bos9 Posted October 3, 2014 · Report post Есть бордер на 6500 с парой аплинков и парой IX-ов. В последний месяц начал замечать, что 1-2 раза случаются некие проблемы в Control Plane. Нагиос фиксирует потери и задержки при пингах интерфейса 65-ой, cacti рисует провал в трафике на интерфейсах (видимо циска не отвечает по snmp в момент проблемы), в тоже время графики с других устройств указывают на то, что с самим трафиком проблем нет. Похоже, что захлебывается cpu, но как понять кто в этом виноват? В логах пусто. "Поймать" проблему в реальном времени сложно. Возможно штормит кого-то.. на портах IX-ов и даунлинков включен шторм-контроль, но это такое.. Что еще можно покрутить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted October 3, 2014 · Report post Есть бордер на 6500 с парой аплинков и парой IX-ов. В последний месяц начал замечать, что 1-2 раза случаются некие проблемы в Control Plane. Нагиос фиксирует потери и задержки при пингах интерфейса 65-ой, cacti рисует провал в трафике на интерфейсах (видимо циска не отвечает по snmp в момент проблемы), в тоже время графики с других устройств указывают на то, что с самим трафиком проблем нет. Похоже, что захлебывается cpu, но как понять кто в этом виноват? В логах пусто. "Поймать" проблему в реальном времени сложно. Возможно штормит кого-то.. на портах IX-ов и даунлинков включен шторм-контроль, но это такое.. Что еще можно покрутить? COPP конечно же. Это самое оно. А вообще гадать по фразе "бордер на 6500" очень сложно. Суп-то какой? Сколько префиксов? Не виноваты ли в загрузке цпу флапы пиров бгп? Выключен ли везде proxy-arp, ip unreachables, ip redirects? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted October 3, 2014 · Report post ip access-list extended FRAGMENTS permit ip any any fragments ip access-list extended ICMP permit icmp any any ipv6 access-list ICMPv6 permit icmp any any ipv6 access-list POLICING_IPv6 permit icmp any any nd-ns ip access-list extended MANAGEMENT_POLICING permit tcp any any eq 22 permit tcp any any eq telnet permit tcp any any eq www permit tcp any any eq 443 permit tcp any any eq ftp permit tcp any any eq cmd permit udp any any eq snmp permit udp any any eq ntp permit udp any any eq syslog permit udp any any eq tftp permit udp any any eq domain class-map match-any MANAGEMENT match access-group name MANAGEMENT_POLICING class-map match-any ICMP match access-group name ICMP class-map match-all IPv6_POLICING match access-group name POLICING_IPv6 class-map match-any FRAGMENTS match access-group name FRAGMENTS class-map match-any ICMPv6 match access-group name ICMPv6 policy-map CoPP class FRAGMENTS police 32000 conform-action drop exceed-action drop violate-action drop class IPv6_POLICING police cir 500000 bc 62500 class MANAGEMENT police cir 100000 bc 12500 class ICMP police cir 500000 bc 62500 class ICMPv6 police cir 500000 bc 62500 class class-default police cir 2000000 bc 250000 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bos9 Posted February 4, 2015 · Report post можт кому еще пригодится... как средство хороши CoPP и hardware limits, а для диагностики и для того, чтобы этот CoPP правильно состряпать, идеально подходит RSPAN/SPAN source CPU. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...