[serg_sk]

Приветствую всех!

 

Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU.

 

Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят":

 

(config)#ip access-list extended 199
(config-ext-nacl)#dynamic GOODBOYS permit ip any any

 

cisco6509#show access-lists 199
Extended IP access list 199
10 Dynamic GOODBOYS permit ip any any
10   permit ip host xxx.xxx.xxx.xxx any (1 match)
ну и тут много аналогичных правил.

Собственно все, кто в этот список не попал, доступа не имеют.

 

После применения листа получаем:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked	  uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860	  15231 78.97% 83.80% 83.74%   0 FM core

 

С циской столкнулся впервые и пока только разбираюсь.

Есть у кого идеи как разгрузить проц?

[h1vs2]

Приветствую всех!

 

Столкнулся с такой проблемой. Имеется Cisco Catalyst 6509 с sup720, локальная сеть примерно на 5к человек. Применяем acl правила для блокирования доступа не проплатившим абонентам. После применения правил получаем 100% нагрузку на CPU.

 

Вот такой лист, в который с биллинга автоматом вносятся ip-шники "хороших ребят":

 

(config)#ip access-list extended 199
(config-ext-nacl)#dynamic GOODBOYS permit ip any any

 

cisco6509#show access-lists 199
Extended IP access list 199
10 Dynamic GOODBOYS permit ip any any
10   permit ip host xxx.xxx.xxx.xxx any (1 match)
ну и тут много аналогичных правил.

Собственно все, кто в этот список не попал, доступа не имеют.

 

После применения листа получаем:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked	  uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860	  15231 78.97% 83.80% 83.74%   0 FM core

 

С циской столкнулся впервые и пока только разбираюсь.

Есть у кого идеи как разгрузить проц?

 

Сами списки отрабатываются хардварно. Но когда туда добавляется/убирается запись перестраивается весь TCAM, что и грузит в полку проц.

 

Попробуйте пойти от обратного : разрешить всем, кроме запрещенных )

 

Есть еще возможность попробовать сделать PBR по спику, а не вешать access-group на интерфейсы, но сдается мне результат будет аналогичным)

 

P.S. Видно, что используете NoDeny )

[serg_sk]

да, nodeny. Уже думаю над тем, чтобы пойти от обратного. Разрешить всем, и заблокировать "плохий парней".

Но может, есть другой способ разгрузить циску?

[dmvy]

можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться.

[MaxSmith]

Попробуйте прописать no ip unreachable на интерфесах с аксес листами.

[martini]

show proc cpu so

[serg_sk]

dmvy поделитесь :)

 

Попробуйте прописать no ip unreachable на интерфесах с аксес листами.

Сначала нагрузка упала, потом опять поднялась.

 

 

show proc cpu so

 

Вот так:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked    uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860    15231 78.97% 83.80% 83.74%   0 FM core

Изменено 31 октября, 2012 пользователем serg_sk

[chocholl]

фичур менеджер работает у вас.

если не хотите знать все тонкости ордер-депендент и ордер-интепендед программирования tcam то попробуйте вместо acl посылать плохих парней в null, это горахдо проще и легче масштабируется.

 

 

dmvy поделитесь :)

 

Попробуйте прописать no ip unreachable на интерфесах с аксес листами.

Сначала нагрузка упала, потом опять поднялась.

 

 

show proc cpu so

 

Вот так:

CPU utilization for five seconds: 99%/5%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked    uSecs   5Sec   1Min   5Min TTY Process 
202   535031420  35126860    15231 78.97% 83.80% 83.74%   0 FM core

[DVM-Avgoor]

Нумерованные акцесс-листы помещаются в TCAM по мере их заполнения, а именные только в момент выхода из конфигурации акцесс листа. Мне это, к примеру, на моем Sup2 помогает нехило так. У меня 3.5к правил, полет отличный. PBR на интерфейсе нет случаем?

[dazgluk]

Не совсем понимаю зачем вообще с этим бороться?

ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов.

Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся

Изменено 31 октября, 2012 пользователем dazgluk

[martini]

а софт какой ?

[martini]

и почитай эту темку, мож поможет http://forum.nag.ru/forum/index.php?showtopic=71729

[serg_sk]

можно уменьшить количество правил. пропустите все ip через скрипт компрессии по битовой маске. у нкс 1200 префиксов сжимаются в 270. на их основе уже и стройте правила. могу скриптом поделиться.

поделитесь :)

[Sanchezz]

Не совсем понимаю зачем вообще с этим бороться?

ACL обрабатывается алгоритмом ACL-merge и заливается в TCAM, что в этом страшного? у Sup720 отличная многозадачность и приоритеты процессов.

Эксплутариуем 6504/sup720, юзаем UBRL/OSPF/iBGP/RSTP/PIM/IGMP_snooping 2 раза в сутки обновляется ACL на ~5к пользователей, пару минут проц в полке, и все. Максимум какие проблемы это доставляет - не ответ на SNMP и таймаут на пару пингов, логично это менее приоритетные задачи. Forwarding работает нормально, никаких таймаутов, багов глюков нет, ARPы создаются, маки изучаются, dhcp релеится и в snooping базу пишутся

у меня была немного схожая проблема с ACL, но только убегала память, правда Sup2

все тот же, старый добрый Nodeny, но это роли не играет, кто формирует ACL, позже написал свой доступ.

 

основая проблема выливалась в отсутствие доступа к циске, хоть она и форвардила и работала с tcam без проблем

[SergeiK]

Вот такая штука помогает, как разобраться с нагрузкой на CPU, так и ограничивать трафик, который непосредственно перегружает CPU.

[serg_sk]

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

[tartila]

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

 

Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null.

[h1vs2]

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

 

Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null.

 

А всякие там заглушечки и оплата через платежные системы ?

[tartila]

Спасибо. Пока проблему решил, сделав обратные ACL. Тоесть блокирую "негодных" пользователей, а остальных не трогаю. В итоге получилось вместо 5к ACL, всего 1к+.

 

Вот что значит не слушать, когда дело говорят... :))) Мне бы ваши проблемы... Вам же несколькими письмами назад написали про route null.

 

А всякие там заглушечки и оплата через платежные системы ?

 

Да на здоровье... Роут не на null, а на тазик с Linux - вот и заглушечка.