ayf Опубликовано 12 ноября, 2018 · Жалоба Коллеги, приветствую. Стоит у меня циска 1002. 5 лет отработала, начался какой-то непорядок. Загрузка процессора стала прыгать до 80-90%. Посмотрел, что грузит. Жалуется на snmp и ip input. Ну snmp стер, посмотрел загрузку. Вроде стала поменьше. Трафик идет примерно 300-400 Мегабит/с. Почитал форумы, посоветовался. Сказали заменить иос, ибо был баг в нем, как раз snmp. Заменил. Айсар стал падать. Нехватка оперативки. А её там не увеличить. Откатил. Почитал. В 2013 году были проблемы. Циска не советует держать на одной железке ipoe и Nat overload. Вот теперь сижу и думаю, куда наты выносить? На чем поднимать? Что посоветуете? Или не все так критично и можно подобрать стабильный иос? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 ноября, 2018 · Жалоба Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k Какие у вас требования по netflow? Надо/не надо/какой формат? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 ноября, 2018 · Жалоба Бгп есть? Soft-reconfiguration inbound выключен на пирах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 ноября, 2018 · Жалоба Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки. Ну либо косяк в конфигурации Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 13 ноября, 2018 · Жалоба 9 часов назад, s.lobanov сказал: Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k Не просто смеяться, а радостно ржать! :-) Intel Xeon E3-1271(4 ядра), 16Г памяти, две Intel 82576 сетевухи в бондинге, CentOS 6.9. Всё это в ЧНН NAT-ит следующее: 1. 1,2 Гбит/с траф при 1,2 Mpps 2. 136k conntrack 3. ipt_netflow с nat_events Плюс к этому маршрутизация (~ 1300 маршрутов RIP), фаервол, radius и mysql. Всё это хозяйство в ЧНН грузит CPU аж на 9-11% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 13 ноября, 2018 · Жалоба 10 часов назад, s.lobanov сказал: Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k Какие у вас требования по netflow? Надо/не надо/какой формат? Netflow v9 надо. 4 часа назад, zhenya` сказал: Бгп есть? Soft-reconfiguration inbound выключен на пирах? 2 bgp full view. Насчет софт реконфигурайшен проверю. А надо выключить или включить?;) 4 часа назад, VolanD666 сказал: Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки. Ну либо косяк в конфигурации Софт ищется. Попозже скину, Что на что менял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 ноября, 2018 · Жалоба Ipt_netflow есть. Он умеет натевенты. Выключить конечно. У вас коробка падает или cef отключается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 ноября, 2018 · Жалоба 8 часов назад, VolanD666 сказал: Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки. Ну либо косяк в конфигурации За 2 года эксплуатации asr1k я так и не подобрал идеального ios, чтобы не было ни одной проблемы с nat. в итоге остановился на каком-то где была трабла только с PPTP ALG, но в каждом ios был разный набор багов. Если у ТС ещё и очень сложный конфиг, то скорее всего придётся разносить 1 час назад, zhenya` сказал: Ipt_netflow есть. Он умеет натевенты. Это понятно, но, возможно, что СОРМ у ТС уже заточен под netflow с asr1k с port-range'ами и т.д. и т.п., поэтому надо смотреть по формату (по составу данных в netflow). linux iptables/netfilter не умеет все эти модные штуки типа PBA и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 ноября, 2018 · Жалоба Что-то подсказывает, что как раз сормы реализуют более универсальное (то есть без bpa) в первую очередь.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 13 ноября, 2018 · Жалоба 2 часа назад, zhenya` сказал: Ipt_netflow есть. Он умеет натевенты. Выключить конечно. У вас коробка падает или cef отключается? Коробка. Уходит в перезагрузку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 ноября, 2018 · Жалоба Софт реконфиг смотрите.. что-то мне подсказывает, что вынос ната не поможет. Так как кончается память на RP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 13 ноября, 2018 · Жалоба 1 час назад, zhenya` сказал: Софт реконфиг смотрите.. что-то мне подсказывает, что вынос ната не поможет. Так как кончается память на RP. Софт реконфиг в конфиги отсутствует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 13 ноября, 2018 · Жалоба 9 часов назад, AlKov сказал: 1. 1,2 Гбит/с траф при 1,2 Mpps может 12 гбит??? хотя сетевухи столько не прожуют или что у вас за трафик Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 ноября, 2018 · Жалоба 3 часа назад, ayf сказал: Софт реконфиг в конфиги отсутствует. Найдите на коробке крашдамп и скиньте содержимое на пастебин. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 13 ноября, 2018 · Жалоба 1 час назад, zhenya` сказал: Найдите на коробке крашдамп и скиньте содержимое на пастебин. Прошу прощения, куда кинуть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 13 ноября, 2018 · Жалоба https://pastebin.com/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 13 ноября, 2018 · Жалоба До замены иоса стояла версия: bootflash:/asr1000rp1-advipservicesk9.03.09.02.S.153-2.S2.bin Крашить стало вот с этим: /bootflash/asr1000rp1-adventerprisek9.03.16.08.S.155-3.S8-ext.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 14 ноября, 2018 · Жалоба Конфиг покажите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...