serg_sk Posted October 30, 2012 · Report post Приветствую всех! Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU. Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят": (config)#ip access-list extended 199 (config-ext-nacl)#dynamic GOODBOYS permit ip any any cisco6509#show access-lists 199 Extended IP access list 199 10 Dynamic GOODBOYS permit ip any any 10 permit ip host xxx.xxx.xxx.xxx any (1 match) ну и тут много аналогичных правил. Собственно все, кто в этот список не попал, доступа не имеют. После применения листа получаем: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core С циской столкнулся впервые и пока только разбираюсь. Есть у кого идеи как разгрузить проц? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h1vs2 Posted October 30, 2012 · Report post Приветствую всех! Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU. Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят": (config)#ip access-list extended 199 (config-ext-nacl)#dynamic GOODBOYS permit ip any any cisco6509#show access-lists 199 Extended IP access list 199 10 Dynamic GOODBOYS permit ip any any 10 permit ip host xxx.xxx.xxx.xxx any (1 match) ну и тут много аналогичных правил. Собственно все, кто в этот список не попал, доступа не имеют. После применения листа получаем: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core С циской столкнулся впервые и пока только разбираюсь. Есть у кого идеи как разгрузить проц? Сами списки отрабатываются хардварно. Но когда туда добавляется/убирается запись перестраивается весь TCAM, что и грузит в полку проц. Попробуйте пойти от обратного : разрешить всем, кроме запрещенных ) Есть еще возможность попробовать сделать PBR по спику, а не вешать access-group на интерфейсы, но сдается мне результат будет аналогичным) P.S. Видно, что используете NoDeny ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
serg_sk Posted October 30, 2012 · Report post да, nodeny. Уже думаю над тем, чтобы пойти от обратного. Разрешить всем, и заблокировать "плохий парней". Но может, есть другой способ разгрузить циску? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted October 30, 2012 · Report post можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MaxSmith Posted October 31, 2012 · Report post Попробуйте прописать no ip unreachable на интерфесах с аксес листами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted October 31, 2012 · Report post show proc cpu so Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
serg_sk Posted October 31, 2012 (edited) · Report post dmvy поделитесь :) Попробуйте прописать no ip unreachable на интерфесах с аксес листами. Сначала нагрузка упала, потом опять поднялась. show proc cpu so Вот так: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core Edited October 31, 2012 by serg_sk Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chocholl Posted October 31, 2012 · Report post фичур менеджер работает у вас. если не хотите знать все тонкости ордер-депендент и ордер-интепендед программирования tcam то попробуйте вместо acl посылать плохих парней в null, это горахдо проще и легче масштабируется. dmvy поделитесь :) Попробуйте прописать no ip unreachable на интерфесах с аксес листами. Сначала нагрузка упала, потом опять поднялась. show proc cpu so Вот так: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted October 31, 2012 · Report post Нумерованные акцесс-листы помещаются в TCAM по мере их заполнения, а именные только в момент выхода из конфигурации акцесс листа. Мне это, к примеру, на моем Sup2 помогает нехило так. У меня 3.5к правил, полет отличный. PBR на интерфейсе нет случаем? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dazgluk Posted October 31, 2012 (edited) · Report post Не совсем понимаю зачем вообще с этим бороться? ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов. Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся Edited October 31, 2012 by dazgluk Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted October 31, 2012 · Report post а софт какой ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted October 31, 2012 · Report post и почитай эту темку, мож поможет http://forum.nag.ru/forum/index.php?showtopic=71729 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
serg_sk Posted November 1, 2012 · Report post можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться. поделитесь :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sanchezz Posted November 14, 2012 · Report post Не совсем понимаю зачем вообще с этим бороться? ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов. Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся у меня была немного схожая проблема с ACL, но только убегала память, правда Sup2 все тот же, старый добрый Nodeny, но это роли не играет, кто формирует ACL, позже написал свой доступ. основая проблема выливалась в отсутствие доступа к циске, хоть она и форвардила и работала с tcam без проблем Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergeiK Posted November 16, 2012 · Report post Вот такая штука помогает, как разобраться с нагрузкой на CPU, так и ограничивать трафик, который непосредственно перегружает CPU. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
serg_sk Posted December 3, 2012 · Report post Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tartila Posted December 3, 2012 · Report post Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h1vs2 Posted December 4, 2012 · Report post Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null. А всякие там заглушечки и оплата через платежные системы ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tartila Posted December 4, 2012 · Report post Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null. А всякие там заглушечки и оплата через платежные системы ? Да на здоровье... Роут не на null, а на тазик с Linux - вот и заглушечка. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...