Jump to content
Калькуляторы

c4500x + всякий мусор на cpu

Стоит в качестве L3-молотилки c4500x, много чего роутит. Много абонентов с белыми адресами.

Загрузка процессора скачет, как хрен пойми что. В течение дня может меняться от 60 до 100 процентов (из 200), причем без корреляции с объемом проходящего трафика.

В основном жрет процесс "k5cpuman review"

Полез дампить трафик с проца, искать причины

Вижу, что (судя по симптомам и гуглу - в списках в инете находится) один абонент с белым адресом поднял у себя dns, открыл всему миру и спустя какое-то время ушел в оффлайн.

Вижу, что на процессор циски извне летит охулиард DNS-запросов в сторону абонента (ну не прям так много, но явно выделяются из остального трафика).

Блокирую на бордере (выше циски) весь трафик к этому абоненту - загрузка проца падает процентов на 12-15.

 

Собственно, вопрос - это лечится, скажем так, встроенными средствами циски, или же оно обречено умирать от любого чиха в сторону ненайденных в arp-записях абонентов?

Настроить на CoPP какие-нибудь лимиты для 53 порта я думал, но это лечение конкретной ситуации... а их может быть сотня, и все разные. ну и со сниффером около циски особо сидеть неохота каждый день.

Посидеть, подумать о реально нужном трафике и тупо зарезать всё, что кроме?

Какие-то варианты шаманства с CoPP, которые я пока не знаю, на тему "игнорить всё, что никому"?

 

У меня ощущение, что старый добрый мангал sup720 был гораздо дубовей в плане реакции на подобные раздражители.

 

ps: есть у кого-нибудь опыт с brocade vdx6740 или чем-то подобным? на замену 4500 думаю. ну или послушал бы чью-то success-story с апгрейдом на что-то другое.

апгрейд хочется просто потому, что сейчас на циске порты кончились, а нужно еще много. вариант либо городить vss со второй, либо что-то колхозить с дополнительным L2-железом, либо всё же апгрейд до 48 портового чего-нибудь, да и 40гбит хотелось бы.

попутно при апгрейде и с занятостью процессора решить бы вопрос.

pps: реально там проц загружен всем подряд, всякой фигни нашел типа реалтековского и микротиковского лупдетектов, ipv6-флуда от глючных роутеров, и т.п. Но это всё более-менее классифицируется и режется на доступе.

Edited by nixx

Share this post


Link to post
Share on other sites

Да, есть такая тема. У нас раньше была на узле me3600x с кучей внешних ip и никто особо не заморачивался с CoPP, а потом поменяли на 4500x и сразу поняли что без CoPP вообще никак.

 

Могу дать найденный пример для Nexus'а: https://pastebin.com/pQjrHZnx

 

У меня на 4500x сейчас как-то так (подробнее не хочу показывать):

 

Цитата

policy-map CoPP-Policy
  class CoPP-Unwanted
    police 32000 conform-action drop  exceed-action drop  violate-action drop
  class CoPP-L2-STP
  class CoPP-L2-LACP
  class CoPP-L2-CDP
  class CoPP-L2-Unclassified
  class CoPP-L3-ICMP
  class CoPP-L3-DHCP
  class CoPP-L3-OSPF
  class CoPP-L3-PIM
  class CoPP-L3-IGMP
  class CoPP-L3-MCAST-LINKLOCAL
  class CoPP-L3-FROM-OUR-NETWORKS
  class CoPP-IPv6
    police 32000 conform-action drop  exceed-action drop  violate-action drop
  class class-default
    police 32000 conform-action drop  exceed-action drop  violate-action drop

 

Share this post


Link to post
Share on other sites

В 24.04.2023 в 22:44, jffulcrum сказал:

по первой ссылке, увы, ничего нового не увидел, а вторую нагуглил еще месяц назад, вдумчиво прочитал, и в целом согласен с высказанным тезисом о "К примеру, ограничивать/лимитировать кол-во arp от абонентов приведет к нестабильному сервису у абонентов - снизим нагрузку на CPU, а у абонентов будут возникать "мифические пропадание инета", отловом которого заниматься ой как не просто."

 

я просто уже нарвался на такое с микротиководами, у которых лимитированный icmp до этой самой 4500х вызывал отвалы микротиков по причине включенного "check gateway". ну понятное дело, что настраивателю лимитов надо было включать моск и осознавать, что можно поставить лимиты более мягкие, но тем не менее факт наблюдался, и мне он крайне не нравится, как и заметное приподнятие занятости cpu при повышении лимита.

17 часов назад, Urs_ak сказал:

Могу дать найденный пример для Nexus'а: https://pastebin.com/pQjrHZnx

но, к сожалению, судя при приведенному примеру конфига, все сводится именно к тому, что разрешаем только нужное, и то далеко не "на всю катушку", а все остальное режем нахрен. "какой ты чувствительный мальчик" - хочется сказать процессорам цисок.

 

18 часов назад, Urs_ak сказал:

class CoPP-L2-Unclassified

а что у вас попадает в этот класс? мне не кусок конфига, мне смысл интересен - что сюда попадает и как лимитируется (режется совсем или же есть какой-то transmit). и про CoPP-Unwanted аналогичный вопрос.

 

ну и глядя на посты от 2015 года осознаю, что не тем я занимаюсь, и надо всё же думать в сторону апгрейда на что-то более современное/быстрое.

Share this post


Link to post
Share on other sites

4 hours ago, nixx said:

"какой ты чувствительный мальчик" - хочется сказать процессорам цисок.

Дык, это же не софтроутер а ля "Микротик", там не E5-2689v4 в качестве процессора control plane, те десятки или даже сотни гигабит, что обрабатываются data plane, убивают control plane легко и напрочь.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.