[psa79]

Добрый день

Есть Cisco C10008 (PRE2-RP) терминирует pppoe, в пиках до 4 тысяч сессий, трафика до 500 егабит

независимо от нагрузки и количества сессий, загрузка процессора прыгает до 60-80%,

не могу понять почему.

 

при нормальном стоянии процесс IP Input от 0 до 2%

вывод show pxf cpu context почти всегда показывает около 2%

 

 

Cisco C10008 (PRE2-RP) processor (revision ) with 950271K/94208K bytes of memory.

Processor board ID TBC06121331

R7000 CPU at 500Mhz, Implementation 0x27, Rev 5.1, 256KB L2, 8192KB L3 Cache

Backplane version 1.0, 8 slot

 

Last reset from register reset

PXF processor tmc0 is running.

PXF processor tmc1 is running.

PXF processor tmc2 is running.

PXF processor tmc3 is running.

1 FastEthernet interface

2 Gigabit Ethernet interfaces

2045K bytes of non-volatile configuration memory.

 

 

 

 

 

 

 

cat10k#show processes cpu sorted

CPU utilization for five seconds: 56%/25%; one minute: 57%; five minutes: 56%

PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process

134 101604376 372723009 272 23.34% 23.13% 22.97% 0 IP Input

51 40593400 5043685 8048 2.15% 1.10% 1.06% 0 Per-Second Jobs

216 49659596 253409252 195 1.19% 0.89% 0.83% 0 C10K Netflow Toa

214 25212336 5191002 4856 1.03% 0.98% 0.96% 0 c10k_periodic_st

142 3283424 1438125 2283 0.55% 0.76% 0.77% 0 PPP IP Route

215 5241080 506562 10346 0.47% 0.22% 0.20% 0 STATS DMA Daemon

299 3149292 177204130 17 0.39% 0.20% 0.16% 0 RADIUS

288 8642688 174180878 49 0.39% 0.34% 0.32% 0 PPP Events

143 5211048 11900759 437 0.31% 0.35% 0.25% 0 SSS Manager

 

 

 

 

 

 

cat10k#show pxf cpu context

FP context statistics count rate (since last time command was run)

--------------------- ------------- ----------

feed_back 225006832892 98322

new_work_from_lc 217734102820 95064

new_work_from_rp 1846170348 1845

new_work_from_replay 0 0

null_context 30124304277747 6099128

----------

6294360

 

FP average context/sec 1min 5min 60min

--------------------- ---------- ---------- ----------

feed_back 103368 100068 85338 cps

new_work_from_lc 99661 96709 82011 cps

new_work 1818 1853 1953 cps

new_work_from_replay 0 0 0 cps

null_context 6192894 6150031 6173045 cps

--------------------- ---------- ---------- ----------

Total 6397742 6348662 6342347 cps

 

FP context utilization 1min 5min 60min

--------------------- ---------- ---------- ----------

Actual 3 % 3 % 2 %

Theoretical 3 % 3 % 2 %

Maximum 99 % 99 % 99 %

Edited June 29, 2010 by psa79

[D^2]

версия ИОСа?

[psa79]

версия ИОСа?

 

c10k2-k91p11-mz.122-33.SB7.bin

[UglyAdmin]

А на FastEthernet'е у Вас никакого трафика нет?

Он там чисто для управления, так что весь его трафик через CPU пойдёт...

[psa79]

FastEthernet не используется

[psa79]

cat10k#show inventory

NAME: "Chassis", DESCR: "C10000 Edge Service Router (ESR) Chassis"

PID: ESR-CHASSIS , VID: , SN: 00021651183

 

NAME: "module 1/0", DESCR: "1 pt Gigabit Ethernet line card (requires a GBIC)"

PID: ESR-1GE , VID: , SN: CAB0438EGFF

 

NAME: "module 2/0", DESCR: "1 pt Gigabit Ethernet line card (requires a GBIC)"

PID: ESR-1GE , VID: , SN: CAT065008LK

 

NAME: "RP A", DESCR: "Performance Routing Engine"

PID: ESR-PRE2 , VID: V02 , SN: CAT07360UAV

 

NAME: "RP A flash card 0", DESCR: "Flash Card"

PID: ESR-PRE-MEM-FD128 , VID: , SN:

 

NAME: "power-supply 0", DESCR: "DC POWER ENTRY MODULE FOR ESR10008"

PID: ESR-PWR-DC , VID: , SN:

 

NAME: "fan-tray", DESCR: "BLOWER ASSEMBLY FOR ESR10008"

PID: ESR-BLOWER , VID: , SN:

 

 

 

 

пробовал IOS-ы

 

c10k2-k91p11-mz.122-33.SB7.bin

c10k2-k91p11u2-mz.122-31.SB16.bin

c10k2-k91p11u2-mz.122-33.SB7.bin

 

эфект тотже

 

Edited June 23, 2010 by psa79

[vovan-pmr]

не могу не вставить свои 5 копеек. у нас стоит ESR 10008 с PRE4. работает нормально, без нареканий. но ввел команду sh pxf log и вот что мне выдал роутер: CPU 0 HTDP error COB3_FB_EMPTY_ERR: Pool Empty.

причем такие сообщения проскакивают довольно часто.

НИкто не в курсе что бы это означало?? Гугл молчит, сайт циски тоже..........

[Ivan_83]

Напишите им в суппорт, вы же это купили, пусть отрабатывают.

[psa79]

up

[nnm]

Очевидно, что часть трафика у вас не обрабатывается PXF, а свитичится на CPU. Причем часть того, что свитчится на CPU не может смаршрутизироваться в CEF. Скорее всего у вас есть какие-то фичи, которые не могут быть обработаны в PXF. Я-бы начал с внимательного прочтения Release Notes к вашему софту на предмет того, какие фичи поддерживаются в PXF. Ну сравнивал-бы с тем, что у Вас сконфигурировано.

Ну и вообще конфиг полезно постить :) , а то здешние телепаты удаленно только две первые строчки увидеть могут :)

[psa79]

сразу скажу от ospf никакого роутинга не получаю, он только чтоб бордер знал какие абоненты подключены

 

 

!

aaa new-model

!

!

aaa authentication password-prompt password:

aaa authentication username-prompt login:

aaa authentication login default local

aaa authentication login dialers group radius

aaa authentication ppp default group radius

aaa authorization exec default local

aaa authorization network default group radius

aaa accounting delay-start

aaa accounting update periodic 10

aaa accounting network default start-stop group radius

aaa accounting system default start-stop group radius

!

!

!

!

aaa session-id common

facility-alarm core-temperature major 58

facility-alarm core-temperature minor 50

facility-alarm intake-temperature major 54

facility-alarm intake-temperature minor 45

!

!

card 1/0 1gigethernet-1

card 2/0 1gigethernet-1

ip subnet-zero

no ip gratuitous-arps

no ip rcmd domain-lookup

 

ip name-server 10.3.3.1

ip name-server 10.3.3.2

!

!

!

!

vpdn enable

vpdn aaa attribute nas-ip-address vpdn-nas

vpdn aaa attribute nas-port vpdn-nas

!

 

!

!

archive

log config

logging enable

hidekeys

 

!

redundancy

mode sso

!

!

class-map match-all test

match access-group name acl_user

class-map match-any ua-ix

match access-group name acl_ua-ix_in

class-map match-all all_user

match access-group name acl_user

!

!

policy-map k128

class class-default

police 128000 16384 16384 conform-action transmit exceed-action drop violate-action drop

policy-map m8

class class-default

police 8392000 1048576 1048576 conform-action transmit exceed-action drop violate-action drop

policy-map m5

class class-default

police 5240000 655360 655360 conform-action transmit exceed-action drop violate-action drop

policy-map m4

class class-default

police 4192000 524288 524288 conform-action transmit exceed-action drop violate-action drop

policy-map k256

class class-default

police 264000 32768 32768 conform-action transmit exceed-action drop violate-action drop

policy-map m1

class class-default

police 1048000 131072 131072 conform-action transmit exceed-action drop violate-action drop

policy-map k512

class class-default

police 528000 65536 65536 conform-action transmit exceed-action drop violate-action drop

policy-map m3

class class-default

police 3144000 393216 393216 conform-action transmit exceed-action drop violate-action drop

policy-map m2

class class-default

police 2096000 262144 262144 conform-action transmit exceed-action drop violate-action drop

policy-map k64

class class-default

police 64000 8216 8216 conform-action transmit exceed-action drop violate-action drop

policy-map m15

class class-default

police 15360000 1310720 1310720 conform-action transmit exceed-action drop violate-action drop

policy-map k32

class class-default

police 32000 4096 4096 conform-action transmit exceed-action drop violate-action drop

policy-map k1024

class class-default

police 1048000 131072 131072 conform-action transmit exceed-action drop violate-action drop

policy-map m10

class class-default

police 10488000 1310720 1310720 conform-action transmit exceed-action drop violate-action drop

policy-map m20

class class-default

police 20976000 2621440 2621440 conform-action transmit exceed-action drop violate-action drop

!

bba-group pppoe global

virtual-template 1

sessions max limit 10000

sessions per-mac limit 1

sessions per-vlan limit 4096

sessions auto cleanup

!

!

interface Loopback0

ip address 172.16.0.10 255.255.255.255

!

interface FastEthernet0/0/0

no ip address

shutdown

speed 100

full-duplex

!

interface GigabitEthernet1/0/0

no ip address

ip route-cache policy

negotiation auto

!

interface GigabitEthernet1/0/0.21

encapsulation dot1Q 21

no ip redirects

no ip proxy-arp

pppoe enable group global

!

 

...........................(около 200 vlan интерфейсов настроенных одинаково)

 

!

!

interface GigabitEthernet1/0/0.732

encapsulation dot1Q 732

no ip redirects

no ip proxy-arp

pppoe enable group global

!

interface GigabitEthernet2/0/0

no ip address

ip route-cache policy

negotiation auto

!

interface GigabitEthernet2/0/0.100

encapsulation dot1Q 100

ip address 10.4.1.1 255.255.255.0

no ip redirects

no ip proxy-arp

shutdown

!

interface GigabitEthernet2/0/0.150

encapsulation dot1Q 150

ip address 10.3.3.58 255.255.255.192

ip access-group 101 in

no ip redirects

no ip proxy-arp

!

interface GigabitEthernet2/0/0.156

encapsulation dot1Q 156

ip address 10.200.3.3 255.255.255.224

ip flow ingress

ip flow egress

!

interface Virtual-Template1

mtu 1492

ip unnumbered Loopback0

ip access-group 100 in

no ip proxy-arp

ip mtu 1492

ip tcp header-compression

ip tcp adjust-mss 1300

no peer default ip address

ppp authentication ms-chap-v2 ms-chap chap pap

!

router ospf 3

router-id 10.200.3.3

no log-adjacency-changes

area 0 authentication message-digest

redistribute connected subnets

network 10.200.3.0 0.0.0.31 area 0

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.200.3.2

!

ip flow-export version 5

ip flow-export destination 10.3.3.11 9996

!

no ip http server

!

!

ip access-list extended acl_user

permit ip any any

logging facility local5

logging source-interface GigabitEthernet2/0/0.150

logging 10.3.3.11

access-list 1 deny 10.3.3.2

access-list 1 deny 10.3.3.50

access-list 1 permit 10.3.3.0 0.0.0.255

access-list 1 deny any

access-list 2 permit 10.3.3.34

access-list 2 deny any

access-list 100 deny tcp any 10.3.3.0 0.0.0.255 eq 22

access-list 100 deny tcp any 10.3.3.0 0.0.0.255 eq 3306

access-list 100 permit ip any host 10.3.3.1

access-list 100 permit ip any host 10.3.3.2

access-list 100 permit ip any host 10.3.3.50

access-list 100 permit ip any host 10.3.3.43

access-list 100 permit ip any host 10.3.3.38

access-list 100 permit ip 195.5.124.0 0.0.1.255 any

access-list 100 permit ip 195.222.124.0 0.0.3.255 any

access-list 100 deny ip any 10.0.0.0 0.255.255.255

access-list 100 deny ip any 172.16.0.0 0.7.255.255

access-list 100 deny ip any 192.168.0.0 0.0.255.255

access-list 100 permit ip any any

access-list 101 deny ip any host 172.16.0.10

access-list 101 permit ip 10.3.3.0 0.0.0.255 host 10.3.3.58

access-list 101 permit ip 10.200.3.0 0.0.0.31 10.200.3.0 0.0.0.31

access-list 101 deny ip any host 10.200.3.3

access-list 101 deny ip any host 10.3.3.58

access-list 101 permit ip any any

!

snmp-server community public RO 2

!

radius-server attribute 8 include-in-access-req

radius-server attribute 31 mac format unformatted

radius-server attribute 31 send nas-port-detail mac-only

radius-server host x.x.x.x auth-port 1812 acct-port 1813

radius-server key xxxx

radius-server vsa send accounting

radius-server vsa send authentication

!

Edited June 29, 2010 by psa79

[AN111]

стандартные грабли и очередной наступивший...

 

interface Virtual-Template1

no ip tcp header-compression

 

[fozz]

и еще выкиньте ms-chap (оба)

[psa79]

стандартные грабли и очередной наступивший...

 

interface Virtual-Template1

no ip tcp header-compression

 

спасибо сделал, посмотрю как будет работать.

 

 

а вот ms-chap убирать нельзя, много роутеров его используют (побывал, было слишком много жалоб)

[fozz]

стандартные грабли и очередной наступивший...

 

interface Virtual-Template1

no ip tcp header-compression

 

спасибо сделал, посмотрю как будет работать.

 

 

а вот ms-chap убирать нельзя, много роутеров его используют (побывал, было слишком много жалоб)

ну огребете потом =)

например так

http://www.opennet.ru/openforum/vsluhforumID6/17564.html

и вот так

http://forum.nag.ru/forum/index.php?showtopic=58493

Edited July 4, 2010 by fozz