Коллеги, проблема следущая:
Есть главный офис (2811 bundle -SEC/K9): 3 канала (100м,2м,64к)+ локалка (100м)
На сайтах стоят 1811, два сайта используют каналы только для доступа к файловику,
третий (100м) весь трафик отправляет в главный офис, с ним то и проблемы.
Скорость передачи (смотрю FAR-ом) 5-7МБ/s (x8 = 40Мб/s) - это без шифрования и грубо говоря в один поток!!!
А с шифрованием 2-3МБ/s (x8 = 20Мб/s) и загрузка процессора у 2811 =80%! На 1811 =10%!
А если потоков несколько то скорость падает до 40КБ/s!!!!!!!!!!!Вопрос:
Глюк IOS, несправляется порт, несправляеться Cisco?
Куда копать, что делать? Может ограничить скорость для каждого клиента?!
>Коллеги, проблема следущая:
>Есть главный офис (2811 bundle -SEC/K9): 3 канала (100м,2м,64к)+ локалка (100м)
>На сайтах стоят 1811, два сайта используют каналы только для доступа к
>файловику,
>третий (100м) весь трафик отправляет в главный офис, с ним то и
>проблемы.
>Скорость передачи (смотрю FAR-ом) 5-7МБ/s (x8 = 40Мб/s) - это без шифрования
>и грубо говоря в один поток!!!
>А с шифрованием 2-3МБ/s (x8 = 20Мб/s) и загрузка процессора у 2811
>=80%! На 1811 =10%!
>А если потоков несколько то скорость падает до 40КБ/s!!!!!!!!!!!
>
>Вопрос:
>Глюк IOS, несправляется порт, несправляеться Cisco?
>Куда копать, что делать? Может ограничить скорость для каждого клиента?!1) Какой тип коммутации используется? (желателен вариент - CEF)
2) Какая загрузка интерфейсов?
3) Что в какой switching попадает?
4) Как правило, больше 40Mb рабочие станции на Linux'ах (на BSD по-моему тоже) с настройками TCP/IP по умолчанию не дают. Тоесть надо тюнить размеры буферов пер сокет.
По этому поводу читаем http://dsd.lbl.gov/TCP-tuning/На 100% уверен что дело в настройках.
>>Коллеги, проблема следущая:
>>Есть главный офис (2811 bundle -SEC/K9): 3 канала (100м,2м,64к)+ локалка (100м)
>>На сайтах стоят 1811, два сайта используют каналы только для доступа к
>>файловику,
>>третий (100м) весь трафик отправляет в главный офис, с ним то и
>>проблемы.
>>Скорость передачи (смотрю FAR-ом) 5-7МБ/s (x8 = 40Мб/s) - это без шифрования
>>и грубо говоря в один поток!!!
>>А с шифрованием 2-3МБ/s (x8 = 20Мб/s) и загрузка процессора у 2811
>>=80%! На 1811 =10%!
>>А если потоков несколько то скорость падает до 40КБ/s!!!!!!!!!!!
>>
>>Вопрос:
>>Глюк IOS, несправляется порт, несправляеться Cisco?
>>Куда копать, что делать? Может ограничить скорость для каждого клиента?!
>
>1) Какой тип коммутации используется? (желателен вариент - CEF)
>2) Какая загрузка интерфейсов?
>3) Что в какой switching попадает?
>4) Как правило, больше 40Mb рабочие станции на Linux'ах (на BSD по-моему
>тоже) с настройками TCP/IP по умолчанию не дают. Тоесть надо тюнить
>размеры буферов пер сокет.
>По этому поводу читаем http://dsd.lbl.gov/TCP-tuning/
>
>На 100% уверен что дело в настройках.
Спасибо за ответ:
1)если правильно понял вопрос, то L2
2)как посмотреть? если sh int Vlan 2, то, что оттуда именно и в какой момент показывает загрузку?
3)два встроенных интерфейса держат DMZ, в доп. модуль подключены каналы и LAN
4)почитаю, спасибо, но меня не столько напрягает скорость 40Mbite, сколько тревожит то, что остальные сессии показывают 40KByte.Спасибо.
>Спасибо за ответ:
>1)если правильно понял вопрос, то L2
>2)как посмотреть? если sh int Vlan 2, то, что оттуда именно и
>в какой момент показывает загрузку?
>3)два встроенных интерфейса держат DMZ, в доп. модуль подключены каналы и LAN
>
>4)почитаю, спасибо, но меня не столько напрягает скорость 40Mbite, сколько тревожит то,
>что остальные сессии показывают 40KByte.
>
>Спасибо.Был топик с вопросом "как посмотреть" коммутацию....вот он - http://www.opennet.me/openforum/vsluhforumID6/12355.html. Что такое CEF и как настроить:
http://www.cisco.com/en/US/tech/tk827/tk831/technologies_whi...
Вообще то более подробно типы коммутации cisco описаны в "Inside Cisco IOS Software Architecture".
>>Спасибо за ответ:
>>1)если правильно понял вопрос, то L2
>>2)как посмотреть? если sh int Vlan 2, то, что оттуда именно и
>>в какой момент показывает загрузку?
>>3)два встроенных интерфейса держат DMZ, в доп. модуль подключены каналы и LAN
>>
>>4)почитаю, спасибо, но меня не столько напрягает скорость 40Mbite, сколько тревожит то,
>>что остальные сессии показывают 40KByte.
>>
>>Спасибо.
>
>Был топик с вопросом "как посмотреть" коммутацию....вот он - http://www.opennet.me/openforum/vsluhforumID6/12355.html. Что такое
>CEF и как настроить:
>http://www.cisco.com/en/US/tech/tk827/tk831/technologies_whi...
>Вообще то более подробно типы коммутации cisco описаны в "Inside Cisco IOS
>Software Architecture".как выяснилось CEF enabled, а что дальше?
может у меня и впрям слишком большая нагрузка на интерфейсы?
нигде не могу найти хар-ку по ним для 2811:
VLAN1 - LAN
VLAN2 - Site на котором проблемы со скоростью:
cisco-o#sh int vlan1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 0017.5a5e.7c60 (bia 0017.5a5e.7c60)
Description: Main Office - LAN
Internet address is 172.16.30.254/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 2/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:01, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 910000 bits/sec, 167 packets/sec
30 second output rate 437000 bits/sec, 288 packets/sec
189632830 packets input, 3936410068 bytes, 3 no buffer
Received 4133732 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
237530109 packets output, 2224008073 bytes, 0 underruns
0 output errors, 1 interface resets
0 output buffer failures, 0 output buffers swapped outcisco-o#sh int vlan2
Vlan2 is up, line protocol is up
Hardware is EtherSVI, address is 0017.5a5e.7c60 (bia 0017.5a5e.7c60)
Description: Site Bering - VPN
Internet address is 172.16.52.254/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:32, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 2
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 342000 bits/sec, 117 packets/sec
30 second output rate 1056000 bits/sec, 143 packets/sec
134670039 packets input, 2542619689 bytes, 0 no buffer
Received 4199 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
137492629 packets output, 57867161 bytes, 0 underruns
0 output errors, 1 interface resets
0 output buffer failures, 0 output buffers swapped out
Есть вариант, что если на циску приходит много фрагментированных пакетов, то процесс их сборки на маршрутизаторе съедает большую часть ресурсов процессора.
Посмотреть можно для начала следующее:
router# sh proc cpu sorted
Здесь показана общая загрузка процессора за некоторые периоды времени, а ниже идет расшифровка загрузки по процессам. Можно посмотреть какой из процессов самый активный.Фишка в том, что может оказаться, что циско пишет - у меня средняя загрузка за 1 минуту 70%, а если просуммировать загрузку по всем процессам, то окажется, что всего съедается 20%.
Циска не показывает в этой команде загрузку, связанную с прерываниями процессора.
Так вот, пересборка пакетов как раз в статистике не отображается.
Если проблема в фрагментации, то это можно увидеть с помощью команды
router# sh ip traffic
там есть раздел Frags:
где показано сколько маршрутизатор сфрагментировал, сколько пересобрал. Так вот, если эти параметры быстро увеличиваются, то дело в фрагментации. Нужно от нее избавляться.
>Есть вариант, что если на циску приходит много фрагментированных пакетов, то процесс
>Так вот, пересборка пакетов как раз в статистике не отображается.
>Если проблема в фрагментации, то это можно увидеть с помощью команды
>router# sh ip traffic
>там есть раздел Frags:
>где показано сколько маршрутизатор сфрагментировал, сколько пересобрал. Так вот, если эти параметры
>быстро увеличиваются, то дело в фрагментации. Нужно от нее избавляться.Проблема таже, что у топик-стартера, правда cisco 2514 (роутит 2 Мбит/сек).
Кусок конфига:
class-map match-all voip-traffic
match access-group 150policy-map voip
class voip-traffic
bandwidth percent 20
class class-default
fair-queue
random-detect
access-list 150 remark voip-traffic
access-list 150 permit ip host 212.57.158.х any
access-list 150 permit ip host 212.57.158.х any
access-list 150 permit ip host 212.57.158.х any
access-list 150 permit ip host 212.57.158.х any
access-list 150 permit ip host 212.57.158.х any
access-list 150 permit ip host 212.57.158.х any
access-list 150 deny ip any any
no cdp run
!
!
!
interface Ethernet0
description "To Internet"
bandwidth 2048
ip address 212.57.146.234 255.255.255.252
no ip redirects
no ip proxy-arp
service-policy output voip
no cdp enable
!
interface Ethernet1
description "To Local"
ip address 212.57.158.62 255.255.255.248
no ip redirects
no ip proxy-arp
no cdp enableno ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 212.57.146.233 100
ip route 212.57.158.0 255.255.255.192 212.57.158.61
Фрагментации не видно:sh ip traffic
IP statistics:
Rcvd: 1473266216 total, 31261 local destination
0 format errors, 0 checksum errors, 313 bad hop count
2 unknown protocol, 61 not a gateway
0 security failures, 0 bad options, 0 with options
Opts: 0 end, 0 nop, 0 basic security, 0 loose source route
0 timestamp, 0 extended security, 0 record route
0 stream ID, 0 strict source route, 0 alert, 0 cipso, 0 ump
0 other
Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble
0 fragmented, 0 couldn't fragment
Bcast: 11454 received, 0 sent
Mcast: 0 received, 0 sent
Sent: 20016 generated, 736454781 forwarded
Drop: 8018 encapsulation failed, 0 unresolved, 0 no adjacency
827 no route, 0 unicast RPF, 0 forced drop
Drop: 0 packets with source IP address zeroICMP statistics:
Rcvd: 3 format errors, 0 checksum errors, 0 redirects, 9 unreachable
1610 echo, 0 echo reply, 0 mask requests, 0 mask replies, 0 quench
0 parameter, 0 timestamp, 0 info request, 0 other
0 irdp solicitations, 0 irdp advertisements
Sent: 0 redirects, 3057 unreachable, 0 echo, 1610 echo reply
0 mask requests, 0 mask replies, 0 quench, 0 timestamp
0 info reply, 313 time exceeded, 0 parameter problem
0 irdp solicitations, 0 irdp advertisementsTCP statistics:
Rcvd: 8699 total, 10 checksum errors, 111 no port
Sent: 5229 totalUDP statistics:
Rcvd: 20915 total, 1 checksum errors, 11118 no port
Sent: 9864 total, 0 forwarded broadcastsBGP statistics:
Rcvd: 0 total, 0 opens, 0 notifications, 0 updates
0 keepalives, 0 route-refresh, 0 unrecognized
Sent: 0 total, 0 opens, 0 notifications, 0 updates
0 keepalives, 0 route-refreshOSPF statistics:
Rcvd: 0 total, 0 checksum errors
0 hello, 0 database desc, 0 link state req
0 link state updates, 0 link state acksSent: 0 total
IP-EIGRP statistics:
Rcvd: 0 total
Sent: 0 totalPIMv2 statistics: Sent/Received
Total: 0/0, 0 checksum errors, 0 format errors
Registers: 0/0, Register Stops: 0/0, Hellos: 0/0
Join/Prunes: 0/0, Asserts: 0/0, grafts: 0/0
Bootstraps: 0/0, Candidate_RP_Advertisements: 0/0
Queue drops: 0
State-Refresh: 0/0IGMP statistics: Sent/Received
Total: 0/0, Format errors: 0/0, Checksum errors: 0/0
Host Queries: 0/0, Host Reports: 0/0, Host Leaves: 0/0
DVMRP: 0/0, PIM: 0/0
Queue drops: 0ARP statistics:
Rcvd: 26372 requests, 1762 replies, 0 reverse, 0 other
Sent: 7406 requests, 24365 replies (0 proxy), 0 reverseip cef включен:
sh cef int Ethernet 0.0
Ethernet0 is up (if_number 2)
Corresponding hwidb fast_if_number 2
Corresponding hwidb firstsw->if_number 2
Internet address is 212.57.146.234/30
ICMP redirects are never sent
Per packet load-sharing is disabled
IP unicast RPF check is disabled
Inbound access list is not set
Outbound access list is not set
IP policy routing is disabled
BGP based policy accounting is disabled
Hardware idb is Ethernet0
Fast switching type 1, interface type 34
IP CEF switching enabled
IP CEF Feature Fast switching turbo vector
Input fast flags 0x0, Output fast flags 0x4000
ifindex 1(1)
Slot 0 Slot unit 0 Unit 0 VC -1
Transmit limit accumulator 0x0 (0x0)
IP MTU 1500sh ip cef Ethernet 0.0
Prefix Next Hop Interface
0.0.0.0/0 212.57.146.233 Ethernet0
212.57.146.232/30 attached Ethernet0
212.57.146.233/32 212.57.146.233 Ethernet0
sh ip cef Ethernet 1.0
Prefix Next Hop Interface
212.57.158.0/26 212.57.158.61 Ethernet1
212.57.158.56/29 attached Ethernet1
212.57.158.59/32 212.57.158.59 Ethernet1
212.57.158.60/32 212.57.158.60 Ethernet1
212.57.158.61/32 212.57.158.61 Ethernet1sh proc cpu s | e 0.00%
CPU utilization for five seconds: 62%/58%; one minute: 62%; five minutes: 64%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
33 33676 403 83563 2.31% 0.18% 0.17% 2 Virtual Exec
31 1452160 247430 5868 0.87% 0.07% 0.04% 0 IP Input
53 12921856 1700364 7599 0.31% 0.23% 0.24% 0 CEF process
10 6943644 1199898 5786 0.23% 0.13% 0.11% 0 ARP Input
2 1927092 225368 8550 0.15% 0.04% 0.02% 0 Load Meter
21 5825652 1109810 5249 0.15% 0.11% 0.10% 0 Per-Second Jobs
18 7954544 356708 22299 0.15% 0.04% 0.04% 0 Net Background
85 3003220 1139441 2635 0.15% 0.02% 0.01% 0 NTP
15 1911024 1109848 1721 0.07% 0.03% 0.02% 0 GraphItа временами и под 90%.
Выше был сделан вывод: "на interrupt затрачивается ограмоне кол-во процессорного времени, что может быть следствием proccess switching'a и большой загрузки (pps), в то время как на <IP Input> - всего ничего. Можно либо включить CEF и тогда загрузка CPU уменьшится..."
Может не стоит доверять таблицам производительности роутеров?
Для платформы 2500 эти значения:
Process Switching - 800 pps
Fast Switching - 4400 ppsУ меня они вроде не достигаются:
sh int Ethernet 0.0
Ethernet0 is up, line protocol is up
Hardware is Lance, address is 0010.7b3c.6e16 (bia 0010.7b3c.6e16)
Description: "To Internet"
Internet address is 212.57.146.234/30
MTU 1500 bytes, BW 2048 Kbit, DLY 1000 usec,
reliability 255/255, txload 56/255, rxload 158/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:27, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: Class-based queueing
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/21/256 (active/max active/max total)
Reserved Conversations 1/1 (allocated/max allocated)
Available Bandwidth 1127 kilobits/sec
5 minute input rate 1275000 bits/sec, 526 packets/sec
5 minute output rate 452000 bits/sec, 633 packets/sec
345479540 packets input, 2376911287 bytes, 0 no buffer
Received 1694 broadcasts, 0 runts, 0 giants, 99779* throttles
414771 input errors, 0 CRC, 0 frame, 0 overrun, 414771 ignored
0 input packets with dribble condition detected
392196407 packets output, 1977630327 bytes, 0 underruns
0 output errors, 15832822 collisions, 199568 interface resets
0 babbles, 0 late collision, 10545064 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped outЧто еще можно посмотреть? Или просто cisco2514 не справляется по процессорной мощи?
sh proc cpu h
atlas 10:25:52 AM Friday Jul 11 2008 CHDST
9999999999999999999999999999999999999999988888888888888888
6644441111111111222224444455555555550000033333222222222211
100 ** **********
90 *****************************************
80 ************************************************************
70 ************************************************************
60 ************************************************************
50 ************************************************************
40 ************************************************************
30 ************************************************************
20 ************************************************************
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)9998777786788767887676655555566956787666556645777457776666
7068849822949785032286944304512941520620170474076491703399
100 * * *
90 #*#* * *
80 #*##* *** **#* *** * * ** ** *
70 ######**# #*##**##* #** * ##** *** *#* **
60 ###################*#** *### *###*** **# ### *###**#*
50 ###################*###******####*######*###**### *########*
40 ############################################################
30 ############################################################
20 ############################################################
10 ############################################################
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per minute (last 60 minutes)
* = maximum CPU% # = average CPU%