Jump to content

ip auth-proxy, Input features: MCI Check и %QATM-4-TCAM_LOW

survivor
 Share

Recommended Posts

survivor

survivor

Posted
Posted

Доброго времени суток!

 

Попал я давеча в @%4#! Попробовал "ip auth-proxy" (будь он неладен) на interface vlan'е 3550-го каталиста. Отработало все хорошо, только быстро кончилась производительность каталиста и он начал интенсивно дропать траффик проходящий через этот SVI интерфейс. Я быстренько все снес обратно, только... тут меня ждал прикол:

show ip interface vlan XXX теперь показывает: "Input features: MCI Check, Access List" вместо "Input features: Access List" до всей этой перетрубации.

И тормоза остались. Сношу с интерфейса acl - дропы прекращаются. Хотя acl из трех строк, стоял на этом интерфейсе полгода и проблем не наблюдалось.

С любым другим input acl'ом на этом SVI интерфейсе - такие же дропы. В логах:

 

Sep 14 19:06:19.167 AZT: %FM-3-RELOADED: Reloading input vlan label 16 feature in all TCAMs
Sep 14 19:06:19.287 AZT: %FM-3-UNLOADING: Unloading input vlan label 14 feature from all TCAMs
Sep 14 19:06:50.632 AZT: %FM-3-UNLOADING: Unloading input vlan label 16 feature from all TCAMs
Sep 14 19:07:02.344 AZT: %FM-3-RELOADED: Reloading input vlan label 16 feature in all TCAMs
Sep 14 19:07:02.472 AZT: %FM-3-UNLOADING: Unloading input vlan label 14 feature from all TCAMs
Sep 14 19:07:26.705 AZT: %QATM-4-TCAM_LOW: TCAM resource running low for table Input ACL, resource type TCAM masks, on TCAM number 1

 

Перезагрузка не помогает, в конфиге ничего от ip auth-proxy не осталось. Я теперь на этот interface vlan не могу посадить ни один input acl. Что делать?!

wtyd

wtyd

Posted
Posted (edited)

Наверное всё же что-то осталось в конфиге :-). Я эту фичу не юзал, но могу предположить, что фича автоматически включила какие-то другие настройки, от чего трафик полез в ЦПУ, отсюда проблемы.

 

Следует внимательно изучить конфиг, лучше сделать diff, или про каждую строчку конфига узнавать, что это такое, и вспоминать, была ли она раньше, ещё делать выводы и оставлять/удалять строчку.

 

Ну и конечно же софт обновить, если ещё не.

 

P.S. Я вот не помню, но на каких-то старых каталистах было ограничение в 15 svi, это случайно не тот случай ? Сколько у вас svi в конфигурации ?

Edited by wtyd
survivor

survivor

Posted
  • Author
Posted

Спасибо за ответ!

 

Но я знаю каждую строчку у меня в конфиге, зачем она там и почему, была она раньше или нет... Я проверил построчно - ничего нового не появилось, абсолютно в этом уверен. Проверил содержимое файловых систем nvram: и flash: - там тоже ничего нового.

 

Софт у меня этот еще на двух десятках таких же каталистов не один год работает без проблем. Количество svi не изменилось.

Я только добавил в interface vlan:

ip auth-proxy ...

и потом сделал:

no ip auth-proxy

 

После этого в sh ip int vlan:

"input features" сменились с "access-list" на "access-list, mci check" после чего и начались проблемы...

 

Если кто знает, что такое "Input Features: MCI Check" (ни google ни cisco.com про них не в курсе) и как это выключить - помогите, пожалуйста! :)

survivor

survivor

Posted
  • Author
Posted

C8_3550#sh tcam inacl 1 statistics

Ingress ACL TCAM#1: Number of active labels: 14

Ingress ACL TCAM#1: Number of masks allocated: 205, available: 3

Ingress ACL TCAM#1: Number of entries allocated: 365, available: 1299

 

C8_3550#sh tcam inacl 2 statistics

Ingress ACL TCAM#2: Number of active labels: 14

Ingress ACL TCAM#2: Number of masks allocated: 205, available: 3

Ingress ACL TCAM#2: Number of entries allocated: 365, available: 1299

 

C8_3550#sh tcam outacl 1 statistics

Egress ACL TCAM#1: Number of active labels: 11

Egress ACL TCAM#1: Number of masks allocated: 71, available: 137

Egress ACL TCAM#1: Number of entries allocated: 178, available: 1486

 

C8_3550#sh tcam outacl 2 statistics

Egress ACL TCAM#2: Number of active labels: 11

Egress ACL TCAM#2: Number of masks allocated: 71, available: 137

Egress ACL TCAM#2: Number of entries allocated: 178, available: 1486

 

C8_3550#sh tcam qos 1 statistics

QoS TCAM#1: Number of active labels: 0

QoS TCAM#1: Number of masks allocated: 4, available: 412

QoS TCAM#1: Number of entries allocated: 1, available: 3327

 

C8_3550#sh tcam qos 2 statistics

QoS TCAM#2: Number of active labels: 0

QoS TCAM#2: Number of masks allocated: 4, available: 412

QoS TCAM#2: Number of entries allocated: 1, available: 3327

 

C8_3550#sh tcam pbr 1 statistics

PBR TCAM#1: Number of active labels: 0

PBR TCAM#1: Number of masks allocated: 0

PBR TCAM#1: Number of entries allocated: 0

 

C8_3550#sh tcam pbr 2 statistics

PBR TCAM#2: Number of active labels: 0

PBR TCAM#2: Number of masks allocated: 0

PBR TCAM#2: Number of entries allocated: 0

survivor

survivor

Posted
  • Author
Posted (edited)

Ingress ACL TCAM#1: Number of masks allocated: 205, available: 3

 

ищите кто съел этот ресурс.

 

а как - не поможете?

 

в sh tcam inacl 1 entries один из первых по количеству entries это vlan5:

Label Value: 8197(vlan label 5) Number of entries: 95
Ts - timestamp, Tb - TableId, L - L4OpSelect (IP) or lsapValid (MAC)
M - IP (1) or MAC (0), R - routerMacAddress
I - ipOption, S - lookupSize, Pl - Port Label, Vl - VLAN Label
F - fragmentInfo (IP) or IP header checksum error (MAC)
D - DSCP (IP) or IP header error (MAC)
T - tcpPacket (IP) or cos (MAC)
U - udpPacket (IP) or reserved bits (MAC)
MapR - l4MapResult (IP TCP/UDP) or l3 protocol type (MAC)
S-addr - source address, D-addr - destination address
S-pr - l4 source port (IP TCP/UDP) or IP protocol number
D-pr - l4 destination port or version and type (IP IGMP)
or type and code (IP ICMP)

 

хотя у меня нет interface vlan 5 интерфейса на этом каталисте!

Edited by survivor
wtyd

wtyd

Posted
Posted

Ingress ACL TCAM#1: Number of masks allocated: 205, available: 3

 

ищите кто съел этот ресурс.

 

а как - не поможете?

 

в sh tcam inacl 1 entries один из первых по количеству entries это vlan5:

Label Value: 8197(vlan label 5) Number of entries: 95
Ts - timestamp, Tb - TableId, L - L4OpSelect (IP) or lsapValid (MAC)
M - IP (1) or MAC (0), R - routerMacAddress
I - ipOption, S - lookupSize, Pl - Port Label, Vl - VLAN Label
F - fragmentInfo (IP) or IP header checksum error (MAC)
D - DSCP (IP) or IP header error (MAC)
T - tcpPacket (IP) or cos (MAC)
U - udpPacket (IP) or reserved bits (MAC)
MapR - l4MapResult (IP TCP/UDP) or l3 protocol type (MAC)
S-addr - source address, D-addr - destination address
S-pr - l4 source port (IP TCP/UDP) or IP protocol number
D-pr - l4 destination port or version and type (IP IGMP)
or type and code (IP ICMP)

 

хотя у меня нет interface vlan 5 интерфейса на этом каталисте!

 

Точно не скажу, но у цысок есть внутреннее распределение вланов. Т.е. каталист может заюзать какой-то влан себе и не отдавать его потом. У меня это влан номер 8 :-). Сделал саб с таким тегом, удалил, но после не могу заюзать влан номер 8 в шасси вообще никак. Говорят, это рудимент какой-то подсистемы. Наверное код копипастили с другого иоса и так вышло.

 

На сколько помню, с включенным vtp свич сохраняет на флеш vlandatabase (файлик пишет), может быть поэтому у вас после ребута ничего не меняется ?

 

Попробуйте vtp выключить, если включено, удалить(забекапив перед этим) файлик с вланами.

 

ну ... флеш по-ерайзить и залить всё заново предлагать не буду :-).

wtyd

wtyd

Posted
Posted

Вланы для внутренних нужд можно посмотреть(sh vlan internal usage)

 

Мой восьмой влан там есть, но на самом деле его нет :-). Просто ТС перегружал свой 3550, я решил предположить, что влан, которого у него нет, хранится в файлике вланов.

 

Ну увидит ТС в выводе предложенной команды свой несуществующий влан, который у него ТСАМ сожрал, что дальше делать ? Как выковырять и без того несуществующий в конфигурации влан ? :-).

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.