Dushes Posted June 20, 2011 (edited) 1) c6509#show running-config | include ip icmp ip icmp rate-limit unreachable 100 c6509#show vlan summary Number of existing VLANs : 1893 Number of existing VTP VLANs : 992 Number of existing extended VLANs : 901 c6509#show module Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-S2U-MSFC2 SAL06261UMM 3 16 SFM-capable 16 port 1000mb GBIC WS-X6516-GBIC SAL0727FUAA 4 16 SFM-capable 16 port 1000mb GBIC WS-X6516-GBIC SAL0745P8V0 1890 ip unnumbered interfaces 2) c6509#show processes cpu CPU utilization for five seconds: 6%/2%; one minute: 14%; five minutes: 18% 3) /root/> ping -f c6509 PING c6509 (x.x.x.x): 56 data bytes ..................................................... 4) c6509#show processes cpu CPU utilization for five seconds: 92%/51%; one minute: 76%; five minutes: 41% Думаю проблема всем ясна, да и проблема довольно старая, хотелось бы знать кто как решает ? Мне в голову приходит только на 2000 интерфейсов вешать rate-limit input ... но вот только есть подозрения что это вызовет еще большую нагрузку cpu Edited June 20, 2011 by Dushes Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted June 20, 2011 no ip proxy-arp no ip unreacheble no ip redirect На каждом из SVI интерфейсов =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dushes Posted June 20, 2011 triam no ip proxy-arp приведет к тому что абоненты не смогут видеть друг друга, ну и вообщем то не очень понятно как это относиться к ping flood если это было для противодействия arp flood то насколько мне известно, ip unnumbered сам по себе справляется, поправьте если не прав ? no ip unreacheble no ip redirect что правда помогает от icmp floods ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ingress Posted June 20, 2011 http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
karyon Posted June 20, 2011 А еще там есть SPAN RP/SP. А чем защитится на 3550g и 3750g? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dushes Posted June 20, 2011 ingress спасибо :) добавлю еще статейку на русском на тему сontrol-plane host http://habrahabr.ru/blogs/cisconetworks/69782/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pliskinsad Posted June 21, 2011 http://tools.ietf.org/html/rfc6192 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ingress Posted June 21, 2011 какой то анганжированный rfc. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
karyon Posted June 22, 2011 (edited) 2Dushes Кстати, у Вас ведь Sup2, а "Hardware CoPP is only supported on PFC3x based systems", короче Вам особо не поможет (. http://www.ciscosystems.info/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11_553261.pdf Edited June 22, 2011 by karyon Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
