nixx Posted April 24, 2023 Posted April 24, 2023 (edited) Стоит в качестве L3-молотилки c4500x, много чего роутит. Много абонентов с белыми адресами. Загрузка процессора скачет, как хрен пойми что. В течение дня может меняться от 60 до 100 процентов (из 200), причем без корреляции с объемом проходящего трафика. В основном жрет процесс "k5cpuman review" Полез дампить трафик с проца, искать причины Вижу, что (судя по симптомам и гуглу - в списках в инете находится) один абонент с белым адресом поднял у себя dns, открыл всему миру и спустя какое-то время ушел в оффлайн. Вижу, что на процессор циски извне летит охулиард DNS-запросов в сторону абонента (ну не прям так много, но явно выделяются из остального трафика). Блокирую на бордере (выше циски) весь трафик к этому абоненту - загрузка проца падает процентов на 12-15. Собственно, вопрос - это лечится, скажем так, встроенными средствами циски, или же оно обречено умирать от любого чиха в сторону ненайденных в arp-записях абонентов? Настроить на CoPP какие-нибудь лимиты для 53 порта я думал, но это лечение конкретной ситуации... а их может быть сотня, и все разные. ну и со сниффером около циски особо сидеть неохота каждый день. Посидеть, подумать о реально нужном трафике и тупо зарезать всё, что кроме? Какие-то варианты шаманства с CoPP, которые я пока не знаю, на тему "игнорить всё, что никому"? У меня ощущение, что старый добрый мангал sup720 был гораздо дубовей в плане реакции на подобные раздражители. ps: есть у кого-нибудь опыт с brocade vdx6740 или чем-то подобным? на замену 4500 думаю. ну или послушал бы чью-то success-story с апгрейдом на что-то другое. апгрейд хочется просто потому, что сейчас на циске порты кончились, а нужно еще много. вариант либо городить vss со второй, либо что-то колхозить с дополнительным L2-железом, либо всё же апгрейд до 48 портового чего-нибудь, да и 40гбит хотелось бы. попутно при апгрейде и с занятостью процессора решить бы вопрос. pps: реально там проц загружен всем подряд, всякой фигни нашел типа реалтековского и микротиковского лупдетектов, ipv6-флуда от глючных роутеров, и т.п. Но это всё более-менее классифицируется и режется на доступе. Edited April 24, 2023 by nixx Вставить ник Quote
Urs_ak Posted April 25, 2023 Posted April 25, 2023 Да, есть такая тема. У нас раньше была на узле me3600x с кучей внешних ip и никто особо не заморачивался с CoPP, а потом поменяли на 4500x и сразу поняли что без CoPP вообще никак. Могу дать найденный пример для Nexus'а: https://pastebin.com/pQjrHZnx У меня на 4500x сейчас как-то так (подробнее не хочу показывать): Цитата policy-map CoPP-Policy class CoPP-Unwanted police 32000 conform-action drop exceed-action drop violate-action drop class CoPP-L2-STP class CoPP-L2-LACP class CoPP-L2-CDP class CoPP-L2-Unclassified class CoPP-L3-ICMP class CoPP-L3-DHCP class CoPP-L3-OSPF class CoPP-L3-PIM class CoPP-L3-IGMP class CoPP-L3-MCAST-LINKLOCAL class CoPP-L3-FROM-OUR-NETWORKS class CoPP-IPv6 police 32000 conform-action drop exceed-action drop violate-action drop class class-default police 32000 conform-action drop exceed-action drop violate-action drop Вставить ник Quote
nixx Posted April 26, 2023 Author Posted April 26, 2023 В 24.04.2023 в 22:44, jffulcrum сказал: по первой ссылке, увы, ничего нового не увидел, а вторую нагуглил еще месяц назад, вдумчиво прочитал, и в целом согласен с высказанным тезисом о "К примеру, ограничивать/лимитировать кол-во arp от абонентов приведет к нестабильному сервису у абонентов - снизим нагрузку на CPU, а у абонентов будут возникать "мифические пропадание инета", отловом которого заниматься ой как не просто." я просто уже нарвался на такое с микротиководами, у которых лимитированный icmp до этой самой 4500х вызывал отвалы микротиков по причине включенного "check gateway". ну понятное дело, что настраивателю лимитов надо было включать моск и осознавать, что можно поставить лимиты более мягкие, но тем не менее факт наблюдался, и мне он крайне не нравится, как и заметное приподнятие занятости cpu при повышении лимита. 17 часов назад, Urs_ak сказал: Могу дать найденный пример для Nexus'а: https://pastebin.com/pQjrHZnx но, к сожалению, судя при приведенному примеру конфига, все сводится именно к тому, что разрешаем только нужное, и то далеко не "на всю катушку", а все остальное режем нахрен. "какой ты чувствительный мальчик" - хочется сказать процессорам цисок. 18 часов назад, Urs_ak сказал: class CoPP-L2-Unclassified а что у вас попадает в этот класс? мне не кусок конфига, мне смысл интересен - что сюда попадает и как лимитируется (режется совсем или же есть какой-то transmit). и про CoPP-Unwanted аналогичный вопрос. ну и глядя на посты от 2015 года осознаю, что не тем я занимаюсь, и надо всё же думать в сторону апгрейда на что-то более современное/быстрое. Вставить ник Quote
UglyAdmin Posted April 26, 2023 Posted April 26, 2023 4 hours ago, nixx said: "какой ты чувствительный мальчик" - хочется сказать процессорам цисок. Дык, это же не софтроутер а ля "Микротик", там не E5-2689v4 в качестве процессора control plane, те десятки или даже сотни гигабит, что обрабатываются data plane, убивают control plane легко и напрочь. Вставить ник Quote
BOJIKA Posted April 26, 2023 Posted April 26, 2023 поймите, почему этот трафик пунтится на CPU Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.