Перейти к содержимому
Калькуляторы

Вопрос по Cisco CEF

Есть один шеститонник. Вот такой:

Скрытый текст

ch19-ck6#sh ver
Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9_WAN-M), Version 12.2(33)SXI13, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Tue 11-Mar-14 04:53 by prod_rel_team

ROM: System Bootstrap, Version 12.2(17r)S2, RELEASE SOFTWARE (fc1)

 ch19-ck6 uptime is 5 years, 1 week, 1 day, 4 hours, 59 minutes
Uptime for this control processor is 5 years, 1 week, 1 day, 2 hours, 44 minutes
Time since ch19-ck6 switched to active is 4 years, 49 weeks, 1 day, 4 hours, 3 minutes
System returned to ROM by reload at 08:47:56 UTC Mon Feb 3 2014 (SP by power on)
System restarted at 14:36:32 MSK Wed Jun 11 2014
System image file is "disk0:s72033-adventerprisek9_wan-mz.122-33.SXI13.bin"
Last reload reason: reload



This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

cisco WS-C6509-E (R7000) processor (revision 1.4) with 458720K/65536K bytes of memory.
Processor board ID SMG1142NDSU
SR71000 CPU at 600Mhz, Implementation 0x504, Rev 1.2, 512KB L2 Cache
Last reset from power-on
4294967295 Ethernet interfaces
66 Virtual Ethernet interfaces
148 Gigabit Ethernet interfaces
32 Ten Gigabit Ethernet interfaces
1917K bytes of non-volatile configuration memory.
8192K bytes of packet buffer memory.

65536K bytes of Flash internal SIMM (Sector size 512K).
Configuration register is 0x2102

 

 

Скрытый текст

ch19-ck6#sh module
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  1   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX     SAL12448NP0
  2   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX     SAL12437EV2
  3   48  CEF720 48 port 1000mb SFP              WS-X6748-SFP       JAF1244ANGL
  4    8  CEF720 8 port 10GE with DFC            WS-X6708-10GE      SAL1210HT1F
  5    2  Supervisor Engine 720 (Hot)            WS-SUP720-3B       SAL1105G24F
  6    2  Supervisor Engine 720 (Active)         WS-SUP720-3B       SAL09518EMP
  7    8  CEF720 8 port 10GE with DFC            WS-X6708-10GE      SAL114995Z4
  8    8  CEF720 8 port 10GE with DFC            WS-X6708-10GE      SAL15077DZT
  9    8  CEF720 8 port 10GE with DFC            WS-X6708-10GE      SAL1210HSSN

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  1  0023.5ebc.d5d0 to 0023.5ebc.d5ff   3.0   12.2(18r)S1  12.2(33)SXI1 Ok
  2  0023.5e08.c5b0 to 0023.5e08.c5df   3.0   12.2(18r)S1  12.2(33)SXI1 Ok
  3  0022.9081.f028 to 0022.9081.f057   1.12  12.2(14r)S5  12.2(33)SXI1 Ok
  4  001d.4577.6cc0 to 001d.4577.6cc7   1.4   12.2(18r)S1  12.2(33)SXI1 Ok
  5  0016.c85e.7194 to 0016.c85e.7197   5.3   8.4(2)       12.2(33)SXI1 Ok
  6  0013.c31f.ee48 to 0013.c31f.ee4b   4.4   8.1(3)       12.2(33)SXI1 Ok
  7  001a.6c9e.dba0 to 001a.6c9e.dba7   1.3   12.2(18r)S1  12.2(33)SXI1 Ok
  8  e05f.b974.5648 to e05f.b974.564f   2.3   12.2(18r)S1  12.2(33)SXI1 Ok
  9  001d.4577.66f0 to 001d.4577.66f7   1.4   12.2(18r)S1  12.2(33)SXI1 Ok

Mod  Sub-Module                  Model              Serial       Hw     Status
---- --------------------------- ------------------ ----------- ------- -------
  1  Distributed Forwarding Card WS-F6700-DFC3B     SAL11391UAB  4.6    Ok
  2  Centralized Forwarding Card WS-F6700-CFC       SAL1320Q88R  4.1    Ok
  3  Distributed Forwarding Card WS-F6700-DFC3B     SAL10478UB1  4.4    Ok
  4  Distributed Forwarding Card WS-F6700-DFC3C     SAL1212K1WD  1.0    Ok
  5  Policy Feature Card 3       WS-F6K-PFC3B       SAL1106G4CR  2.3    Ok
  5  MSFC3 Daughterboard         WS-SUP720          SAL1105G0U9  2.6    Ok
  6  Policy Feature Card 3       WS-F6K-PFC3B       SAL09507RQV  2.1    Ok
  6  MSFC3 Daughterboard         WS-SUP720          SAL09518FSR  2.3    Ok
  7  Distributed Forwarding Card WS-F6700-DFC3C     SAL1201BZYG  1.0    Ok
  8  Distributed Forwarding Card WS-F6700-DFC3C     SAL15067220  1.4    Ok
  9  Distributed Forwarding Card WS-F6700-DFC3C     SAL1212JV9K  1.0    Ok

Mod  Online Diag Status
---- -------------------
  1  Pass
  2  Pass
  3  Pass
  4  Pass
  5  Pass
  6  Pass
  7  Pass
  8  Pass
  9  Pass

 

 

В последнее время стали замечать трафик на супервизор:

Скрытый текст

ch19-ck6# sh platform hardware capacity ibc
IBC Resources
  Module                     Packets/sec     Total packets     Dropped packets
  5  RP      Rx:                       0           2877574                   0
             Tx:                       0           2877574                   0
  5  SP      Rx:                      24        1182071640                   5
             Tx:                       0           2877722                   0
  6  RP      Rx:                     548           1027761                   0
             Tx:                     224            460363                   0
  6  SP      Rx:                      31        2534051477                  43
             Tx:                      92        9094338766                   0

 

 

Посмотрел через netdr и обратил внимание, что из клиентских сетей домонета (10.23.0.0/16, 10.21.0.0/16) прилетает трафик на сети типа 192.168.0.0/16, примерно так:

Скрытый текст

------- dump of incoming inband packet -------
interface Vl4009, routine mistral_process_rx_packet_inlin, timestamp 17:29:24.904
dbus info: src_vlan 0xFA9(4009), src_indx 0x349(841), len 0x96(150)
  bpdu 0, index_dir 0, flood 0, dont_lrn 0, dest_indx 0x7F0A(32522)
  78020000 0FA90000 03490000 96080000 00110544 0E000040 00000000 7F0A2000
mistral hdr: req_token 0x0(0), src_index 0x349(841), rx_offset 0x76(118)
  requeue 0, obl_pkt 0, vlan 0xFA9(4009)
destmac 00.1E.4A.05.08.00, srcmac 00.1D.46.8C.50.6D, protocol 0800
protocol ip: version 0x04, hlen 0x05, tos 0x00, totlen 132, identifier 19770
  df 0, mf 0, fo 0, ttl 126, src 10.23.19.11, dst 192.168.1.49
    udp src 60712, dst 62856 len 112 checksum 0x2C0D


------- dump of incoming inband packet -------
interface Vl4009, routine mistral_process_rx_packet_inlin, timestamp 17:29:24.908
dbus info: src_vlan 0xFA9(4009), src_indx 0x349(841), len 0x92(146)
  bpdu 0, index_dir 0, flood 0, dont_lrn 0, dest_indx 0x7F0A(32522)
  F8020000 0FA90000 03490000 92080000 00110524 0E000040 00000000 7F0A2000
mistral hdr: req_token 0x0(0), src_index 0x349(841), rx_offset 0x76(118)
  requeue 0, obl_pkt 0, vlan 0xFA9(4009)
destmac 00.1E.4A.05.08.00, srcmac 00.1D.46.8C.50.6D, protocol 0800
protocol ip: version 0x04, hlen 0x05, tos 0x00, totlen 128, identifier 12820
  df 0, mf 0, fo 0, ttl 63, src 10.23.17.150, dst 192.168.0.101
    udp src 61537, dst 58705 len 108 checksum 0xC206

 

При этом у нас эти сети завернуты в Null:

Скрытый текст

ch19-ck6#sh ip route 10.0.0.0 255.0.0.0
Routing entry for 10.0.0.0/8
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp 57753, eigrp 57753
  Advertised by bgp 57753
  Routing Descriptor Blocks:
  * directly connected, via Null0
      Route metric is 0, traffic share count is 1

ch19-ck6#sh ip route 192.168.0.0 255.255.0.0
Routing entry for 192.168.0.0/16, supernet
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp 57753, eigrp 57753
  Advertised by bgp 57753
  Routing Descriptor Blocks:
  * directly connected, via Null0
      Route metric is 0, traffic share count is 1

 


ch19-ck6#sh ip route 192.168.0.0
Routing entry for 192.168.0.0/24
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp 57753, eigrp 57753
  Advertised by bgp 57753
  Routing Descriptor Blocks:
  * directly connected, via Null0
      Route metric is 0, traffic share count is 1

ch19-ck6#sh ip route 192.168.1.0
Routing entry for 192.168.1.0/24
  Known via "static", distance 1, metric 0 (connected)
  Redistributing via bgp 57753, eigrp 57753
  Advertised by bgp 57753
  Routing Descriptor Blocks:
  * directly connected, via Null0
      Route metric is 0, traffic share count is 1

Вот что с CEF:

Скрытый текст

ch19-ck6#sh ip cef 192.168.0.0
192.168.0.0/24
  attached to Null0
ch19-ck6#sh ip cef 10.0.0.0
10.0.0.0/8
  attached to Null0
ch19-ck6#sh ip cef 192.168.1.0/24
192.168.1.0/24
  attached to Null0
ch19-ck6#sh ip cef 192.168.0.0/24
192.168.0.0/24
  attached to Null0

 

 

По идее такой трафик должен дропаться CEFом до не долетая до RP, но такой трафик почему-то есть и его видно в netdr на RP. Либо я как-то не так понимаю работу CEF, либо не умею готовит. Подскажите все таки, в чем может быть дело?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

uRPF на клиентских сабах включен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6500 клиентов напрямую не видит,  на дальнем конце стоят разные 3750/3560, а клиенты L3-connected. Можно попробовать включить uRPF на 6500 на линковых интерфейсах с 3750/3560, но я бы включал его с осторожностью чтобы ничего не положить. В принципе с дальнего конца клиентские сети приходят через EIGRP и uRPF должен сработать нормально и не отбить ничего лишнего, но лучше сначала подумать что можно прибить ненароком таким образом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

48 минут назад, megahertz0 сказал:

на дальнем конце стоят разные 3750/3560

На 3560/3750 на клиентских вланах  включен uRPF? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 18.06.2019 в 19:27, uxcr сказал:

На 3560/3750 на клиентских вланах  включен uRPF? :)

3560 и 3750 urpf не умеют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У Вас на втором слоте стоит  модуль с платой CFC

2  Centralized Forwarding Card WS-F6700-CFC       SAL1320Q88R  4.1    Ok

на остальных DFC.

 

Это может приводить к деградации системы до уровня CFC (т.е. все пакеты Л3 для роутинга прилетят на управляющий процессор), я бы на вашем месте проапгрейдил бы CFC минимум до DFC3B - это стоит сущие копейки (30 т.р.).

 

Такая же фигня кстати у Вас  с DFC3С из-за DFC3B и PFC3B, установленные DFC3С будут работать как DFC3B :-(. Хотя с вашими управляющими модулями  WS-F6K-PFC3B в целом деградация DFC3С неизбежна.

 

Есть смысл заменить CFC, и в зависимости от количества маршрутов прокачать PFC3B минимум до PFC3BXL, а  память на модулях DFC3B по максимуму. Чтобы таблицы маршрутизации с центрального модуля влезали целиком на модули управления плат, иначе при большом количестве маршрутов получите опять деградацию системы.

 

То, что Вам нужно для прокачки до DFC3B и PFC3BXL с 1 Мб MFC - стоит на e-bay и авито относительные копейки. Прокачка до PFC3C, а тем более до PFC3CXL - удовольствие не дешевое. Но если модули 8*10G не нагружены межмодульным трафиком, то Вам может это и не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про различия CEF и dCEF я в курсе и про деградацию PFC до минимально установленной тоже. Но я думаю, что дело тут не в выключенном dCEF, а в том, почему некоторый трафик в принципе выпадает из CEF хотя не должен.

 

Лирическое отступление: :)

Если уж пошлa речь о прокачке старичка 6500, то надо и SUPы менять на VS-S720-10G-3C чтобы была PFC3C. И WS-F6700-DFC3C (XL talbes мне все равно не нужны) поставить на карточки WS-X6748 чтобы все DFC были одинаковы. Но я в ближайшее время хочу заменить мангал на что-то посовременнее типа Juniper QFX5100 или ACX5048. Потому как дешевле купить современный пицца-бокс (а то и два чтобы один положить на полку) с кучей десяток и QSFP в одном юните и более-менее теми же возможностями как и у 10+ летнего high end от Циски чем апгрейдить мангал 6500.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.