Jump to content
Калькуляторы

Cat 6500 траблшутинг

Есть бордер на 6500 с парой аплинков и парой IX-ов. В последний месяц начал замечать, что 1-2 раза случаются некие проблемы в Control Plane. Нагиос фиксирует потери и задержки при пингах интерфейса 65-ой, cacti рисует провал в трафике на интерфейсах (видимо циска не отвечает по snmp в момент проблемы), в тоже время графики с других устройств указывают на то, что с самим трафиком проблем нет. Похоже, что захлебывается cpu, но как понять кто в этом виноват? В логах пусто. "Поймать" проблему в реальном времени сложно. Возможно штормит кого-то.. на портах IX-ов и даунлинков включен шторм-контроль, но это такое.. Что еще можно покрутить?

Share this post


Link to post
Share on other sites

Есть бордер на 6500 с парой аплинков и парой IX-ов. В последний месяц начал замечать, что 1-2 раза случаются некие проблемы в Control Plane. Нагиос фиксирует потери и задержки при пингах интерфейса 65-ой, cacti рисует провал в трафике на интерфейсах (видимо циска не отвечает по snmp в момент проблемы), в тоже время графики с других устройств указывают на то, что с самим трафиком проблем нет. Похоже, что захлебывается cpu, но как понять кто в этом виноват? В логах пусто. "Поймать" проблему в реальном времени сложно. Возможно штормит кого-то.. на портах IX-ов и даунлинков включен шторм-контроль, но это такое.. Что еще можно покрутить?

 

 

COPP конечно же. Это самое оно.

А вообще гадать по фразе "бордер на 6500" очень сложно. Суп-то какой? Сколько префиксов? Не виноваты ли в загрузке цпу флапы пиров бгп?

Выключен ли везде proxy-arp, ip unreachables, ip redirects?

Share this post


Link to post
Share on other sites
ip access-list extended FRAGMENTS
   permit ip any any fragments

ip access-list extended ICMP
   permit icmp any any

ipv6 access-list ICMPv6
   permit icmp any any

ipv6 access-list POLICING_IPv6
permit icmp any any nd-ns

ip access-list extended MANAGEMENT_POLICING
permit tcp any any eq 22
permit tcp any any eq telnet
permit tcp any any eq www
permit tcp any any eq 443
permit tcp any any eq ftp
permit tcp any any eq cmd
permit udp any any eq snmp
permit udp any any eq ntp
permit udp any any eq syslog
permit udp any any eq tftp
permit udp any any eq domain



class-map match-any MANAGEMENT
 match access-group name MANAGEMENT_POLICING

class-map match-any ICMP
 match access-group name ICMP

class-map match-all IPv6_POLICING
 match access-group name POLICING_IPv6

class-map match-any FRAGMENTS
 match access-group name FRAGMENTS

class-map match-any ICMPv6
 match access-group name ICMPv6




policy-map CoPP
 class FRAGMENTS
  police 32000    conform-action drop     exceed-action drop     violate-action drop 
 class IPv6_POLICING
  police cir 500000 bc 62500
 class MANAGEMENT
  police cir 100000 bc 12500
 class ICMP
  police cir 500000 bc 62500
 class ICMPv6
  police cir 500000 bc 62500
 class class-default
  police cir 2000000 bc 250000

Share this post


Link to post
Share on other sites

можт кому еще пригодится...

как средство хороши CoPP и hardware limits, а для диагностики и для того, чтобы этот CoPP правильно состряпать, идеально подходит RSPAN/SPAN source CPU.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this