Jump to content
Калькуляторы

Cisco6509+spu720+acl = нагрузка cpu на 100%

Reply to this topic

serg_sk   

serg_sk
Posted · Report post

Приветствую всех!

 

Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU.

 

Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят":

 

(config)#ip access-list extended 199
(config-ext-nacl)#dynamic GOODBOYS permit ip any any

 

cisco6509#show access-lists 199
Extended IP access list 199
10 Dynamic GOODBOYS permit ip any any
10   permit ip host xxx.xxx.xxx.xxx any (1 match)
ну и тут много аналогичных правил.

Собственно все, кто в этот список не попал, доступа не имеют.

 

После применения листа получаем:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked	  uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860	  15231 78.97% 83.80% 83.74%   0 FM core

 

С циской столкнулся впервые и пока только разбираюсь.

Есть у кого идеи как разгрузить проц?

Share this post

Link to post
Share on other sites

h1vs2   

h1vs2
Posted · Report post

Приветствую всех!

 

Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU.

 

Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят":

 

(config)#ip access-list extended 199
(config-ext-nacl)#dynamic GOODBOYS permit ip any any

 

cisco6509#show access-lists 199
Extended IP access list 199
10 Dynamic GOODBOYS permit ip any any
10   permit ip host xxx.xxx.xxx.xxx any (1 match)
ну и тут много аналогичных правил.

Собственно все, кто в этот список не попал, доступа не имеют.

 

После применения листа получаем:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked	  uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860	  15231 78.97% 83.80% 83.74%   0 FM core

 

С циской столкнулся впервые и пока только разбираюсь.

Есть у кого идеи как разгрузить проц?

 

Сами списки отрабатываются хардварно. Но когда туда добавляется/убирается запись перестраивается весь TCAM, что и грузит в полку проц.

 

Попробуйте пойти от обратного : разрешить всем, кроме запрещенных )

 

Есть еще возможность попробовать сделать PBR по спику, а не вешать access-group на интерфейсы, но сдается мне результат будет аналогичным)

 

P.S. Видно, что используете NoDeny )

Share this post

Link to post
Share on other sites

serg_sk   

serg_sk
Posted · Report post

да, nodeny. Уже думаю над тем, чтобы пойти от обратного. Разрешить всем, и заблокировать "плохий парней".

Но может, есть другой способ разгрузить циску?

Share this post

Link to post
Share on other sites

dmvy   

dmvy
Posted · Report post

можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться.

Share this post

Link to post
Share on other sites

serg_sk   

serg_sk
Posted (edited) · Report post

dmvy поделитесь :)

 

Попробуйте прописать no ip unreachable на интерфесах с аксес листами.

Сначала нагрузка упала, потом опять поднялась.

 

 

show proc cpu so

 

Вот так:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked    uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860    15231 78.97% 83.80% 83.74%   0 FM core

Edited by serg_sk

Share this post

Link to post
Share on other sites

chocholl   

chocholl
Posted · Report post

фичур менеджер работает у вас.

если не хотите знать все тонкости ордер-депендент и ордер-интепендед программирования tcam то попробуйте вместо acl посылать плохих парней в null, это горахдо проще и легче масштабируется.

 

 

dmvy поделитесь :)

 

Попробуйте прописать no ip unreachable на интерфесах с аксес листами.

Сначала нагрузка упала, потом опять поднялась.

 

 

show proc cpu so

 

Вот так:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked    uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860    15231 78.97% 83.80% 83.74%   0 FM core

Share this post

Link to post
Share on other sites

DVM-Avgoor   

DVM-Avgoor
Posted · Report post

Нумерованные акцесс-листы помещаются в TCAM по мере их заполнения, а именные только в момент выхода из конфигурации акцесс листа. Мне это, к примеру, на моем Sup2 помогает нехило так. У меня 3.5к правил, полет отличный. PBR на интерфейсе нет случаем?

Share this post

Link to post
Share on other sites

dazgluk   

dazgluk
Posted (edited) · Report post

Не совсем понимаю зачем вообще с этим бороться?

ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов.

Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся

Edited by dazgluk

Share this post

Link to post
Share on other sites

serg_sk   

serg_sk
Posted · Report post

можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться.

поделитесь :)

Share this post

Link to post
Share on other sites

Sanchezz   

Sanchezz
Posted · Report post

Не совсем понимаю зачем вообще с этим бороться?

ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов.

Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся

у меня была немного схожая проблема с ACL, но только убегала память, правда Sup2

все тот же, старый добрый Nodeny, но это роли не играет, кто формирует ACL, позже написал свой доступ.

 

основая проблема выливалась в отсутствие доступа к циске, хоть она и форвардила и работала с tcam без проблем

Share this post

Link to post
Share on other sites

SergeiK   

SergeiK
Posted · Report post

Вот такая штука помогает, как разобраться с нагрузкой на CPU, так и ограничивать трафик, который непосредственно перегружает CPU.

Share this post

Link to post
Share on other sites

serg_sk   

serg_sk
Posted · Report post

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

Share this post

Link to post
Share on other sites

tartila   

tartila
Posted · Report post

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

 

Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null.

Share this post

Link to post
Share on other sites

h1vs2   

h1vs2
Posted · Report post

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

 

Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null.

 

А всякие там заглушечки и оплата через платежные системы ?

Share this post

Link to post
Share on other sites

tartila   

tartila
Posted · Report post

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

 

Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null.

 

А всякие там заглушечки и оплата через платежные системы ?

 

Да на здоровье... Роут не на null, а на тазик с Linux - вот и заглушечка.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...