Andrey_open Опубликовано 29 июня, 2011 · Жалоба Приветствую. имеется ESR10008 PRE-2 с установленными портами 1GE в количестве 8 штук. Собрано 2 etherchannel по 4 порта. Все это включено в 6509+Sup720-3BXL ESR принимает L2TP, количество сессий около 4к, загрузка процессора до 50%. Что вызывает подозрения - трафик на эзерчаннеле не превышает 2.3.-2.5 Гбит/сек на вход и столько же на исход. Вопрос собственно в этом - железка сможет пропустить больше или это предел? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 29 июня, 2011 · Жалоба Приветствую. имеется ESR10008 PRE-2 с установленными портами 1GE в количестве 8 штук. Собрано 2 etherchannel по 4 порта. Все это включено в 6509+Sup720-3BXL ESR принимает L2TP, количество сессий около 4к, загрузка процессора до 50%. Что вызывает подозрения - трафик на эзерчаннеле не превышает 2.3.-2.5 Гбит/сек на вход и столько же на исход. Вопрос собственно в этом - железка сможет пропустить больше или это предел? Железка пророутит еще много. Что-то у вас работает через софт. У нас было похожа проблема, когда включили NetFlow. При такой же загрузке по трафику, как у вас, проц у нас нагружен максимум на 25%. Но у нас PPPoE. Сессий значительно больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey_open Опубликовано 29 июня, 2011 · Жалоба а как бы узнать что работает софтово? version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname cox ! boot-start-marker boot system flash disk1:c10k2-p11-mz.122-33.SB8.bin boot-end-marker ! enable secret 5 xxx enable password xxx ! aaa new-model ! ! aaa authentication login default local-case aaa authentication ppp default group radius aaa authorization exec default none aaa authorization network default group radius aaa accounting delay-start aaa accounting network default start-stop group radius ! ! ! ! aaa server radius dynamic-author client 172.17.192.254 server-key xxx client 172.17.192.250 server-key xxx auth-type any ignore session-key ignore server-key ! aaa session-id common security authentication failure rate 2 log clock timezone GMT+2 3 clock summer-time Kiev recurring last Sun Mar 2:00 last Sun Oct 2:00 clock calendar-valid facility-alarm core-temperature major 58 facility-alarm core-temperature minor 50 facility-alarm intake-temperature major 54 facility-alarm intake-temperature minor 45 ! ! card 1/0 1gigethernet-1 card 2/0 1gigethernet-1 card 3/0 1gigethernet-1 card 4/0 1gigethernet-1 card 5/0 1gigethernet-1 card 6/0 1gigethernet-1 card 7/0 1gigethernet-1 card 8/0 1gigethernet-1 ip subnet-zero no ip gratuitous-arps ip domain lookup source-interface GigabitEthernet1/0/0 ip domain name xxx.net.ua ip name-server 8.8.8.8 ! ! login block-for 1 attempts 5 within 1 login delay 1 login on-failure log ! ! multilink bundle-name authenticated vpdn enable vpdn session-limit 10000 ! vpdn-group group ! Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 1 no l2tp tunnel authentication ! archive path tftp://172.17.192.1/$h-$t write-memory lacp system-priority 1 username admin privilege 15 password 0 xxxx ! redundancy mode sso ! ! ! ! interface Loopback0 ip address 10.10.10.1 255.255.255.252 no ip unreachables ! interface Port-channel5 no ip address no negotiation auto lacp fast-switchover ! interface Port-channel5.332 encapsulation dot1Q 332 ip address xx.xx.xx.xx 255.255.255.248 ! interface Port-channel5.333 encapsulation dot1Q 333 ip address 172.17.193.254 255.255.255.0 ! interface Port-channel6 no ip address no negotiation auto lacp fast-switchover ! interface Port-channel6.192 encapsulation dot1Q 192 ip address 172.17.192.252 255.255.255.0 ! interface FastEthernet0/0/0 ip address 192.168.3.222 255.255.255.0 speed 100 full-duplex ! interface GigabitEthernet1/0/0 no ip address negotiation auto channel-group 6 mode active ! interface GigabitEthernet2/0/0 no ip address negotiation auto channel-group 6 mode active ! interface GigabitEthernet3/0/0 no ip address negotiation auto channel-group 6 mode active ! interface GigabitEthernet4/0/0 no ip address negotiation auto channel-group 6 mode active ! interface GigabitEthernet5/0/0 no ip address negotiation auto channel-group 5 mode active ! interface GigabitEthernet6/0/0 no ip address negotiation auto channel-group 5 mode active ! interface GigabitEthernet7/0/0 no ip address negotiation auto channel-group 5 mode active ! interface GigabitEthernet8/0/0 no ip address negotiation auto channel-group 5 mode active ! interface Virtual-Template1 ip unnumbered Loopback0 ip verify unicast source reachable-via rx allow-default allow-self-ping no ip redirects no ip unreachables no ip proxy-arp ip tcp adjust-mss 1452 no peer default ip address ppp max-bad-auth 3 ppp mru match ppp authentication chap ppp ipcp dns 8.8.8.8 ppp ipcp mask reject ppp timeout retry 3 ppp timeout authentication 45 ! router bgp xxxx no synchronization bgp log-neighbor-changes network xx.xx.xx.xx mask 255.255.240.0 network xx.xx.xx.xx mask 255.255.240.0 neighbor xx.xx.xx.xx remote-as xxxx neighbor xx.xx.xx.xx soft-reconfiguration inbound no auto-summary ! ip default-gateway xx.xx.xx.xx ip classless ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx ip route xx.xx.xx.xx 255.255.240.0 Null0 ip route xx.xx.xx.xx 255.255.240.0 Null0 ip route 172.16.0.0 255.240.0.0 172.17.192.1 ! ! no ip http server ! no ip prefix-list sequence-number ! kron occurrence daily at 4:00 recurring policy-list save-config ! logging 192.168.3.5 logging 192.168.3.9 snmp-server community yyyyy RO snmp-server community wwwww RO ! radius-server attribute 44 include-in-access-req radius-server attribute 44 extend-with-addr radius-server attribute 188 format non-standard radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 32 include-in-access-req radius-server attribute 32 include-in-accounting-req radius-server attribute 55 include-in-acct-req radius-server attribute 25 access-request include radius-server configure-nas radius-server host 172.17.192.250 auth-port 1812 acct-port 1813 radius-server key xxxxxx radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication ! control-plane ! ! line con 0 exec-timeout 0 0 transport output all line aux 0 transport output all line vty 0 4 session-timeout 3 access-class 5 in password xxxxxxx transport input telnet transport output telnet line vty 5 15 password xxxxxx ! ntp clock-period 17182253 ntp server 192.168.3.9 end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 29 июня, 2011 · Жалоба sh proc cpu so | e 0.00 show pxf cpu context p.s. нет фильтрации говнотрафа, оно может на rp сваливаться запросто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey_open Опубликовано 29 июня, 2011 · Жалоба sh proc cpu so | e 0.00 show pxf cpu context завтра на работе буду, покажу p.s. нет фильтрации говнотрафа, оно может на rp сваливаться запросто. для тех кто в танке объясните пожалуйста подробнее что Вы имеете ввиду под говнотрафом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 29 июня, 2011 · Жалоба к примеру udp на 255.255.255.255 а так тема была http://forum.nag.ru/forum/index.php?showtopic=64293 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fozz Опубликовано 30 июня, 2011 · Жалоба Добавьте no ip source-route ip arp gratuitous none no ip gratuitous-arps ip icmp rate-limit unreachable 1 ip icmp rate-limit unreachable DF 1 на IP интерфейсы добавьте no ip redirect no ip proxy-arp Уберите ip default-gateway xx.xx.xx.xx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey_open Опубликовано 30 июня, 2011 · Жалоба Спасибо за рекомендации, сегодня попробую. cox#sh proc cpu sorted | exclude 0.00 CPU utilization for five seconds: 14%/2%; one minute: 16%; five minutes: 15% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 134 998568 1891065 528 8.55% 8.27% 8.11% 0 IP Input 216 104188 4376 23808 0.79% 0.47% 0.46% 0 STATS DMA Daemon 215 50904 49392 1030 0.47% 0.42% 0.40% 0 c10k_periodic_st 293 271324 3443957 78 0.47% 0.72% 0.72% 0 RADIUS 210 45556 65424 696 0.39% 0.44% 0.46% 0 CEF: IPv4 proces 209 29976 10262 2921 0.31% 0.13% 0.11% 0 Collection proce 167 84 201 417 0.31% 0.09% 0.02% 2 Virtual Exec 130 15080 550645 27 0.23% 0.18% 0.16% 0 AAA ACCT Proc 275 12232 2472538 4 0.15% 0.06% 0.05% 0 L2X Data Daemon 276 267856 1517903 176 0.15% 0.59% 0.57% 0 L2TP mgmt daemon 296 70168 14753 4756 0.07% 0.45% 0.37% 0 VTEMPLATE Backgr 181 24060 50679 474 0.07% 0.28% 0.22% 0 IP Background 277 58088 135199 429 0.07% 0.12% 0.13% 0 L2TUN Applicatio 180 4568 8415 542 0.07% 0.04% 0.05% 0 Hardware API bac 281 56772 1592742 35 0.07% 0.12% 0.11% 0 PPP Events cox#show pxf cpu context FP context statistics count rate (since last time command was run) --------------------- ------------- ---------- feed_back 7254911172 174936 new_work_from_lc 8483435484 202785 new_work_from_rp 7058620 165 new_work_from_replay 0 0 null_context 247467437284 5883539 ---------- 6261425 FP average context/sec 1min 5min 60min --------------------- ---------- ---------- ---------- feed_back 458528 452405 424535 cps new_work_from_lc 448037 443537 415730 cps new_work 336 331 321 cps new_work_from_replay 0 0 0 cps null_context 5287780 5299159 5362054 cps --------------------- ---------- ---------- ---------- Total 6194681 6195432 6202641 cps FP context utilization 1min 5min 60min --------------------- ---------- ---------- ---------- Actual 14 % 14 % 13 % Theoretical 14 % 14 % 13 % Maximum 96 % 96 % 96 % Но это утро, трафика чуть больше гига и 2,5к сессий Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey_open Опубликовано 2 июля, 2011 (изменено) · Жалоба Сделал как Вы предложили + добавил ACL для udp на 255.255.255.255 и о чудо: наблюдаю значительно снижение нагрузки на RP. Но вопрос остается открытым - сколько прожует PRE-2 трафика при туннельном доступе? Изменено 2 июля, 2011 пользователем Andrey_open Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 2 июля, 2011 · Жалоба Он якобы wire-speed, т.к. весь трафик жуёт PFX'ом, а не процессором. Так что смотрите ещё и загрузку PXF... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey_open Опубликовано 2 июля, 2011 · Жалоба Он якобы wire-speed, т.к. весь трафик жуёт PFX'ом, а не процессором.Так что смотрите ещё и загрузку PXF... ну если это что нужно: FP context utilization 1min 5min 60min --------------------- ---------- ---------- ---------- Actual 18 % 18 % 17 % Theoretical 17 % 17 % 17 % Maximum 96 % 96 % 96 % то вроде бы порядок Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...