nixx Posted April 24, 2023 (edited) · Report post Стоит в качестве L3-молотилки c4500x, много чего роутит. Много абонентов с белыми адресами. Загрузка процессора скачет, как хрен пойми что. В течение дня может меняться от 60 до 100 процентов (из 200), причем без корреляции с объемом проходящего трафика. В основном жрет процесс "k5cpuman review" Полез дампить трафик с проца, искать причины Вижу, что (судя по симптомам и гуглу - в списках в инете находится) один абонент с белым адресом поднял у себя dns, открыл всему миру и спустя какое-то время ушел в оффлайн. Вижу, что на процессор циски извне летит охулиард DNS-запросов в сторону абонента (ну не прям так много, но явно выделяются из остального трафика). Блокирую на бордере (выше циски) весь трафик к этому абоненту - загрузка проца падает процентов на 12-15. Собственно, вопрос - это лечится, скажем так, встроенными средствами циски, или же оно обречено умирать от любого чиха в сторону ненайденных в arp-записях абонентов? Настроить на CoPP какие-нибудь лимиты для 53 порта я думал, но это лечение конкретной ситуации... а их может быть сотня, и все разные. ну и со сниффером около циски особо сидеть неохота каждый день. Посидеть, подумать о реально нужном трафике и тупо зарезать всё, что кроме? Какие-то варианты шаманства с CoPP, которые я пока не знаю, на тему "игнорить всё, что никому"? У меня ощущение, что старый добрый мангал sup720 был гораздо дубовей в плане реакции на подобные раздражители. ps: есть у кого-нибудь опыт с brocade vdx6740 или чем-то подобным? на замену 4500 думаю. ну или послушал бы чью-то success-story с апгрейдом на что-то другое. апгрейд хочется просто потому, что сейчас на циске порты кончились, а нужно еще много. вариант либо городить vss со второй, либо что-то колхозить с дополнительным L2-железом, либо всё же апгрейд до 48 портового чего-нибудь, да и 40гбит хотелось бы. попутно при апгрейде и с занятостью процессора решить бы вопрос. pps: реально там проц загружен всем подряд, всякой фигни нашел типа реалтековского и микротиковского лупдетектов, ipv6-флуда от глючных роутеров, и т.п. Но это всё более-менее классифицируется и режется на доступе. Edited April 24, 2023 by nixx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted April 24, 2023 · Report post Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Urs_ak Posted April 25, 2023 · Report post Да, есть такая тема. У нас раньше была на узле me3600x с кучей внешних ip и никто особо не заморачивался с CoPP, а потом поменяли на 4500x и сразу поняли что без CoPP вообще никак. Могу дать найденный пример для Nexus'а: https://pastebin.com/pQjrHZnx У меня на 4500x сейчас как-то так (подробнее не хочу показывать): Цитата policy-map CoPP-Policy class CoPP-Unwanted police 32000 conform-action drop exceed-action drop violate-action drop class CoPP-L2-STP class CoPP-L2-LACP class CoPP-L2-CDP class CoPP-L2-Unclassified class CoPP-L3-ICMP class CoPP-L3-DHCP class CoPP-L3-OSPF class CoPP-L3-PIM class CoPP-L3-IGMP class CoPP-L3-MCAST-LINKLOCAL class CoPP-L3-FROM-OUR-NETWORKS class CoPP-IPv6 police 32000 conform-action drop exceed-action drop violate-action drop class class-default police 32000 conform-action drop exceed-action drop violate-action drop Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nixx Posted April 26, 2023 · Report post В 24.04.2023 в 22:44, jffulcrum сказал: по первой ссылке, увы, ничего нового не увидел, а вторую нагуглил еще месяц назад, вдумчиво прочитал, и в целом согласен с высказанным тезисом о "К примеру, ограничивать/лимитировать кол-во arp от абонентов приведет к нестабильному сервису у абонентов - снизим нагрузку на CPU, а у абонентов будут возникать "мифические пропадание инета", отловом которого заниматься ой как не просто." я просто уже нарвался на такое с микротиководами, у которых лимитированный icmp до этой самой 4500х вызывал отвалы микротиков по причине включенного "check gateway". ну понятное дело, что настраивателю лимитов надо было включать моск и осознавать, что можно поставить лимиты более мягкие, но тем не менее факт наблюдался, и мне он крайне не нравится, как и заметное приподнятие занятости cpu при повышении лимита. 17 часов назад, Urs_ak сказал: Могу дать найденный пример для Nexus'а: https://pastebin.com/pQjrHZnx но, к сожалению, судя при приведенному примеру конфига, все сводится именно к тому, что разрешаем только нужное, и то далеко не "на всю катушку", а все остальное режем нахрен. "какой ты чувствительный мальчик" - хочется сказать процессорам цисок. 18 часов назад, Urs_ak сказал: class CoPP-L2-Unclassified а что у вас попадает в этот класс? мне не кусок конфига, мне смысл интересен - что сюда попадает и как лимитируется (режется совсем или же есть какой-то transmit). и про CoPP-Unwanted аналогичный вопрос. ну и глядя на посты от 2015 года осознаю, что не тем я занимаюсь, и надо всё же думать в сторону апгрейда на что-то более современное/быстрое. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted April 26, 2023 · Report post Своп на 6730 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted April 26, 2023 · Report post 4 hours ago, nixx said: "какой ты чувствительный мальчик" - хочется сказать процессорам цисок. Дык, это же не софтроутер а ля "Микротик", там не E5-2689v4 в качестве процессора control plane, те десятки или даже сотни гигабит, что обрабатываются data plane, убивают control plane легко и напрочь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BOJIKA Posted April 26, 2023 · Report post поймите, почему этот трафик пунтится на CPU Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...