serg_sk Опубликовано 30 октября, 2012 Приветствую всех! Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU. Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят": (config)#ip access-list extended 199 (config-ext-nacl)#dynamic GOODBOYS permit ip any any cisco6509#show access-lists 199 Extended IP access list 199 10 Dynamic GOODBOYS permit ip any any 10 permit ip host xxx.xxx.xxx.xxx any (1 match) ну и тут много аналогичных правил. Собственно все, кто в этот список не попал, доступа не имеют. После применения листа получаем: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core С циской столкнулся впервые и пока только разбираюсь. Есть у кого идеи как разгрузить проц? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 30 октября, 2012 Приветствую всех! Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU. Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят": (config)#ip access-list extended 199 (config-ext-nacl)#dynamic GOODBOYS permit ip any any cisco6509#show access-lists 199 Extended IP access list 199 10 Dynamic GOODBOYS permit ip any any 10 permit ip host xxx.xxx.xxx.xxx any (1 match) ну и тут много аналогичных правил. Собственно все, кто в этот список не попал, доступа не имеют. После применения листа получаем: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core С циской столкнулся впервые и пока только разбираюсь. Есть у кого идеи как разгрузить проц? Сами списки отрабатываются хардварно. Но когда туда добавляется/убирается запись перестраивается весь TCAM, что и грузит в полку проц. Попробуйте пойти от обратного : разрешить всем, кроме запрещенных ) Есть еще возможность попробовать сделать PBR по спику, а не вешать access-group на интерфейсы, но сдается мне результат будет аналогичным) P.S. Видно, что используете NoDeny ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 30 октября, 2012 да, nodeny. Уже думаю над тем, чтобы пойти от обратного. Разрешить всем, и заблокировать "плохий парней". Но может, есть другой способ разгрузить циску? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 30 октября, 2012 можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MaxSmith Опубликовано 31 октября, 2012 Попробуйте прописать no ip unreachable на интерфесах с аксес листами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 31 октября, 2012 show proc cpu so Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 31 октября, 2012 (изменено) dmvy поделитесь :) Попробуйте прописать no ip unreachable на интерфесах с аксес листами. Сначала нагрузка упала, потом опять поднялась. show proc cpu so Вот так: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core Изменено 31 октября, 2012 пользователем serg_sk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chocholl Опубликовано 31 октября, 2012 фичур менеджер работает у вас. если не хотите знать все тонкости ордер-депендент и ордер-интепендед программирования tcam то попробуйте вместо acl посылать плохих парней в null, это горахдо проще и легче масштабируется. dmvy поделитесь :) Попробуйте прописать no ip unreachable на интерфесах с аксес листами. Сначала нагрузка упала, потом опять поднялась. show proc cpu so Вот так: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 31 октября, 2012 Нумерованные акцесс-листы помещаются в TCAM по мере их заполнения, а именные только в момент выхода из конфигурации акцесс листа. Мне это, к примеру, на моем Sup2 помогает нехило так. У меня 3.5к правил, полет отличный. PBR на интерфейсе нет случаем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 31 октября, 2012 (изменено) Не совсем понимаю зачем вообще с этим бороться? ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов. Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся Изменено 31 октября, 2012 пользователем dazgluk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 31 октября, 2012 а софт какой ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 31 октября, 2012 и почитай эту темку, мож поможет http://forum.nag.ru/forum/index.php?showtopic=71729 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 1 ноября, 2012 можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться. поделитесь :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sanchezz Опубликовано 14 ноября, 2012 Не совсем понимаю зачем вообще с этим бороться? ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов. Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся у меня была немного схожая проблема с ACL, но только убегала память, правда Sup2 все тот же, старый добрый Nodeny, но это роли не играет, кто формирует ACL, позже написал свой доступ. основая проблема выливалась в отсутствие доступа к циске, хоть она и форвардила и работала с tcam без проблем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 16 ноября, 2012 Вот такая штука помогает, как разобраться с нагрузкой на CPU, так и ограничивать трафик, который непосредственно перегружает CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 3 декабря, 2012 Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 3 декабря, 2012 Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 4 декабря, 2012 Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null. А всякие там заглушечки и оплата через платежные системы ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 4 декабря, 2012 Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null. А всякие там заглушечки и оплата через платежные системы ? Да на здоровье... Роут не на null, а на тазик с Linux - вот и заглушечка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...