 Cisco 2811 периодически затыкает http при высокой нагрузке,  wwc, 26-Ноя-12, 15:08 [смотреть все]Ситуация такая.В определённый момент перестаёт ходить поток по http. Причём эта ситуация наступает при возникновении высокой нагрузки на интерфейсе смотрящем в инет. Помогает перезагрузка. Может, кто сталкивался с такой темой, помогите, пожалуйста. Спасибо. Конфиг прилогаю. !This is the running config of the router: 10.20.35.1
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2800
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$Ai47$wyaKyTy6DJMD7FERcU.eO.
enable password ,хххххххххххххх
!
no aaa new-model
!
resource policy
!
clock timezone MSK 3
ip subnet-zero
no ip source-route
!
!
no ip cef
!
!
no ip bootp server
ip name-server 217.15.48.2
ip name-server 217.15.49.2
ip name-server ххх.ххх.ххх.ххх
no ip rcmd domain-lookup
ip rcmd rcp-enable
ip rcmd rsh-enable
!
username ххх privilege 15 view root secret 5 $1$vnAn$UdDq05sG85HCr0xmSmu/l0
username ххххххххх privilege 15 password 0 ххххххххххх
archive
log config
logging enable
hidekeys
!
!
!
interface FastEthernet0/0
description WAN$ETH-WAN$
ip address 89.17.48.40 255.255.255.192 secondary
ip address 89.17.48.42 255.255.255.192 secondary
ip address 89.17.48.43 255.255.255.192 secondary
ip address 89.17.48.39 255.255.255.192 secondary
ip address 89.17.48.41 255.255.255.192 secondary
ip address 89.17.48.38 255.255.255.192 secondary
ip address 89.17.48.6 255.255.255.192
ip access-group 100 in
no ip redirects
no ip proxy-arp
ip nat outside
duplex full
speed 100
no cdp enable
!
interface FastEthernet0/1
description LAN
ip address ххх.ххх.ххх.ххх 255.255.255.0
ip helper-address ххх.ххх.ххх.ххх
no ip redirects
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip route-cache flow
no ip mroute-cache
duplex auto
speed auto
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 89.17.48.1
ip route ххх.ххх.ххх.ххх 255.255.255.0 ххх.ххх.ххх.ххх permanent
ip dns server
!
ip http server
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static ххх.ххх.ххх.ххх 89.17.48.6 extendable
ip nat inside source static ххх.ххх.ххх.ххх 89.17.48.38 extendable
ip nat inside source static ххх.ххх.ххх.ххх 89.17.48.39 extendable
ip nat inside source static ххх.ххх.ххх.ххх 89.17.48.40 extendable
ip nat inside source static ххх.ххх.ххх.ххх 89.17.48.41 extendable
ip nat inside source static ххх.ххх.ххх.ххх 89.17.48.42 extendable
ip nat inside source static ххх.ххх.ххх.ххх 89.17.48.43 extendable
!
logging trap errors
logging facility local1
logging ххх.ххх.ххх.ххх
access-list 100 remark SDM_ACL Category=17
access-list 100 permit tcp any any log
access-list 100 permit ip any any log
snmp-server community public RO
snmp-server community private RW
snmp-server community SNMP_Community RO
snmp-server ifindex persist
snmp-server location Engineering Dept., Floor4, Office 6, Krasnoproletarskay St., 16, Building 3
snmp-server contact line-invest.ru, Cisco2800, Moscow, (495) 645-0085
snmp-server system-shutdown
no cdp run
route-map tracking permit 10
match ip address 102
!
!
control-plane
!
!
line con 0
logging synchronous
line aux 0
line vty 0 4
privilege level 15
password ххххххх
logging synchronous
login local
!
scheduler allocate 20000 1000
ntp clock-period 17180242
ntp source FastEthernet0/0
ntp update-calendar
ntp server 195.68.135.5 source FastEthernet0/0 prefer
ntp server 193.79.237.14
ntp server 195.2.64.5
ntp server 193.190.230.65
ntp server 192.36.143.151
!
end
|
- Cisco 2811 периодически затыкает http при высокой нагрузке, spiegel, 16:01 , 26-Ноя-12 (1)
> ip nat inside source list 1 interface FastEthernet0/0 overload а где access-list 1? Возможно конфликт статической и динамической трансляции.
- Cisco 2811 периодически затыкает http при высокой нагрузке, wwc, 16:14 , 26-Ноя-12 (2)
>> ip nat inside source list 1 interface FastEthernet0/0 overload
> а где access-list 1? Возможно конфликт статической и динамической трансляции.Ошибочка была. Удалил. И с ip cef немного не понятно мне. Без no перегружает канал "в потолок" и завешивает порт, а с no медленно работает. Спасибо.
- Cisco 2811 периодически затыкает http при высокой нагрузке, spiegel, 18:05 , 26-Ноя-12 (3)
>>> ip nat inside source list 1 interface FastEthernet0/0 overload
>> а где access-list 1? Возможно конфликт статической и динамической трансляции.
> Ошибочка была. Удалил.
> И с ip cef немного не понятно мне. Без no перегружает канал
> "в потолок" и завешивает порт, а с no медленно работает.
> Спасибо.Хотя статический нат имеет приоритет перед динамическим, попробуйте сделать так, чтобы они не пересекались друг с другом.
Если проблема останется, в момент зависания, сделайте clear ip nat trans. Если не поможет, надо искать другое. - Cisco 2811 периодически затыкает http при высокой нагрузке, wwc, 16:34 , 27-Ноя-12 (6)
>>> ip nat inside source list 1 interface FastEthernet0/0 overload
>> а где access-list 1? Возможно конфликт статической и динамической трансляции.
> Ошибочка была. Удалил.
> И с ip cef немного не понятно мне. Без no перегружает канал
> "в потолок" и завешивает порт, а с no медленно работает.
> Спасибо.Ногами не бейте за глупые вопросы, я недавно начал изучать настройку цисек. Вопрос № 1 ip nat inside source list 1 interface FastEthernet0/0 overload исправил на list 100, который прописан в списке: interface FastEthernet0/0
description WAN$ETH-WAN$
ip address 89.17.48.40 255.255.255.192 secondary
ip address 89.17.48.42 255.255.255.192 secondary
ip address 89.17.48.43 255.255.255.192 secondary
ip address 89.17.48.39 255.255.255.192 secondary
ip address 89.17.48.41 255.255.255.192 secondary
ip address 89.17.48.38 255.255.255.192 secondary
ip address 89.17.48.6 255.255.255.192
ip access-group 100 in
no ip redirects
no ip proxy-arp
ip nat outside
duplex full
speed 100
no cdp enable Когда делаю пул из адресов
ip nat pool Intinform 89.17.48.37 89.17.48.43 netmask 255.255.255.192
ip nat inside source list 1 pool Intinform прописываю его в access-list 1 permit ххх.ххх.ххх.0 0.0.0.255 , то часть ресурсов внутренне сети отваливается. Плюс ещё он из конфига ликвидирует статику. Быть может надо этот пул вешать на outside ? Спасибо.
- Cisco 2811 периодически затыкает http при высокой нагрузке, VolanD, 19:56 , 26-Ноя-12 (4)
>[оверквотинг удален]
> ntp clock-period 17180242
> ntp source FastEthernet0/0
> ntp update-calendar
> ntp server 195.68.135.5 source FastEthernet0/0 prefer
> ntp server 193.79.237.14
> ntp server 195.2.64.5
> ntp server 193.190.230.65
> ntp server 192.36.143.151
> !
> end Остальное все ходит, не ходит только хттп? Мож ей плохо просто? Загрузку процессора смотрели?
- Cisco 2811 периодически затыкает http при высокой нагрузке, wwc, 10:53 , 27-Ноя-12 (5)
> Остальное все ходит, не ходит только хттп? Мож ей плохо просто? Загрузку
> процессора смотрели?Да, кроме хттп всё ходит нормально, даже блюмберовский поток на терминалы. Ну, так оно и есть... с какого-то времни начала реально периодами "дохнуть", загрузка на 90 - 100 %, 1 минута работы с включённым ip cef и 5 - 8 м в трафике. Причём по MRTG очень хорошо просматриваются эти моменты, особенно на обновлениях у мелкомягких. Делаю no ip cef, и вроде всё работает стабильно. Раньше такого не было, если честно... началось где-то с месяц назад. Может циска просто дохнет уже. 4 года пашет без выключения.
- Cisco 2811 периодически затыкает http при высокой нагрузке, wwc, 16:43 , 29-Ноя-12 (7)
Вроде бы решение нашлось. Перечитал кучу литературы, собрал конфиг оптимальный. Попробую его. Пока вроде стабильно держит в разных режимах максимум на 184 - 200 к/с. Одно но, человек. который крутит у нас Metastock сейчас е работает, а эта штука жутко загружает канал потоком от серверов на аутсорсинге.В части лечения сылаются, что не стоит скорости портов в автомате выставлять, надо явно их прописывать. ip cef
!
!
no ip bootp server
ip domain list хххххххххх.internal
ip domain list ххххххххххх.internal
ip name-server 217.15.48.2
ip name-server 217.15.49.2
ip name-server хххх.ххх.ххх.ххх
no ip rcmd domain-lookup
ip rcmd rcp-enable
ip rcmd rsh-enable
!
interface FastEthernet0/0
description WAN$ETH-WAN$
ip address 89.17.48.40 255.255.255.192 secondary
ip address 89.17.48.42 255.255.255.192 secondary
ip address 89.17.48.43 255.255.255.192 secondary
ip address 89.17.48.39 255.255.255.192 secondary
ip address 89.17.48.41 255.255.255.192 secondary
ip address 89.17.48.38 255.255.255.192 secondary
ip address 89.17.48.6 255.255.255.192
ip access-group 100 in
no ip redirects
no ip proxy-arp
ip nbar protocol-discovery
ip nat outside
ip route-cache flow
duplex full
speed 100
no cdp enable
!
interface FastEthernet0/1
description LAN$ETH-LAN$
ip address ххх.ххх.ххх.1 255.255.255.0
ip helper-address ххх.ххх.ххх.2
no ip redirects
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip route-cache flow
no ip mroute-cache
duplex auto
speed auto
no cdp enable *
*
* access-list 100 remark SDM_ACL Category=19 access-list 100 permit ip any any access-list 100 permit tcp any any eq 22
access-list 100 deny tcp any any eq 135 log
access-list 100 deny tcp any any eq 139 log
access-list 100 remark Blokiruem poddelku nashih IP-adresov (spooling)
access-list 100 deny ip ххх.ххх.ххх.0 0.0.0.255 any
access-list 100 remark Zapreshaem Xwindows, NFS
access-list 100 deny tcp any any range 6000 6003
access-list 100 deny tcp any any range 2000 2003
access-list 100 deny tcp any any eq 2049
access-list 100 deny udp any any eq 2049
- Cisco 2811 периодически затыкает http при высокой нагрузке, spiegel, 18:22 , 29-Ноя-12 (8)
>[оверквотинг удален]
> 100 permit tcp any any eq 22
> access-list 100 deny tcp any any eq 135 log
> access-list 100 deny tcp any any eq 139 log
> access-list 100 remark Blokiruem poddelku nashih IP-adresov (spooling)
> access-list 100 deny ip ххх.ххх.ххх.0 0.0.0.255 any
> access-list 100 remark Zapreshaem Xwindows, NFS
> access-list 100 deny tcp any any range 6000 6003
> access-list 100 deny tcp any any range 2000 2003
> access-list 100 deny tcp any any eq 2049
> access-list 100 deny udp any any eq 2049 Если у вас первой строкой стоит: access-list 100 permit ip any any (это нужно ставить в конце access-list) то толку от него никакого. Остальные строки просто не будут проверяться, так как весь трафик будет проходить по первой строке.
Если Вы знаете, какие ресурсы грузят ваш роутер, (в принципе не проблема узнать это) может стоит поиграться с class-map и policy-map?
- Cisco 2811 периодически затыкает http при высокой нагрузке, wwc, 10:23 , 30-Ноя-12 (9)
> Если у вас первой строкой стоит: access-list 100 permit ip any any
> (это нужно ставить в конце access-list) то толку от него никакого.
> Остальные строки просто не будут проверяться, так как весь трафик будет
> проходить по первой строке.
> Если Вы знаете, какие ресурсы грузят ваш роутер, (в принципе не проблема
> узнать это) может стоит поиграться с class-map и policy-map?Спасибо большое за уточнение, учту в дальнейшем. Классы и полисы это, если верить цискарям, дополнительная нагрузка на процессор, а из-за этой темы как раз весь сыр-бор начался.
|
Версия для распечатки
