Cisco2811 & %SYS-2-CHUNKBADMAGIC: Bad magic number in c

[al9]

Hi all!

Возник такой трабл, постоянно валятся в лог с 2811 мессаги

Jun 8 00:05:05.364 ORNS: %SYS-2-CHUNKBADMAGIC: Bad magic number in chunk header, chunk 0 data 444EB7B8 chunkmagic 400B97A8 chunk_freemagic 438B0EDC -Process= "<interrupt level>", ipl= 4, pid= 75 -Traceback= 0x40ABDEE8 0x400BC510 0x402FF6B4 0x400431B4 0x400437BC 0x400103C0 0x4001173C

 

пишут наверное про это насколько я понял

http://www.cisco.com/en/US/products/hw/cab...080094c46.shtml

http://www.cisco.com/cgi-bin/Support/Bugto...ugid=CSCdt72474

 

структура сети такова - 5350 - PPPoE & DialIn server, access-layer

Catalyst 3550 - териминирование вланов, access&aggregate layer

внутри сети поднят EIGRP

 

as5350x1#sh ip route | i subnet

83.0.0.0/8 is variably subnetted, 142 subnets, 4 masks

62.0.0.0/30 is subnetted, 1 subnets

as5350x1#

 

cat3550x1#sh ip route | i subnet

83.0.0.0/8 is variably subnetted, 144 subnets, 5 masks

62.0.0.0/30 is subnetted, 1 subnets

cat3550x1#

 

core2811x1#sh ip route | i subnet

83.0.0.0/8 is variably subnetted, 3 subnets, 2 masks

62.0.0.0/30 is subnetted, 1 subnets

core2811x1#

 

с 3550 наверх CE2811 отдаются просуммированные анонсы двух сеток /24, и при этом ни от 5350 ни от 3550 никаких жалоб не слышно

неясно откуда вообще 2811 может узнавать о количестве роутов и масок на других уровнях, ведь ему отдаются просуммированные роуты и его таблица роутинга - 6 строк, на провайдера деф. роут прописан статикой и апликовый интерфейс в passiv-state.

 

core2811x1#sh ver

Cisco IOS Software, 2800 Software (C2800NM-ADVSECURITYK9-M), Version 12.4(1a), RELEASE SOFTWARE (fc2)

 

логи сыпятся буквально каждую минуту, и я серьезно опасаюсь за 2811, че эт у него так башню рвет

Подскажите пожалуйста, кто сталкивался с таким траблом, и как енто дело пофиксить

[al9]

Люди, терминирующие по несколько тысяч ВПН-соединений, неужели вы не сталкивались с такого рода проблемами(правда мой случай несколько странен),

не говоря уже о Maximum Number of Interfaces and Subinterfaces for Cisco IOS Software Platforms: IDB Limits? Ведь при терминировании PPP-сеансов маска /32 в роутинговой таблице. А у меня всего-то около сотни PPPoE клиентов.

[Nailer]

Софт у вас кривой, к проблемам, означенным в приведенных ссылках, ваша проблема отношения не имеет.

 

Меняйте.

[al9]

да, я уже понял.

апргрейд иос-а необходим.

спасибо.

[smsm]

Люди, терминирующие по несколько тысяч ВПН-соединений, неужели вы не сталкивались с такого рода проблемами(правда мой случай несколько странен),

 

есть несколько сотен впн соединений на 2821, ну периодически на память ругается, более ничего нет.

[al9]

Залил сегодня свежий IOS, c2800nm-advsecurityk9-mz.124-6.T1.bin

вроде пока успокоился, не ругается, ...чтоб не сглазить

у меня сейчас PPPoE сессии терминируются на 5350, в среднем около 50 одновременных сессий, есть вот еще 2811, т.е. как я понял примерно до 500 можно и с этим железом держать, но вот я смотрю - по idb 5350 в 3 раза делает 2811 :-)

 

core2811x1#sh idb

Maximum number of Software IDBs 1400. In use 10.

 

as5350x1#sh idb

Maximum number of Software IDBs 5000. In use 329.

 

Вопрос - какую железку посоветуете для терминации большого количества (1000-5000) VPN-сессий, будет там также и PPPoE и PPTP, хотя насчет PPTP я все-таки склоняюсь к FreeBSD-MPD, но все-таки - если выбирать из Cisco?

[smsm]

больше интересна нужная пропускная способность впн

например смотри текущую картину по 2821

c2821#sh use s

689 session(s) locally terminated

VPDN 689

689 total session(s)

c2821#sh proc cpu sort

CPU utilization for five seconds: 23%/17%; one minute: 25%; five minutes: 29%

.. а трафика вот столько, это порт смотрящий в инет.

5 minute input rate 4027000 bits/sec, 608 packets/sec

5 minute output rate 761000 bits/sec, 504 packets/sec

.. ну и память

Processor Pool Total: 198492512 Used: 44051560 Free: 154440952

I/O Pool Total: 12582912 Used: 5485504 Free: 7097408

..а делать пптп на 5350 как-то даже в голову не приходило

[short]

smsm,

 

а она еще что-либо делает?

 

шейперы навешиваешь , нет?

[smsm]

хм,

терминирует вланы.. десятка четыре, шейперы - даа.. и на пптп и на вланах, натит, считает трафик. уж не помню вроде приоритеты какие-то были для трафика, разной хитрой маршрутизации навешено немало, и транзитом через неё пробегает мегов до 50.

[al9]

ну а впринципе почему бы и нет? это ясно что 5350 позиционируется как сервер доступа, стык с POTS-шлюз короче, но она и как роутер тоже вполне дееспесобна, и почему бы не нагрузить ее еще и термнированием VPN-ов...сейчас при 30-50 VPN-сессиях и 20-30 PPP - сессиях ее средняя загрузка CPU не превышает 2-4%, ее еще грузануть можно только в путь...даже когда на ней поднимется воип(в данный момент его нет), то и тогда я думаю проц будет не сильно загружен, ведь с голосом работают специализированные DSP. да и терминирование вланов я отдал каталисту , сняв сию функцию с 2811, он вполне с ней справляется, так что 2811 у меня сейчас вообще отдыхает :-)

[al9]

кстати вдогонку - вспомнил - на 5350 такой трабл - не отключается преавторизация, no aaa preauth не работает, у меня из-за этого в биллинге даже при успешной авторизации юзера пишутся логи об ошибках авторизации - т.е. циска на десятую долю секунды отдает радиусу эти данные почему-то- dnis:xxxxxx,cisco, естественно получает access-reject а потом тут же через долю секунды шлет реальные данные какие прислал юзер и получает access-accept, юзер авторизуется и счастлив, а у нас в логах запись что якобы он пытался коварно пробраться в нашу сеть пытавшись авторизоваться с логином нашего диалапного пула и пассвордом cisco...

Если кто сталкивался - подскажите плиз, я уже и ИОС-ы разные пробовал, и в конифиге при вводе no aaa preauth сие не отображается, то есть как я понимая она отключена по умолчания но тем не менее функционирует..