The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Загрузка Cisco при VPN, PPoE и NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 28-Сен-08, 13:27 
Доброго дня!

Столкнулся с проблемой - загрузка CPU на роутере 3825 подпрыгивает до 95%. В принципе и трафика через неё проходит ~ 50 Мбит (где-то 35 в одну и остаток в обратную).
Хотелось бы понять причину - некорректная настройка либо достигнут предел производительности. Конфиг привожу ниже. Может можно еще что-нить "подкрутить"?

На ней VPN (порядка 180-190 сесский), PPoE (пока 40, но будет больше, на VPN больше не сажаем людишек) и NAT.

На кошке стоит AIM-VPN/SSL-3 модуль.

Output
Command base-URL was: /level/15/exec/-
Complete URL was: /level/15/exec/-/sh/run/CR
Command was: sh run

Building configuration...

Current configuration : 6713 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname Christie
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 fdgvcbERfgvc.
enable password 7 fdgvcbERfgvc
!
aaa new-model
!
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default local group radius
aaa accounting delay-start
aaa accounting network default start-stop group radius
!
aaa attribute list mitya_ip
  attribute type addr 176.165.130.8 service ppp protocol ip
!
aaa session-id common
!
resource policy
!
clock timezone Riga 2
clock summer-time Riga date Mar 30 2003 3:00 Oct 26 2003 4:00
no ip source-route
ip icmp rate-limit unreachable DF 1
ip wccp web-cache redirect-list fwrSquid
!
ip cef
!
ip domain name sky
ip rcmd rsh-enable
ip rcmd remote-host mitya 10.10.254.1 root enable
vpdn enable
!
vpdn-group test
! Default L2TP VPDN group
  accept-dialin
    protocol l2tp
    virtual-template 1
  no l2tp tunnel authentication
  ip mtu adjust
!
voice-card 0
  no dspfarm
!
no spanning-tree vlan 193
no spanning-tree vlan 254
username mitya privilege 15 secret 5 fdgvcbERfgvc
username mitiya privilege 0 password 7 fdgvcbERfgvc
username mitiya aaa attribute list mitya_ip
!
!
crypto keyring VPN
    pre-shared-key address 10.10.0.0 255.255.0.0 key skyinet
!
crypto isakmp policy 10
  encr 3des
  hash md5
  authentication pre-share
  group 2
  lifetime 3600
!
!
crypto ipsec transform-set test esp-3des esp-sha-hmac
  mode transport
!
crypto dynamic-map dyn-test 10
  set transform-set test
!
!
crypto map test 10 ipsec-isakmp dynamic dyn-test
!
bba-group pppoe global
  virtual-template 2
  sessions max limit 500
  ac name nas1
  sessions per-mac limit 1
  sessions per-vlan limit 500
  sessions auto cleanup
!
!
interface GigabitEthernet0/0
  ip address 78.122.134.46 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  ip route-cache policy
  duplex auto
  speed auto
  media-type rj45
!
interface GigabitEthernet0/1
  ip address 192.168.7.254 255.255.255.0 secondary
  ip address 10.10.1.249 255.255.255.0 secondary
  ip address 192.168.234.254 255.255.255.252 secondary
  ip address 192.168.0.254 255.255.255.0 secondary
  ip address 10.10.21.254 255.255.255.0
  no ip redirects
  ip nat inside
  ip virtual-reassembly
  duplex auto
  speed auto
  media-type rj45
  pppoe enable group global
  no keepalive
  fair-queue 100 256 0
  crypto map test
!
interface FastEthernet0/0/0
  switchport access vlan 193
!
interface FastEthernet0/0/1
  switchport access vlan 254
!
interface FastEthernet0/0/2
  switchport access vlan 193
!
interface FastEthernet0/0/3
  switchport access vlan 254
!
interface Virtual-Template1
  ip unnumbered GigabitEthernet0/0
  ip mtu 1420
  ip flow ingress
  ip flow egress
  ip tcp adjust-mss 1380
  no logging event link-status
  peer default ip address pool vpnpool
  ppp mtu adaptive
  ppp authentication ms-chap-v2
!
interface Virtual-Template2
  mtu 1492
  ip unnumbered GigabitEthernet0/1
  ip wccp web-cache redirect in
  ip flow ingress
  ip flow egress
  ip tcp adjust-mss 1452
  no logging event link-status
  autodetect encapsulation ppp
  peer default ip address pool vpnpool
  ppp max-bad-auth 3
  ppp authentication chap radius
  ppp authorization radius
  ppp timeout retry 3
  ppp timeout authentication 45
  ppp timeout idle 3600
!
interface Vlan1
  no ip address
  no ip redirects
!
interface Vlan193
  ip address 176.165.130.1 255.255.255.0
!
interface Vlan254
  ip address 10.10.254.254 255.255.255.0
!
router bgp 34990
  no synchronization
  bgp router-id 176.165.130.1
  bgp log-neighbor-changes
  network 176.165.130.0
  neighbor 78.122.134.45 remote-as 21219
  neighbor 78.122.134.45 description Datagroup
  neighbor 78.122.134.45 prefix-list defonly in
  no auto-summary
!
ip local pool vpnpool 176.165.130.20 176.165.130.254
ip route 10.10.0.0 255.255.0.0 10.10.1.252
ip route 192.168.0.0 255.255.255.0 10.10.1.254
ip route 192.168.1.0 255.255.255.0 10.10.1.252
ip route 176.165.130.0 255.255.255.0 Null0 200
!
ip flow-cache timeout active 1
ip flow-export version 5
ip flow-export destination 10.10.254.1 9996
!
no ip http server
ip http authentication local
ip http secure-server
ip nat pool NATOVERLOAD 78.122.134.46 78.122.134.46 prefix-length 30
ip nat inside source list 50 pool NATOVERLOAD overload
ip nat inside source static 10.10.21.190 176.165.130.9
!
ip access-list standard fwrSquid
  permit 176.165.130.135
  permit 10.10.21.190
!
ip prefix-list defonly seq 5 permit 0.0.0.0/0
logging 10.10.251.1
access-list 50 permit 192.168.234.253
access-list 50 permit 10.10.254.1
snmp-server community fddfsgvcbERfgvc RO 50
no cdp run
!
radius-server host 10.10.254.1 auth-port 1812 acct-port 1813 key 7 fxvcxgfdgxcvxcvv
!
control-plane
!
line con 0
line aux 0
line vty 0 4
  transport input telnet ssh
  escape-character 3
!
scheduler allocate 20000 1000
!
end

sh proc cpu sort 5min
CPU utilization for five seconds: 71%/63%; one minute: 70%; five minutes: 70%
  PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
  100 27139760 32226493 842 4.34% 4.25% 3.58% 0 IP Input
  266 17376144 1385398 12542 1.06% 0.93% 0.91% 0 IP NAT Ager
    17 7520056 19326731 389 0.73% 0.74% 0.76% 0 ARP Input
  281 4412144 28132254 156 0.32% 0.28% 0.25% 0 NAT MIB Helper
  270 848660 12856338 66 0.24% 0.25% 0.24% 0 PPP Events
  269 392408 12784281 30 0.16% 0.16% 0.16% 0 PPP manager
  259 800288 5798493 138 0.16% 0.14% 0.16% 0 L2X Data Daemon
      5 1359396 73158 18581 0.00% 0.13% 0.15% 0 Check heaps
    37 957788 175272 5464 0.24% 0.13% 0.12% 0 Net Background
    85 55104 4613 11945 0.00% 0.00% 0.10% 578 SSH Process
  282 271004 12564683 21 0.16% 0.12% 0.10% 0 RADIUS
    46 525092 82172 6390 0.08% 0.08% 0.08% 0 Compute load avg
  127 436252 644521 676 0.08% 0.08% 0.08% 0 CEF process
    41 328120 410625 799 0.08% 0.08% 0.08% 0 Per-Second Jobs
      2 69996 82108 852 0.00% 0.06% 0.07% 0 Load Meter
  224 126308 2052040 61 0.08% 0.05% 0.06% 0 Atheros LED Ctro
  217 503100 582071 864 0.00% 0.06% 0.05% 0 Crypto IKMP
  161 97896 4042722 24 0.08% 0.04% 0.02% 0 RBSCP Background
  284 265360 17022 15589 0.00% 0.03% 0.00% 0 VTEMPLATE Backgr
  283 84920 27368 3102 0.08% 0.00% 0.00% 0 BGP Scanner
  148 41476 6842 6061 0.08% 0.00% 0.00% 0 IP Cache Ager
    40 8108 410035 19 0.08% 0.00% 0.00% 0 TTY Background
    78 5148 410541 12 0.08% 0.00% 0.00% 0 Crypto Device Up

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 28-Сен-08, 13:49 
>Доброго дня!
>
>Столкнулся с проблемой - загрузка CPU на роутере 3825 подпрыгивает до 95%.
>В принципе и трафика через неё проходит ~ 50 Мбит (где-то
>35 в одну и остаток в обратную).
>Хотелось бы понять причину - некорректная настройка либо достигнут предел производительности. Конфиг
>привожу ниже. Может можно еще что-нить "подкрутить"?

на предел не похоже
смотрите что у вас с CEF
ну и ваш софт на баги не смотрели?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Mikhail (??) on 28-Сен-08, 14:29 
>[оверквотинг удален]
>>
>>Столкнулся с проблемой - загрузка CPU на роутере 3825 подпрыгивает до 95%.
>>В принципе и трафика через неё проходит ~ 50 Мбит (где-то
>>35 в одну и остаток в обратную).
>>Хотелось бы понять причину - некорректная настройка либо достигнут предел производительности. Конфиг
>>привожу ниже. Может можно еще что-нить "подкрутить"?
>
>на предел не похоже
>смотрите что у вас с CEF
>ну и ваш софт на баги не смотрели?

Вероятно из-за перелопачивания
  ip address 192.168.7.254 255.255.255.0 secondary
  ip address 10.10.1.249 255.255.255.0 secondary
  ip address 192.168.234.254 255.255.255.252 secondary
  ip address 192.168.0.254 255.255.255.0 secondary
  ip address 10.10.21.254 255.255.255.0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 28-Сен-08, 14:39 
>Вероятно из-за перелопачивания
>  ip address 192.168.7.254 255.255.255.0 secondary
>  ip address 10.10.1.249 255.255.255.0 secondary
>  ip address 192.168.234.254 255.255.255.252 secondary
>  ip address 192.168.0.254 255.255.255.0 secondary
>  ip address 10.10.21.254 255.255.255.0

Внутренний трафик не сильно влияет на загрузкку. Влияет именно интернетовский трафик.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 28-Сен-08, 14:33 
>на предел не похоже
>смотрите что у вас с CEF
>ну и ваш софт на баги не смотрели?

Суа работает вроде везед, кроме WCCP. Но щас не используется. Вот выборочный вывод sh cef int

  Corresponding hwidb fast_if_number 2
  Corresponding hwidb firstsw->if_number 2
  Internet address is 77.222.144.46/30
  ICMP redirects are always sent
  Per packet load-sharing is disabled
  IP unicast RPF check is disabled
  Inbound access list is not set
  Outbound access list is not set
  Hardware idb is GigabitEthernet0/0
  Fast switching type 1, interface type 27
  IP CEF switching enabled
  IP CEF Feature Fast switching turbo vector
  Input fast flags 0x400040, Input fast flags2 0x10, Output fast flags 0x10100, Output fast flags2 0x0
  ifindex 2(2)
  Slot 0 Slot unit 0 Unit 0 VC -1
  Transmit limit accumulator 0x0 (0x0)
  IP MTU 1500
GigabitEthernet0/1 is up (if_number 3)
  Corresponding hwidb fast_if_number 3
  Corresponding hwidb firstsw->if_number 3
  Internet address is 10.10.21.254/24
  Secondary address 192.168.7.254/24
  Secondary address 10.10.1.249/24
  Secondary address 192.168.234.254/30
  Secondary address 192.168.0.254/24
  ICMP redirects are never sent
  Per packet load-sharing is disabled
  IP unicast RPF check is disabled
  Inbound access list is not set
  Outbound access list is not set
  Hardware idb is GigabitEthernet0/1
  Fast switching type 1, interface type 27
  IP CEF switching enabled
  IP CEF Feature Fast switching turbo vector
  Input fast flags 0x4000C0, Input fast flags2 0x10, Output fast flags 0x10500, Output fast flags2 0x0
  ifindex 3(3)
  Slot 0 Slot unit 1 Unit 1 VC -1
  Transmit limit accumulator 0x0 (0x0)
  IP MTU 1500
WCCP:0 is up (if_number 23)
  Corresponding hwidb fast_if_number 23
  Corresponding hwidb firstsw->if_number 23
  Internet Protocol processing disabled
  Hardware idb is
  Fast switching type 0, interface type 99
  IP CEF switching disabled
  IP CEF Feature Fast switching turbo vector
  Input fast flags 0x0, Input fast flags2 0x0, Output fast flags 0x0, Output fast flags2 0x0
  ifindex 15(15)
  Slot -1 Slot unit -1 Unit 0 VC -1
  Transmit limit accumulator 0x0 (0x0)
Virtual-Access4 is up (if_number 29)
  Corresponding hwidb fast_if_number 29
  Corresponding hwidb firstsw->if_number 29
  Internet address is 0.0.0.0/0
  Unnumbered interface. Using address of GigabitEthernet0/1 (10.10.21.254)
  ICMP redirects are always sent
  Per packet load-sharing is disabled
  IP unicast RPF check is disabled
  Inbound access list is not set
  Outbound access list is not set
  Interface is marked as point to point interface
  Hardware idb is Virtual-Access4
  Fast switching type 7, interface type 21
  IP CEF switching enabled
  IP CEF Flow Fast switching turbo vector
  Input fast flags 0x2200004, Input fast flags2 0x8, Output fast flags 0x200008, Output fast flags2 0x1
  ifindex 19(19)
  Slot -1 Slot unit 4 Unit 4 VC -1
  Transmit limit accumulator 0x0 (0x0)
  IP MTU 1492
Virtual-Access5 is up (if_number 30)
  Corresponding hwidb fast_if_number 30
  Corresponding hwidb firstsw->if_number 30
  Internet address is 0.0.0.0/0
  Unnumbered interface. Using address of GigabitEthernet0/0 (77.222.144.46)
  ICMP redirects are always sent
  Per packet load-sharing is disabled
  IP unicast RPF check is disabled
  Inbound access list is not set
  Outbound access list is not set
  Interface is marked as point to point interface
  Hardware idb is Virtual-Access5
  Fast switching type 7, interface type 21
  IP CEF switching enabled
  IP CEF Flow Fast switching turbo vector
  Input fast flags 0x2000004, Input fast flags2 0x8, Output fast flags 0x200008, Output fast flags2 0x1
  ifindex 20(20)
  Slot -1 Slot unit 5 Unit 5 VC -1
  Transmit limit accumulator 0x0 (0x0)
  IP MTU 1400

Command was:  sh ver
Cisco IOS Software, 3800 Software (C3825-ADVIPSERVICESK9-M), Version 12.4(9)T6, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Thu 18-Oct-07 21:45 by prod_rel_team

ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

А вот на баги не смотрел.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 28-Сен-08, 14:36 

>  ifindex 20(20)
>  Slot -1 Slot unit 5 Unit 5 VC -1
>  Transmit limit accumulator 0x0 (0x0)
>  IP MTU 1400

Не понятно, почему MTU 1400, когда в конфиге указано 1420.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 28-Сен-08, 14:44 
>А вот на баги не смотрел.

А где баги поглядеть?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 28-Сен-08, 17:42 
>>А вот на баги не смотрел.
>
>А где баги поглядеть?

http://www.cisco.com/cgi-bin/Support/Bugtool/launch_bugtool.pl

12.4.9T6 в состоянии DF. Рекомендован апгрейд до 12.4.9T7

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 28-Сен-08, 17:34 
>[оверквотинг удален]
>  ifindex 20(20)
>  Slot -1 Slot unit 5 Unit 5 VC -1
>  Transmit limit accumulator 0x0 (0x0)
>  IP MTU 1400
>
>Command was:  sh ver
>Cisco IOS Software, 3800 Software (C3825-ADVIPSERVICESK9-M), Version 12.4(9)T6, RELEASE SOFTWARE (fc2)
>Technical Support: http://www.cisco.com/techsupport
>Copyright (c) 1986-2007 by Cisco Systems, Inc.
>Compiled Thu 18-Oct-07 21:45 by prod_rel_team

c3825#sh adjacency summary

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от NetMan email(??) on 28-Сен-08, 18:39 
Dobav Linux mashiny i peretashi NAT na Linux, zagruzka TOCHNO upadet na 50% i bolshe


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 28-Сен-08, 21:53 
>Dobav Linux mashiny i peretashi NAT na Linux, zagruzka TOCHNO upadet na
>50% i bolshe

Хорошенький совет. А на кой шут тогда циска нужна?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 28-Сен-08, 21:49 
>[оверквотинг удален]
>>  Transmit limit accumulator 0x0 (0x0)
>>  IP MTU 1400
>>
>>Command was:  sh ver
>>Cisco IOS Software, 3800 Software (C3825-ADVIPSERVICESK9-M), Version 12.4(9)T6, RELEASE SOFTWARE (fc2)
>>Technical Support: http://www.cisco.com/techsupport
>>Copyright (c) 1986-2007 by Cisco Systems, Inc.
>>Compiled Thu 18-Oct-07 21:45 by prod_rel_team
>
>c3825#sh adjacency summary

Command base-URL was: /level/15/exec/-
Complete URL was: /level/15/exec/-/sh/adjacency/summary/CR
Command was:  sh adjacency summary

Adjacency Table has 394 adjacencies
  1 IPv4 incomplete adjacency
  Table epoch: 0 (394 entries at this epoch)

  Interface                 Adjacency Count
  GigabitEthernet0/0        1
  GigabitEthernet0/1        208
  Vlan193                   4
  Vlan254                   11
  Virtual-Access3           1
  Virtual-Access4           1
  Virtual-Access5           1
  Virtual-Access7           1
  Virtual-Access8           1
  Virtual-Access9           1
  Virtual-Access10          1
  Virtual-Access11          1
  Virtual-Access13          1
  Virtual-Access14          1
  Virtual-Access15          1
  Virtual-Access16          1
  Virtual-Access17          1
  Virtual-Access18          1
  Virtual-Access19          1
  Virtual-Access20          1
  Virtual-Access22          1
  Virtual-Access23          1
  Virtual-Access24          1
  Virtual-Access25          1
  Virtual-Access26          1
  Virtual-Access27          1
  Virtual-Access28          1
  Virtual-Access29          1
  Virtual-Access30          1
  Virtual-Access31          1
  Virtual-Access32          1
  Virtual-Access33          1
  Virtual-Access34          1
  Virtual-Access35          1
  Virtual-Access36          1
  Virtual-Access37          1
  Virtual-Access38          1
  Virtual-Access39          1
  Virtual-Access40          1
  Virtual-Access41          1
  Virtual-Access42          1
  Virtual-Access43          1
  Virtual-Access44          1
  Virtual-Access45          1
  Virtual-Access46          1
  Virtual-Access47          1
  Virtual-Access50          1
  Virtual-Access51          1
  Virtual-Access52          1
  Virtual-Access53          1
  Virtual-Access55          1
  Virtual-Access56          1
  Virtual-Access57          1
  Virtual-Access58          1
  Virtual-Access59          1
  Virtual-Access60          1
  Virtual-Access61          1
  Virtual-Access62          1
  Virtual-Access63          1
  Virtual-Access64          1
  Virtual-Access66          1
  Virtual-Access67          1
  Virtual-Access68          1
  Virtual-Access69          1
  Virtual-Access70          1
  Virtual-Access71          1
  Virtual-Access72          1
  Virtual-Access74          1
  Virtual-Access75          1
  Virtual-Access76          1
  Virtual-Access77          1
  Virtual-Access78          1
  Virtual-Access79          1
  Virtual-Access81          1
  Virtual-Access82          1
  Virtual-Access83          1
  Virtual-Access84          1
  Virtual-Access85          1
  Virtual-Access86          1
  Virtual-Access87          1
  Virtual-Access88          1
  Virtual-Access89          1
  Virtual-Access90          1
  Virtual-Access92          1
  Virtual-Access93          1
  Virtual-Access94          1
  Virtual-Access96          1
  Virtual-Access97          1
  Virtual-Access98          1
  Virtual-Access100         1
  Virtual-Access101         1
  Virtual-Access102         1
  Virtual-Access103         1
  Virtual-Access104         1
  Virtual-Access105         1
  Virtual-Access106         1
  Virtual-Access107         1
  Virtual-Access108         1
  Virtual-Access109         1
  Virtual-Access110         1
  Virtual-Access112         1
  Virtual-Access113         1
  Virtual-Access114         1
  Virtual-Access115         1
  Virtual-Access116         1
  Virtual-Access117         1
  Virtual-Access118         1
  Virtual-Access120         1
  Virtual-Access121         1
  Virtual-Access122         1
  Virtual-Access124         1
  Virtual-Access125         1
  Virtual-Access127         1
  Virtual-Access128         1
  Virtual-Access129         1
  Virtual-Access130         1
  Virtual-Access131         1
  Virtual-Access132         1
  Virtual-Access133         1
  Virtual-Access135         1
  Virtual-Access136         1
  Virtual-Access137         1
  Virtual-Access138         1
  Virtual-Access139         1
  Virtual-Access140         1
  Virtual-Access141         1
  Virtual-Access143         1
  Virtual-Access144         1
  Virtual-Access145         1
  Virtual-Access147         1
  Virtual-Access148         1
  Virtual-Access150         1
  Virtual-Access151         1
  Virtual-Access152         1
  Virtual-Access153         1
  Virtual-Access154         1
  Virtual-Access156         1
  Virtual-Access157         1
  Virtual-Access158         1
  Virtual-Access159         1
  Virtual-Access160         1
  Virtual-Access161         1
  Virtual-Access162         1
  Virtual-Access163         1
  Virtual-Access164         1
  Virtual-Access165         1
  Virtual-Access166         1
  Virtual-Access167         1
  Virtual-Access168         1
  Virtual-Access169         1
  Virtual-Access170         1
  Virtual-Access171         1
  Virtual-Access172         1
  Virtual-Access173         1
  Virtual-Access174         1
  Virtual-Access175         1
  Virtual-Access176         1
  Virtual-Access178         1
  Virtual-Access179         1
  Virtual-Access180         1
  Virtual-Access181         1
  Virtual-Access182         1
  Virtual-Access183         1
  Virtual-Access184         1
  Virtual-Access185         1
  Virtual-Access187         1
  Virtual-Access189         1
  Virtual-Access190         1
  Virtual-Access191         1
  Virtual-Access192         1
  Virtual-Access193         1
  Virtual-Access194         1
  Virtual-Access195         1
  Virtual-Access196         1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 28-Сен-08, 22:16 
>[оверквотинг удален]
>>
>>c3825#sh adjacency summary
>
>Command base-URL was: /level/15/exec/-
>Complete URL was: /level/15/exec/-/sh/adjacency/summary/CR
>Command was:  sh adjacency summary
>
>Adjacency Table has 394 adjacencies
>  1 IPv4 incomplete adjacency
>  Table epoch: 0 (394 entries at this epoch)

Ну вот одна из очень возможных причин: incomplete adjacency
Трафик обрабатывается процессором.
Смотрите где именно у вас проблема.
Вот тут расписывается что может быть причиной и как полечить:
http://www.cisco.com/en/US/tech/tk827/tk831/technologies_tec...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Максим (??) on 28-Сен-08, 22:20 
одназначно отказываться от цисковского ната,
на SUP-720 натом тоже сильно грузится проц (при потоке 70 мегабит
и 40000 сессий загрузка около 80%).
Линухами можно легко 250 мегабит пронатить.

>[оверквотинг удален]
>>
>>Adjacency Table has 394 adjacencies
>>  1 IPv4 incomplete adjacency
>>  Table epoch: 0 (394 entries at this epoch)
>
>Ну вот одна из очень возможных причин: incomplete adjacency
>Трафик обрабатывается процессором.
>Смотрите где именно у вас проблема.
>Вот тут расписывается что может быть причиной и как полечить:
>http://www.cisco.com/en/US/tech/tk827/tk831/technologies_tec...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 28-Сен-08, 22:30 
>одназначно отказываться от цисковского ната,
>на SUP-720 натом тоже сильно грузится проц (при потоке 70 мегабит
>и 40000 сессий загрузка около 80%).
>Линухами можно легко 250 мегабит пронатить.

Дело в том, что ната там идет максимально возможно - это 15 Мбит. А в реале, я думаю 5-10. И по предыдущем постам, я приводил команду sh proc cpu sort 5m - в процесах NAT, если займет 10% хоршо будет.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Максим (??) on 29-Сен-08, 00:42 
А проблема не в потоке,
а в кол-ве пакетов и стейтов.
Если народ юзает торенты и подобное,
то генерится много пакетов и нат сильно грузит CPU прерываниями.
Для большой производительность проще нат сделать на линухах,
либо смотреть в сторону ACE (что есть дорого).

>>одназначно отказываться от цисковского ната,
>>на SUP-720 натом тоже сильно грузится проц (при потоке 70 мегабит
>>и 40000 сессий загрузка около 80%).
>>Линухами можно легко 250 мегабит пронатить.
>
>Дело в том, что ната там идет максимально возможно - это 15
>Мбит. А в реале, я думаю 5-10. И по предыдущем постам,
>я приводил команду sh proc cpu sort 5m - в процесах
>NAT, если займет 10% хоршо будет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 29-Сен-08, 01:14 
>А проблема не в потоке,
>а в кол-ве пакетов и стейтов.
>Если народ юзает торенты и подобное,
>то генерится много пакетов и нат сильно грузит CPU прерываниями.
>Для большой производительность проще нат сделать на линухах,
>либо смотреть в сторону ACE (что есть дорого).
>

статистику по нату разве уже показывали?
все это голословно если не видеть статистику
sh ip nat stat


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от andrew email(??) on 29-Сен-08, 10:08 
>статистику по нату разве уже показывали?
>все это голословно если не видеть статистику
>sh ip nat stat

Command was:  sh ip nat stat

Total active translations: 37146 (1 static, 37145 dynamic; 37145 extended)
Outside interfaces:
  GigabitEthernet0/0
Inside interfaces:
  GigabitEthernet0/1
Hits: 868482095  Misses: 91656266
CEF Translated packets: 926724511, CEF Punted packets: 65056985
Expired translations: 95837535
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 50 pool NATOVERLOAD refcount 37136
pool NATOVERLOAD: netmask 255.255.255.252
    start 77.222.144.46 end 77.222.144.46
    type generic, total addresses 1, allocated 1 (100%), misses 0
Queued Packets: 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 29-Сен-08, 10:09 
Прыдущий пост я ответил, только имя почему-то другое высветилось.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Ночной админ (ok) on 29-Сен-08, 02:18 
>>одназначно отказываться от цисковского ната,
>>на SUP-720 натом тоже сильно грузится проц (при потоке 70 мегабит
>>и 40000 сессий загрузка около 80%).
>>Линухами можно легко 250 мегабит пронатить.
>
>Дело в том, что ната там идет максимально возможно - это 15
>Мбит. А в реале, я думаю 5-10. И по предыдущем постам,
>я приводил команду sh proc cpu sort 5m - в процесах
>NAT, если займет 10% хоршо будет.

Я тоже посоветовал бы убрать нат с девайса, у меня 3845 ласты клеила именно от ната.
Изначально боролся с помощью "ip nat translation max-entries *" и  "ip nat translation max-entries all-host *" соответственно максимальное количество записей всего на роутере и максимальное от каждого хоста. В итоге народ влезающий в лимиты по хосту начал выть, перенес нат на обычный сервер, все довольны.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 29-Сен-08, 10:15 
>Я тоже посоветовал бы убрать нат с девайса, у меня 3845 ласты
>клеила именно от ната.
>Изначально боролся с помощью "ip nat translation max-entries *" и  "ip
>nat translation max-entries all-host *" соответственно максимальное количество записей всего на

А если нат статический прописать? Это поможет изменить ситуацию?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от TrEK email(ok) on 29-Сен-08, 18:33 
>>Я тоже посоветовал бы убрать нат с девайса, у меня 3845 ласты
>>клеила именно от ната.
>>Изначально боролся с помощью "ip nat translation max-entries *" и  "ip
>>nat translation max-entries all-host *" соответственно максимальное количество записей всего на
>
>А если нат статический прописать? Это поможет изменить ситуацию?

Ребята.. у меня та же проблема. Долго я с ней боролся и не мог найти правильной реализации!
Высокая загрузка ЦПУ(олоко 95%), при том, что через нее (as5350)проходило 15Мбит... Около 200 человек сидит под НАТом... соответственно на каждую айпишку этого человека прописан ацес-лист, к которому привязан траффик-шейп-групп на внутренний фаст-езернет.
Это все дело и душило Циску...
старый иос был c5350-is-mz.123-10b.bin

Когда залил ИОС c5350-jk9s-mz.124-21.bin , появилась возможность ограничивать количество сессий на айпишку.. но при этом увеличилось значение IP NAT Ager (от 13.97% до 20%) в #sh procc cpu sorted, хотя на старом иосе было меньше 1%.

Думаю выход с этой ситуации залить базовый иос c5350-is-mz.124-18.bin.
Так как мне надо именно фичу ip nat translation max-entries all-host, которая не доступна в 12,3 версиях ИОСа, а уже есть в 12,4 версиях.

_______________________________________________
Но , все таки, из всех ваших соображений и опыта, лучьше снять НАТ с кошки?
В таком случае не будет загррузка ЦПУ убивать ее? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Евгений (??) on 29-Сен-08, 18:13 
>Я тоже посоветовал бы убрать нат с девайса, у меня 3845 ласты
>клеила именно от ната.
>Изначально боролся с помощью "ip nat translation max-entries *" и  "ip
>nat translation max-entries all-host *" соответственно максимальное количество записей всего на
>роутере и максимальное от каждого хоста. В итоге народ влезающий в
>лимиты по хосту начал выть, перенес нат на обычный сервер, все
>довольны.

   Хаха. ASA чуток получше в плане НАТа. Но это + еще одна железка.
Так что линукс/bsd сервер как файрволл, как это ни смешно, актуален.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 29-Сен-08, 17:19 
Всем спасибо!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 29-Сен-08, 17:21 
>Всем спасибо!

и каково же решение?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Alx email(??) on 29-Сен-08, 17:25 
>>Всем спасибо!
>
>и каково же решение?

Думаю, поставить статистический NAT. Спасибо большое за советы, много полезного познал. Народ у нас весь сидит на торентах...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от TrEK email(ok) on 29-Сен-08, 18:37 
Ребята.. у меня та же проблема. Долго я с ней боролся и не мог найти правильной реализации!
Высокая загрузка ЦПУ(олоко 95%), при том, что через нее (as5350)проходило 15Мбит... Около 200 человек сидит под НАТом... соответственно на каждую айпишку этого человека прописан ацес-лист, к которому привязан траффик-шейп-групп на внутренний фаст-езернет.
Это все дело и душило Циску...
старый иос был c5350-is-mz.123-10b.bin

Когда залил ИОС c5350-jk9s-mz.124-21.bin , появилась возможность ограничивать количество сессий на айпишку.. но при этом увеличилось значение IP NAT Ager (от 13.97% до 20%) в #sh procc cpu sorted, хотя на старом иосе было меньше 1%.

Думаю выход с этой ситуации залить базовый иос c5350-is-mz.124-18.bin.
Так как мне надо именно фичу ip nat translation max-entries all-host, которая не доступна в 12,3 версиях ИОСа, а уже есть в 12,4 версиях.

_______________________________________________
Но , все таки, из всех ваших соображений и опыта, лучьше снять НАТ с кошки?
В таком случае не будет загррузка ЦПУ убивать ее? :)

____________________________________________________
ЕЩЕ ОДИН ВОПРОС: чем статический НАТ будет лучьше?
у меня нат организован так:

ip nat pool NEW xxx.yyy.zzz.149 xxx.yyy.zzz.149 netmask 255.255.255.252
ip nat inside source list NAT pool NEW overload

и на внешний\внутренний интерфейсы ip nat outside\ip nat inside

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 30-Сен-08, 00:39 
Провел у себя эксперимент
Что имею:
c3825#sh proc cpu sort
CPU utilization for five seconds: 99%/1%; one minute: 79%; five minutes: 30%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
332     4738940    429772      11026 94.16% 69.54% 22.42%   0 IP NAT Ager
  43     2035192    169059      12038  1.38%  1.33%  1.31%   0 Per-Second Jobs
   5      215336     20105      10710  0.65%  0.19%  0.13%   0 Check heaps
122      362032    562474        643  0.49%  0.49%  0.49%   0 Skinny Msg Serve
113      570700   3178148        179  0.16%  2.13%  1.65%   0 IP Input
361       22360   3360906          6  0.08%  0.07%  0.08%   0 IP-EIGRP: PDM
102          40       247        161  0.08%  0.00%  0.00%   0 AAA Server

c3825#sh ip nat stat
Total active translations: 24897 (22 static, 24875 dynamic; 24891 extended)
Peak translations: 41602, occurred 1d00h ago
Outside interfaces:
  FastEthernet0/0/1
Inside interfaces:
  GigabitEthernet0/0
Hits: 25053786  Misses: 0
CEF Translated packets: 23481632, CEF Punted packets: 1861316
Expired translations: 1194096

c3825#sh adjacency summary
Adjacency table has 143 adjacencies:
  each adjacency consumes 276 bytes (0 bytes platform extension)
  143 complete adjacencies
  0 incomplete adjacencies
  143 adjacencies of linktype IP
    143 complete adjacencies of linktype IP
    0 incomplete adjacencies of linktype IP
    0 adjacencies with fixups of linktype IP
    0 adjacencies with IP redirect of linktype IP
    0 adjacencies post encap punt capable of linktype IP

Adjacency database high availability:
  Database epoch:        0 (143 entries at this epoch)

Adjacency manager summary event processing:
Summary events epoch is 3
Summary events queue contains 0 events (high water mark 4 events)


Т.е. конечно процессор нагружен, но кошка при этом адекватна и нет сумасщедшей нагрузки проца по прерываниям.
Забыл добавить, 2 канала по 10 мбит/с

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от TrEK email(ok) on 02-Окт-08, 12:15 
>[оверквотинг удален]
>
>Adjacency manager summary event processing:
> Summary events epoch is 3
> Summary events queue contains 0 events (high water mark 4 events)
>
>
>
>Т.е. конечно процессор нагружен, но кошка при этом адекватна и нет сумасщедшей
>нагрузки проца по прерываниям.
>Забыл добавить, 2 канала по 10 мбит/с

Нифига себе IP NAT AGER грузит ЦПУ...
а сколько клиентов сидит под НАТом?...
через циску проходит в тот момент 20 Мбит?...
а циска при єтом с локалки нормально пингуеться.. так как у меня уже задержки по 50-80 мс.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 02-Окт-08, 12:42 
>[оверквотинг удален]
>> Summary events queue contains 0 events (high water mark 4 events)
>>
>>
>>
>>Т.е. конечно процессор нагружен, но кошка при этом адекватна и нет сумасщедшей
>>нагрузки проца по прерываниям.
>>Забыл добавить, 2 канала по 10 мбит/с
>
>Нифига себе IP NAT AGER грузит ЦПУ...
>а сколько клиентов сидит под НАТом?...

не много, где-то 150
и это я ее на пике поямал, реально будничные значения не большие, т.е. где-то 5000-8000 трансляций
такие пиковые не часто случаются, тока в сезон массового выхода в инет

>через циску проходит в тот момент 20 Мбит?...

да, 20 мбит

>а циска при єтом с локалки нормально пингуеться.. так как у меня
>уже задержки по 50-80 мс.

более чем адекватно себя ведет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от TrEK email(ok) on 02-Окт-08, 15:43 
>[оверквотинг удален]
>
>
>>через циску проходит в тот момент 20 Мбит?...
>
>да, 20 мбит
>
>>а циска при єтом с локалки нормально пингуеться.. так как у меня
>>уже задержки по 50-80 мс.
>
>более чем адекватно себя ведет

Интересно.. у меня так же порядка 150 клиентов... ну и даже при загрузке 20 Мбит, колличество НАТ-сессий не превышает 10тыс.

Кстати какой щас ИОС у Вас стоит?
12,3 или 12,4... по айпишкам сесси ограничиваете?*

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 02-Окт-08, 16:35 
>[оверквотинг удален]
>>
>>>а циска при єтом с локалки нормально пингуеться.. так как у меня
>>>уже задержки по 50-80 мс.
>>
>>более чем адекватно себя ведет
>
>Интересно.. у меня так же порядка 150 клиентов... ну и даже при
>загрузке 20 Мбит, колличество НАТ-сессий не превышает 10тыс.
>
>Кстати какой щас ИОС у Вас стоит?

12.4.20T1

>12,3 или 12,4... по айпишкам сесси ограничиваете?*

нет
у нас есть публичные серверы, т.е. поброс во внутрь НАТом. Они вносят вклад.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от TrEK email(ok) on 02-Окт-08, 20:36 
>[оверквотинг удален]
>>
>>Кстати какой щас ИОС у Вас стоит?
>
>12.4.20T1
>
>>12,3 или 12,4... по айпишкам сесси ограничиваете?*
>
>нет
>у нас есть публичные серверы, т.е. поброс во внутрь НАТом. Они вносят
>вклад.

Ага.. тоесть у Вас НАТ на линуксах висит?
А где можна достать ИОС как у Вас? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 02-Окт-08, 22:15 
>[оверквотинг удален]
>>
>>12.4.20T1
>>
>>>12,3 или 12,4... по айпишкам сесси ограничиваете?*
>>
>>нет
>>у нас есть публичные серверы, т.е. поброс во внутрь НАТом. Они вносят
>>вклад.
>
>Ага.. тоесть у Вас НАТ на линуксах висит?

Не... все тока на кошках, исключительно. Это моя позиция.

>А где можна достать ИОС как у Вас? :)

ммм... стукнись в асю 46131677

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от TrEK email(ok) on 03-Окт-08, 01:34 
>>
>>Ага.. тоесть у Вас НАТ на линуксах висит?
>
>Не... все тока на кошках, исключительно. Это моя позиция.

Ну и позиция моего начальства... которое категорически против линуксов и прочего..
только цисковско-подобное железо.
А я не хочу нести ответственность потом о железе.. которое купят за бешеные деньги.. и которое вскоре уже не будет подходить по своей функциональности.

Все же склоняю шефа к испытания сети на линуксе. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 03-Окт-08, 02:14 
>[оверквотинг удален]
>>
>>Не... все тока на кошках, исключительно. Это моя позиция.
>
>Ну и позиция моего начальства... которое категорически против линуксов и прочего..
>только цисковско-подобное железо.
>А я не хочу нести ответственность потом о железе.. которое купят за
>бешеные деньги.. и которое вскоре уже не будет подходить по своей
>функциональности.
>
>Все же склоняю шефа к испытания сети на линуксе. :)

:) кому чего
расскажи потом про испытания

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от TrEK email(ok) on 04-Окт-08, 17:56 
>[оверквотинг удален]
>>>у нас есть публичные серверы, т.е. поброс во внутрь НАТом. Они вносят
>>>вклад.
>>
>>Ага.. тоесть у Вас НАТ на линуксах висит?
>
>Не... все тока на кошках, исключительно. Это моя позиция.
>
>>А где можна достать ИОС как у Вас? :)
>
>ммм... стукнись в асю 46131677

ждю авторизейшн :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 04-Окт-08, 19:45 
>[оверквотинг удален]
>>>
>>>Ага.. тоесть у Вас НАТ на линуксах висит?
>>
>>Не... все тока на кошках, исключительно. Это моя позиция.
>>
>>>А где можна достать ИОС как у Вас? :)
>>
>>ммм... стукнись в асю 46131677
>
>ждю авторизейшн :)

повтори, я снял антиспам

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от Andrei_V email(ok) on 21-Окт-08, 14:45 
>>[оверквотинг удален]
>ммм... стукнись в асю 46131677

Тоже стукнулся в аську. Тишина. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от CrAzOiD (ok) on 21-Окт-08, 22:27 
>>>[оверквотинг удален]
>>ммм... стукнись в асю 46131677
>
>Тоже стукнулся в аську. Тишина. :)

:) стучите тихо
еще раз попробуй

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Загрузка Cisco при VPN, PPoE и NAT"  
Сообщение от TrEK email(ok) on 21-Окт-08, 23:27 
>>>>[оверквотинг удален]
>>>ммм... стукнись в асю 46131677
>>
>>Тоже стукнулся в аську. Тишина. :)
>
>:) стучите тихо
>еще раз попробуй

тук-тук-тук :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру