megahertz0 Posted June 18, 2019 · Report post Есть один шеститонник. Вот такой: Скрытый текст ch19-ck6#sh ver Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9_WAN-M), Version 12.2(33)SXI13, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2014 by Cisco Systems, Inc. Compiled Tue 11-Mar-14 04:53 by prod_rel_team ROM: System Bootstrap, Version 12.2(17r)S2, RELEASE SOFTWARE (fc1) ch19-ck6 uptime is 5 years, 1 week, 1 day, 4 hours, 59 minutes Uptime for this control processor is 5 years, 1 week, 1 day, 2 hours, 44 minutes Time since ch19-ck6 switched to active is 4 years, 49 weeks, 1 day, 4 hours, 3 minutes System returned to ROM by reload at 08:47:56 UTC Mon Feb 3 2014 (SP by power on) System restarted at 14:36:32 MSK Wed Jun 11 2014 System image file is "disk0:s72033-adventerprisek9_wan-mz.122-33.SXI13.bin" Last reload reason: reload This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. cisco WS-C6509-E (R7000) processor (revision 1.4) with 458720K/65536K bytes of memory. Processor board ID SMG1142NDSU SR71000 CPU at 600Mhz, Implementation 0x504, Rev 1.2, 512KB L2 Cache Last reset from power-on 4294967295 Ethernet interfaces 66 Virtual Ethernet interfaces 148 Gigabit Ethernet interfaces 32 Ten Gigabit Ethernet interfaces 1917K bytes of non-volatile configuration memory. 8192K bytes of packet buffer memory. 65536K bytes of Flash internal SIMM (Sector size 512K). Configuration register is 0x2102 Скрытый текст ch19-ck6#sh module Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL12448NP0 2 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL12437EV2 3 48 CEF720 48 port 1000mb SFP WS-X6748-SFP JAF1244ANGL 4 8 CEF720 8 port 10GE with DFC WS-X6708-10GE SAL1210HT1F 5 2 Supervisor Engine 720 (Hot) WS-SUP720-3B SAL1105G24F 6 2 Supervisor Engine 720 (Active) WS-SUP720-3B SAL09518EMP 7 8 CEF720 8 port 10GE with DFC WS-X6708-10GE SAL114995Z4 8 8 CEF720 8 port 10GE with DFC WS-X6708-10GE SAL15077DZT 9 8 CEF720 8 port 10GE with DFC WS-X6708-10GE SAL1210HSSN Mod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ------------ ------- 1 0023.5ebc.d5d0 to 0023.5ebc.d5ff 3.0 12.2(18r)S1 12.2(33)SXI1 Ok 2 0023.5e08.c5b0 to 0023.5e08.c5df 3.0 12.2(18r)S1 12.2(33)SXI1 Ok 3 0022.9081.f028 to 0022.9081.f057 1.12 12.2(14r)S5 12.2(33)SXI1 Ok 4 001d.4577.6cc0 to 001d.4577.6cc7 1.4 12.2(18r)S1 12.2(33)SXI1 Ok 5 0016.c85e.7194 to 0016.c85e.7197 5.3 8.4(2) 12.2(33)SXI1 Ok 6 0013.c31f.ee48 to 0013.c31f.ee4b 4.4 8.1(3) 12.2(33)SXI1 Ok 7 001a.6c9e.dba0 to 001a.6c9e.dba7 1.3 12.2(18r)S1 12.2(33)SXI1 Ok 8 e05f.b974.5648 to e05f.b974.564f 2.3 12.2(18r)S1 12.2(33)SXI1 Ok 9 001d.4577.66f0 to 001d.4577.66f7 1.4 12.2(18r)S1 12.2(33)SXI1 Ok Mod Sub-Module Model Serial Hw Status ---- --------------------------- ------------------ ----------- ------- ------- 1 Distributed Forwarding Card WS-F6700-DFC3B SAL11391UAB 4.6 Ok 2 Centralized Forwarding Card WS-F6700-CFC SAL1320Q88R 4.1 Ok 3 Distributed Forwarding Card WS-F6700-DFC3B SAL10478UB1 4.4 Ok 4 Distributed Forwarding Card WS-F6700-DFC3C SAL1212K1WD 1.0 Ok 5 Policy Feature Card 3 WS-F6K-PFC3B SAL1106G4CR 2.3 Ok 5 MSFC3 Daughterboard WS-SUP720 SAL1105G0U9 2.6 Ok 6 Policy Feature Card 3 WS-F6K-PFC3B SAL09507RQV 2.1 Ok 6 MSFC3 Daughterboard WS-SUP720 SAL09518FSR 2.3 Ok 7 Distributed Forwarding Card WS-F6700-DFC3C SAL1201BZYG 1.0 Ok 8 Distributed Forwarding Card WS-F6700-DFC3C SAL15067220 1.4 Ok 9 Distributed Forwarding Card WS-F6700-DFC3C SAL1212JV9K 1.0 Ok Mod Online Diag Status ---- ------------------- 1 Pass 2 Pass 3 Pass 4 Pass 5 Pass 6 Pass 7 Pass 8 Pass 9 Pass В последнее время стали замечать трафик на супервизор: Скрытый текст ch19-ck6# sh platform hardware capacity ibc IBC Resources Module Packets/sec Total packets Dropped packets 5 RP Rx: 0 2877574 0 Tx: 0 2877574 0 5 SP Rx: 24 1182071640 5 Tx: 0 2877722 0 6 RP Rx: 548 1027761 0 Tx: 224 460363 0 6 SP Rx: 31 2534051477 43 Tx: 92 9094338766 0 Посмотрел через netdr и обратил внимание, что из клиентских сетей домонета (10.23.0.0/16, 10.21.0.0/16) прилетает трафик на сети типа 192.168.0.0/16, примерно так: Скрытый текст ------- dump of incoming inband packet ------- interface Vl4009, routine mistral_process_rx_packet_inlin, timestamp 17:29:24.904 dbus info: src_vlan 0xFA9(4009), src_indx 0x349(841), len 0x96(150) bpdu 0, index_dir 0, flood 0, dont_lrn 0, dest_indx 0x7F0A(32522) 78020000 0FA90000 03490000 96080000 00110544 0E000040 00000000 7F0A2000 mistral hdr: req_token 0x0(0), src_index 0x349(841), rx_offset 0x76(118) requeue 0, obl_pkt 0, vlan 0xFA9(4009) destmac 00.1E.4A.05.08.00, srcmac 00.1D.46.8C.50.6D, protocol 0800 protocol ip: version 0x04, hlen 0x05, tos 0x00, totlen 132, identifier 19770 df 0, mf 0, fo 0, ttl 126, src 10.23.19.11, dst 192.168.1.49 udp src 60712, dst 62856 len 112 checksum 0x2C0D ------- dump of incoming inband packet ------- interface Vl4009, routine mistral_process_rx_packet_inlin, timestamp 17:29:24.908 dbus info: src_vlan 0xFA9(4009), src_indx 0x349(841), len 0x92(146) bpdu 0, index_dir 0, flood 0, dont_lrn 0, dest_indx 0x7F0A(32522) F8020000 0FA90000 03490000 92080000 00110524 0E000040 00000000 7F0A2000 mistral hdr: req_token 0x0(0), src_index 0x349(841), rx_offset 0x76(118) requeue 0, obl_pkt 0, vlan 0xFA9(4009) destmac 00.1E.4A.05.08.00, srcmac 00.1D.46.8C.50.6D, protocol 0800 protocol ip: version 0x04, hlen 0x05, tos 0x00, totlen 128, identifier 12820 df 0, mf 0, fo 0, ttl 63, src 10.23.17.150, dst 192.168.0.101 udp src 61537, dst 58705 len 108 checksum 0xC206 При этом у нас эти сети завернуты в Null: Скрытый текст ch19-ck6#sh ip route 10.0.0.0 255.0.0.0 Routing entry for 10.0.0.0/8 Known via "static", distance 1, metric 0 (connected) Redistributing via bgp 57753, eigrp 57753 Advertised by bgp 57753 Routing Descriptor Blocks: * directly connected, via Null0 Route metric is 0, traffic share count is 1 ch19-ck6#sh ip route 192.168.0.0 255.255.0.0 Routing entry for 192.168.0.0/16, supernet Known via "static", distance 1, metric 0 (connected) Redistributing via bgp 57753, eigrp 57753 Advertised by bgp 57753 Routing Descriptor Blocks: * directly connected, via Null0 Route metric is 0, traffic share count is 1 ch19-ck6#sh ip route 192.168.0.0 Routing entry for 192.168.0.0/24 Known via "static", distance 1, metric 0 (connected) Redistributing via bgp 57753, eigrp 57753 Advertised by bgp 57753 Routing Descriptor Blocks: * directly connected, via Null0 Route metric is 0, traffic share count is 1 ch19-ck6#sh ip route 192.168.1.0 Routing entry for 192.168.1.0/24 Known via "static", distance 1, metric 0 (connected) Redistributing via bgp 57753, eigrp 57753 Advertised by bgp 57753 Routing Descriptor Blocks: * directly connected, via Null0 Route metric is 0, traffic share count is 1 Вот что с CEF: Скрытый текст ch19-ck6#sh ip cef 192.168.0.0 192.168.0.0/24 attached to Null0 ch19-ck6#sh ip cef 10.0.0.0 10.0.0.0/8 attached to Null0 ch19-ck6#sh ip cef 192.168.1.0/24 192.168.1.0/24 attached to Null0 ch19-ck6#sh ip cef 192.168.0.0/24 192.168.0.0/24 attached to Null0 По идее такой трафик должен дропаться CEFом до не долетая до RP, но такой трафик почему-то есть и его видно в netdr на RP. Либо я как-то не так понимаю работу CEF, либо не умею готовит. Подскажите все таки, в чем может быть дело? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted June 18, 2019 · Report post uRPF на клиентских сабах включен? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
megahertz0 Posted June 18, 2019 · Report post 6500 клиентов напрямую не видит, на дальнем конце стоят разные 3750/3560, а клиенты L3-connected. Можно попробовать включить uRPF на 6500 на линковых интерфейсах с 3750/3560, но я бы включал его с осторожностью чтобы ничего не положить. В принципе с дальнего конца клиентские сети приходят через EIGRP и uRPF должен сработать нормально и не отбить ничего лишнего, но лучше сначала подумать что можно прибить ненароком таким образом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted June 18, 2019 · Report post 48 минут назад, megahertz0 сказал: на дальнем конце стоят разные 3750/3560 На 3560/3750 на клиентских вланах включен uRPF? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
megahertz0 Posted June 20, 2019 · Report post В 18.06.2019 в 19:27, uxcr сказал: На 3560/3750 на клиентских вланах включен uRPF? :) 3560 и 3750 urpf не умеют. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted June 20, 2019 · Report post У Вас на втором слоте стоит модуль с платой CFC 2 Centralized Forwarding Card WS-F6700-CFC SAL1320Q88R 4.1 Ok на остальных DFC. Это может приводить к деградации системы до уровня CFC (т.е. все пакеты Л3 для роутинга прилетят на управляющий процессор), я бы на вашем месте проапгрейдил бы CFC минимум до DFC3B - это стоит сущие копейки (30 т.р.). Такая же фигня кстати у Вас с DFC3С из-за DFC3B и PFC3B, установленные DFC3С будут работать как DFC3B :-(. Хотя с вашими управляющими модулями WS-F6K-PFC3B в целом деградация DFC3С неизбежна. Есть смысл заменить CFC, и в зависимости от количества маршрутов прокачать PFC3B минимум до PFC3BXL, а память на модулях DFC3B по максимуму. Чтобы таблицы маршрутизации с центрального модуля влезали целиком на модули управления плат, иначе при большом количестве маршрутов получите опять деградацию системы. То, что Вам нужно для прокачки до DFC3B и PFC3BXL с 1 Мб MFC - стоит на e-bay и авито относительные копейки. Прокачка до PFC3C, а тем более до PFC3CXL - удовольствие не дешевое. Но если модули 8*10G не нагружены межмодульным трафиком, то Вам может это и не нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
megahertz0 Posted June 24, 2019 · Report post Про различия CEF и dCEF я в курсе и про деградацию PFC до минимально установленной тоже. Но я думаю, что дело тут не в выключенном dCEF, а в том, почему некоторый трафик в принципе выпадает из CEF хотя не должен. Лирическое отступление: :) Если уж пошлa речь о прокачке старичка 6500, то надо и SUPы менять на VS-S720-10G-3C чтобы была PFC3C. И WS-F6700-DFC3C (XL talbes мне все равно не нужны) поставить на карточки WS-X6748 чтобы все DFC были одинаковы. Но я в ближайшее время хочу заменить мангал на что-то посовременнее типа Juniper QFX5100 или ACX5048. Потому как дешевле купить современный пицца-бокс (а то и два чтобы один положить на полку) с кучей десяток и QSFP в одном юните и более-менее теми же возможностями как и у 10+ летнего high end от Циски чем апгрейдить мангал 6500. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...