[atdp03]

Доброго времени суток.

Требуется помощь клуба.

 

Заменили dlink 3650 на 7609, вылезли интересные грабли.

 

Схема примерно такая:

 

               /---aggregation
    uplink cisco-7690-servers
              \---pppoeNN

 

Сервера сидят напрямую в терминируемых на кошке вланах, pppoe общаются с ней по ospf, аггрегация идёт через кошку транзитом на L2.

 

Сам конфиг кошки примитивен: порядка 1,5к вланов, из них на самой кошке терминируется полтора десятка, остальное идёт с аггрегации на pppoe машины, оттуда по ospf на кошку, и далее на аплинка.

 

Никаких access-lists, кроме используемых в route-map для фильтрации bgp префиксов.

 

Проблема раз:

В трейсе между вланами терминируемыми на кошке, самой кошки нет. Т.е. трейс это один хоп - конечная машина.

В трейсе с них же наружу - всё штатно.

 

Проблема два:

В трейсе с машин общающихся с кошкой по ospf наружу - её тоже нет, зато дважды видна кошка аплинка. Судя по ttl icmp ответов, это именно она, а не наша.

В трейсе с них же до машин без ospf - кошки нет.

 

mpls нет, маршруты в единичных экземплярах.

 

Куда бы покопать?

Изменено 31 мая, 2011 пользователем atdp03

[applx]

Layer 2

[atdp03]

Все машины, как с ospf так и без, подключены так:

 

interface GigabitEthernet1/13
switchport
switchport trunk encapsulation dot1q
switchport trunk native vlan 5
switchport trunk allowed vlan 5,12-17,350-1200,4000,4080
switchport mode trunk
switchport nonegotiate
channel-group 9 mode active
!
interface GigabitEthernet1/14
switchport
switchport trunk encapsulation dot1q
switchport trunk native vlan 5
switchport trunk allowed vlan 5,12-17,350-1200,4000,4080
switchport mode trunk
switchport nonegotiate
channel-group 9 mode active

 

5 влан - влан где бегает ospf.

Конфиг машин под freebsd с lagg не менялся при переезде.

Единственное отличие "правильных" машин от "неправильных" - у них только один нетегированный влан.

 

Наружу оно смотрит так:

 

interface TenGigabitEthernet5/4
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,8,22,23,39,50-52,60,201,218
switchport mode trunk
switchport nonegotiate

 

22,23 - вланы одного аплинка.

Изменено 31 мая, 2011 пользователем atdp03

[ingress]

no ip proxy-arp на всех SVI.

[atdp03]

Сенькс, была такая мысль.

 

Сделал так на всех интерфейсах:

 

interface Vlan5
ip address *.*.204.35 255.255.255.224
no ip proxy-arp
...
...
interface Vlan22
ip address *.*.66.34 255.255.255.252
no ip proxy-arp

 

Эффект стабильный.

[darkagent]

можно еще глобально

conf t

ip arp proxy dis

[atdp03]

можно еще глобально

conf t

ip arp proxy dis

 

Делали. Не помогает.

[atdp03]

Ок. Задам вопрос попроще.

Железка та же, условия те же.

 

Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
 1   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX     SAL1296VLS0
 3   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX     SAL1127PXSR
 5    5  Route Switch Processor 720 10GE (Activ RSP720-3CXL-10GE   JAE1211B4N0

Mod  Sub-Module                  Model              Serial       Hw     Status
---- --------------------------- ------------------ ----------- ------- -------
 1  Centralized Forwarding Card WS-F6700-CFC       SAL1215UGPC  4.1    Ok
 3  Centralized Forwarding Card WS-F6700-CFC       SAL1129PXLW  3.1    Ok
 5  Policy Feature Card 3       7600-PFC3CXL-10GE  JAE1221B7JT  1.1    Ok
 5  C7600 MSFC4 Daughterboard   7600-MSFC4         JAE1226AEJY  2.0    Ok

 

sh proc cpu | ex 0.00
CPU utilization for five seconds: 38%/36%; one minute: 40%; five minutes: 41%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
 11      970404   5691719        170  0.07%  0.04%  0.04%   0 ARP Input
 69     1233588  22727673         54  0.07%  0.08%  0.10%   0 IP SNMP
152     4353240  11598322        375  1.03%  0.54%  0.54%   0 SNMP ENGINE
202     5027016  53638335         93  0.31%  0.21%  0.20%   0 IP Input
493      619996   6379001         97  0.15%  0.09%  0.08%   0 OSPF-1 Router

 

Самый нагруженный транзитный влан:

 

sh int vlan 5 stats
Vlan5
         Switching path    Pkts In   Chars In   Pkts Out  Chars Out
              Processor   20619751 2762523442   16275299 1404974177
            Route cache   27332720 2873927577    5740537 1083947298
      Distributed cache 95007854646 64168573958248 165549025296 147847581759853
                  Total 95055807117 64174210409267 165571041132 147850070681328

 

sh mac-address-table cou
MAC Entries  for all vlans :
Dynamic Address Count:                10949
Static Address (User-defined) Count:  48
Total MAC Addresses In Use:           10997

 

Трафика при этом, на пальцах, гигабит 5-7 в каждую сторону суммарно по всем интерфейсам.

В час пик трафика в 2-3 раза больше, общая нагрузка при этом в районе 45-50%.

 

Я правильно понимаю, что такая общая нагрузка это фича?

Если нет, то как выловить трафик попадающий на cpu?

Изменено 2 июня, 2011 пользователем atdp03

[darkagent]

Если нет, то как выловить трафик попадающий на cpu?

маи любимаи сцылки

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html

http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html

[carleone]

Я правильно понимаю, что такая общая нагрузка это фича?

Если нет, то как выловить трафик попадающий на cpu?

 

sh ibc brief? Покажет нагрузку на RP.

 

Если быстро поснифать не разбирая пакеты

Копипастом ввести команды:

debug netdr capture
undebug netdr capture

Cмотреть:

show netdr captured-packets