Jump to content

Cisco6509+spu720+acl = нагрузка cpu на 100%

serg_sk
 Share

Recommended Posts

serg_sk

serg_sk

Posted
Posted

Приветствую всех!

 

Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU.

 

Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят":

 

(config)#ip access-list extended 199
(config-ext-nacl)#dynamic GOODBOYS permit ip any any

 

cisco6509#show access-lists 199
Extended IP access list 199
10 Dynamic GOODBOYS permit ip any any
10   permit ip host xxx.xxx.xxx.xxx any (1 match)
ну и тут много аналогичных правил.

Собственно все, кто в этот список не попал, доступа не имеют.

 

После применения листа получаем:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked	  uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860	  15231 78.97% 83.80% 83.74%   0 FM core

 

С циской столкнулся впервые и пока только разбираюсь.

Есть у кого идеи как разгрузить проц?

h1vs2

h1vs2

Posted
Posted

Приветствую всех!

 

Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU.

 

Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят":

 

(config)#ip access-list extended 199
(config-ext-nacl)#dynamic GOODBOYS permit ip any any

 

cisco6509#show access-lists 199
Extended IP access list 199
10 Dynamic GOODBOYS permit ip any any
10   permit ip host xxx.xxx.xxx.xxx any (1 match)
ну и тут много аналогичных правил.

Собственно все, кто в этот список не попал, доступа не имеют.

 

После применения листа получаем:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked	  uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860	  15231 78.97% 83.80% 83.74%   0 FM core

 

С циской столкнулся впервые и пока только разбираюсь.

Есть у кого идеи как разгрузить проц?

 

Сами списки отрабатываются хардварно. Но когда туда добавляется/убирается запись перестраивается весь TCAM, что и грузит в полку проц.

 

Попробуйте пойти от обратного : разрешить всем, кроме запрещенных )

 

Есть еще возможность попробовать сделать PBR по спику, а не вешать access-group на интерфейсы, но сдается мне результат будет аналогичным)

 

P.S. Видно, что используете NoDeny )

serg_sk

serg_sk

Posted
  • Author
Posted

да, nodeny. Уже думаю над тем, чтобы пойти от обратного. Разрешить всем, и заблокировать "плохий парней".

Но может, есть другой способ разгрузить циску?

dmvy

dmvy

Posted
Posted

можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться.

serg_sk

serg_sk

Posted
  • Author
Posted (edited)

dmvy поделитесь :)

 

Попробуйте прописать no ip unreachable на интерфесах с аксес листами.

Сначала нагрузка упала, потом опять поднялась.

 

 

show proc cpu so

 

Вот так:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked    uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860    15231 78.97% 83.80% 83.74%   0 FM core

Edited by serg_sk
chocholl

chocholl

Posted
Posted

фичур менеджер работает у вас.

если не хотите знать все тонкости ордер-депендент и ордер-интепендед программирования tcam то попробуйте вместо acl посылать плохих парней в null, это горахдо проще и легче масштабируется.

 

 

dmvy поделитесь :)

 

Попробуйте прописать no ip unreachable на интерфесах с аксес листами.

Сначала нагрузка упала, потом опять поднялась.

 

 

show proc cpu so

 

Вот так:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked    uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860    15231 78.97% 83.80% 83.74%   0 FM core

DVM-Avgoor

DVM-Avgoor

Posted
Posted

Нумерованные акцесс-листы помещаются в TCAM по мере их заполнения, а именные только в момент выхода из конфигурации акцесс листа. Мне это, к примеру, на моем Sup2 помогает нехило так. У меня 3.5к правил, полет отличный. PBR на интерфейсе нет случаем?

dazgluk

dazgluk

Posted
Posted (edited)

Не совсем понимаю зачем вообще с этим бороться?

ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов.

Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся

Edited by dazgluk
serg_sk

serg_sk

Posted
  • Author
Posted

можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться.

поделитесь :)

  • 2 weeks later...
Sanchezz

Sanchezz

Posted
Posted

Не совсем понимаю зачем вообще с этим бороться?

ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов.

Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся

у меня была немного схожая проблема с ACL, но только убегала память, правда Sup2

все тот же, старый добрый Nodeny, но это роли не играет, кто формирует ACL, позже написал свой доступ.

 

основая проблема выливалась в отсутствие доступа к циске, хоть она и форвардила и работала с tcam без проблем

  • 3 weeks later...
serg_sk

serg_sk

Posted
  • Author
Posted

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

tartila

tartila

Posted
Posted

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

 

Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null.

h1vs2

h1vs2

Posted
Posted

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

 

Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null.

 

А всякие там заглушечки и оплата через платежные системы ?

tartila

tartila

Posted
Posted

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

 

Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null.

 

А всякие там заглушечки и оплата через платежные системы ?

 

Да на здоровье... Роут не на null, а на тазик с Linux - вот и заглушечка.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.