа PBA и т.п.

[zhenya`]

Что-то подсказывает, что как раз сормы реализуют более универсальное (то есть без bpa) в первую очередь..

[ayf]

2 часа назад, zhenya` сказал:

Ipt_netflow есть. Он умеет натевенты.

 

 

Выключить конечно.  У вас коробка падает или cef отключается?

Коробка. Уходит в перезагрузку.

[zhenya`]

Софт реконфиг смотрите..

что-то мне подсказывает, что вынос ната не поможет. Так как кончается память на RP.

[ayf]

1 час назад, zhenya` сказал:

Софт реконфиг смотрите..

что-то мне подсказывает, что вынос ната не поможет. Так как кончается память на RP.

Софт реконфиг в конфиги отсутствует.

[Antares]

9 часов назад, AlKov сказал:

1. 1,2 Гбит/с траф при 1,2 Mpps

может 12 гбит??? хотя сетевухи столько не прожуют или что у вас за трафик

[zhenya`]

3 часа назад, ayf сказал:

Софт реконфиг в конфиги отсутствует.

Найдите на коробке крашдамп и скиньте содержимое на пастебин.

[ayf]

1 час назад, zhenya` сказал:

Найдите на коробке крашдамп и скиньте содержимое на пастебин.

Прошу прощения, куда кинуть?

[fork]

https://pastebin.com/

[ayf]

До замены иоса стояла версия: bootflash:/asr1000rp1-advipservicesk9.03.09.02.S.153-2.S2.bin

Крашить стало вот с этим: /bootflash/asr1000rp1-adventerprisek9.03.16.08.S.155-3.S8-ext.bin

[VolanD666]

Конфиг покажите