serg_sk Опубликовано 30 октября, 2012 · Жалоба Приветствую всех! Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU. Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят": (config)#ip access-list extended 199 (config-ext-nacl)#dynamic GOODBOYS permit ip any any cisco6509#show access-lists 199 Extended IP access list 199 10 Dynamic GOODBOYS permit ip any any 10 permit ip host xxx.xxx.xxx.xxx any (1 match) ну и тут много аналогичных правил. Собственно все, кто в этот список не попал, доступа не имеют. После применения листа получаем: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core С циской столкнулся впервые и пока только разбираюсь. Есть у кого идеи как разгрузить проц? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 30 октября, 2012 · Жалоба Приветствую всех! Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU. Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят": (config)#ip access-list extended 199 (config-ext-nacl)#dynamic GOODBOYS permit ip any any cisco6509#show access-lists 199 Extended IP access list 199 10 Dynamic GOODBOYS permit ip any any 10 permit ip host xxx.xxx.xxx.xxx any (1 match) ну и тут много аналогичных правил. Собственно все, кто в этот список не попал, доступа не имеют. После применения листа получаем: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core С циской столкнулся впервые и пока только разбираюсь. Есть у кого идеи как разгрузить проц? Сами списки отрабатываются хардварно. Но когда туда добавляется/убирается запись перестраивается весь TCAM, что и грузит в полку проц. Попробуйте пойти от обратного : разрешить всем, кроме запрещенных ) Есть еще возможность попробовать сделать PBR по спику, а не вешать access-group на интерфейсы, но сдается мне результат будет аналогичным) P.S. Видно, что используете NoDeny ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 30 октября, 2012 · Жалоба да, nodeny. Уже думаю над тем, чтобы пойти от обратного. Разрешить всем, и заблокировать "плохий парней". Но может, есть другой способ разгрузить циску? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 30 октября, 2012 · Жалоба можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MaxSmith Опубликовано 31 октября, 2012 · Жалоба Попробуйте прописать no ip unreachable на интерфесах с аксес листами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 31 октября, 2012 · Жалоба show proc cpu so Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 31 октября, 2012 (изменено) · Жалоба dmvy поделитесь :) Попробуйте прописать no ip unreachable на интерфесах с аксес листами. Сначала нагрузка упала, потом опять поднялась. show proc cpu so Вот так: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core Изменено 31 октября, 2012 пользователем serg_sk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chocholl Опубликовано 31 октября, 2012 · Жалоба фичур менеджер работает у вас. если не хотите знать все тонкости ордер-депендент и ордер-интепендед программирования tcam то попробуйте вместо acl посылать плохих парней в null, это горахдо проще и легче масштабируется. dmvy поделитесь :) Попробуйте прописать no ip unreachable на интерфесах с аксес листами. Сначала нагрузка упала, потом опять поднялась. show proc cpu so Вот так: CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 202 535031420 35126860 15231 78.97% 83.80% 83.74% 0 FM core Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 31 октября, 2012 · Жалоба Нумерованные акцесс-листы помещаются в TCAM по мере их заполнения, а именные только в момент выхода из конфигурации акцесс листа. Мне это, к примеру, на моем Sup2 помогает нехило так. У меня 3.5к правил, полет отличный. PBR на интерфейсе нет случаем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 31 октября, 2012 (изменено) · Жалоба Не совсем понимаю зачем вообще с этим бороться? ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов. Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся Изменено 31 октября, 2012 пользователем dazgluk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 31 октября, 2012 · Жалоба а софт какой ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 31 октября, 2012 · Жалоба и почитай эту темку, мож поможет http://forum.nag.ru/forum/index.php?showtopic=71729 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 1 ноября, 2012 · Жалоба можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться. поделитесь :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sanchezz Опубликовано 14 ноября, 2012 · Жалоба Не совсем понимаю зачем вообще с этим бороться? ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов. Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся у меня была немного схожая проблема с ACL, но только убегала память, правда Sup2 все тот же, старый добрый Nodeny, но это роли не играет, кто формирует ACL, позже написал свой доступ. основая проблема выливалась в отсутствие доступа к циске, хоть она и форвардила и работала с tcam без проблем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 16 ноября, 2012 · Жалоба Вот такая штука помогает, как разобраться с нагрузкой на CPU, так и ограничивать трафик, который непосредственно перегружает CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 3 декабря, 2012 · Жалоба Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 3 декабря, 2012 · Жалоба Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 4 декабря, 2012 · Жалоба Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null. А всякие там заглушечки и оплата через платежные системы ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 4 декабря, 2012 · Жалоба Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+. Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null. А всякие там заглушечки и оплата через платежные системы ? Да на здоровье... Роут не на null, а на тазик с Linux - вот и заглушечка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...