Здравствуйте, уважаемые форумчане.
Вознок небольшой вопросик по загрузке процессора на Cisco 3640
Периодически днём загрузка процессора взлетает до 100% и держится на этой отметке до вечера.
show proc cpu sorted выдаёт следующееCisco3640PMain#sh proc cpu s
CPU utilization for five seconds: 34%/27%; one minute: 38%; five minutes: 48%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
132 660 259 2548 1.63% 0.21% 0.05% 130 Virtual Exec
60 9155964 2117073 4324 1.55% 1.19% 1.17% 0 IP Input
176 1098780 146360 7507 0.65% 0.28% 0.35% 0 CCH323_CT
54 749008 12678581 59 0.40% 0.39% 0.36% 0 CSAP PLX TX proc
159 409896 35422 11571 0.32% 0.12% 0.13% 0 ISDN
31 761680 661289 1151 0.24% 0.17% 0.16% 0 Per-Second Jobs
3 187004 52841 3538 0.16% 0.07% 0.07% 0 AFW_application_
167 429892 263312 1632 0.16% 0.08% 0.10% 0 DSMP
196 510680 358331 1425 0.16% 0.06% 0.07% 0 ISDN L2 Process
91 278716 1314830 211 0.16% 0.10% 0.08% 0 DHCPD Receive
172 608056 301370 2017 0.16% 0.12% 0.14% 0 VOIP_RTCP
185 552304 1286281 429 0.16% 0.19% 0.23% 0 IP NAT Ager
95 323048 6512917 49 0.16% 0.16% 0.16% 0 RBSCP Background
2 283568 132580 2138 0.08% 0.04% 0.06% 0 Load Meter
195 798944 1337851 597 0.08% 0.09% 0.11% 0 NAT MIB Helper
16 1143304 993535 1150 0.08% 0.08% 0.08% 0 ARP Input
52 154092 2629000 58 0.08% 0.06% 0.08% 0 e1t1 Framer back
169 75256 30817 2442 0.08% 0.02% 0.00% 0 TSP
78 144016 2569607 56 0.08% 0.06% 0.07% 0 SSS Feature Time
168 174552 61952 2817 0.08% 0.04% 0.04% 0 VTSP
46 732488 133129 5502 0.08% 0.08% 0.08% 0 Compute load avg
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
164 96496 196895 490 0.08% 0.00% 0.00% 0 ISDN From Driver
198 70596 197475 357 0.08% 0.01% 0.00% 0 ISDN L2D SRQ Pro
24 0 2 0 0.00% 0.00% 0.00% 0 Dialer event
23 41896 660146 63 0.00% 0.01% 0.00% 0 GraphIt
26 0 1 0 0.00% 0.00% 0.00% 0 Critical Bkgnd
25 0 2 0 0.00% 0.00% 0.00% 0 XML Proxy Client
22 0 1 0 0.00% 0.00% 0.00% 0 SERIAL A'detect
29 4756 13024 365 0.00% 0.00% 0.00% 0 Logger
30 41988 658472 63 0.00% 0.01% 0.00% 0 TTY Background
15 1512 22104 68 0.00% 0.00% 0.00% 0 Environmental mo
21 3972 6813 583 0.00% 0.00% 0.00% 0 EEM ED Syslog
20 0 2 0 0.00% 0.00% 0.00% 0 ATM Idle Timer
19 16 2 8000 0.00% 0.00% 0.00% 0 Entity MIB API
27 81700 212277 384 0.00% 0.01% 0.00% 0 Net Background
28 8 3 2666 0.00% 0.00% 0.00% 0 IDB Work
32 420 5531 75 0.00% 0.00% 0.00% 0 DHCPD Timer
38 136468 442346 308 0.00% 0.00% 0.00% 0 VNM DSPRM MAIN
39 0 2 0 0.00% 0.00% 0.00% 0 FLEX DNLD MAIN
40 0 1 0 0.00% 0.00% 0.00% 0 DSPFARM DSP READ
41 0 2 0 0.00% 0.00% 0.00% 0 ESWILPPM
42 0 1 0 0.00% 0.00% 0.00% 0 sal_dpc_process
43 0 1 0 0.00% 0.00% 0.00% 0 ARL Table Manage
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
44 0 2 0 0.00% 0.00% 0.00% 0 Eswilp Storm Con
45 84548 120181 703 0.00% 0.01% 0.00% 0 Net Input
33 0 1 0 0.00% 0.00% 0.00% 0 AggMgr Process
34 0 1 0 0.00% 0.00% 0.00% 0 dev_device_inser
48 1004 3258 308 0.00% 0.00% 0.00% 0 Call Management
49 0 1 0 0.00% 0.00% 0.00% 0 CES Line Conditi
18 1416 5250 269 0.00% 0.00% 0.00% 0 DDR Timers
51 0 1 0 0.00% 0.00% 0.00% 0 IGMP Snooping Re
35 0 1 0 0.00% 0.00% 0.00% 0 dev_device_remov
36 4 2 2000 0.00% 0.00% 0.00% 0 SM Monitor
37 0 1 0 0.00% 0.00% 0.00% 0 HDV background
55 13292 220562 60 0.00% 0.00% 0.00% 0 CSAP PLX RX proc
56 0 2 0 0.00% 0.00% 0.00% 0 AAA Server
47 563432 11479 49083 0.00% 0.06% 0.05% 0 Per-minute Jobs
58 0 1 0 0.00% 0.00% 0.00% 0 ACCT Periodic Pr
59 1320 3859 342 0.00% 0.00% 0.00% 0 AAA Dictionary R
13 0 1 0 0.00% 0.00% 0.00% 0 RO Notify Timers
61 0 1 0 0.00% 0.00% 0.00% 0 ICMP event handl
62 55340 255769 216 0.00% 0.06% 0.07% 0 CEF process
63 0 3 0 0.00% 0.00% 0.00% 0 PPP Hooks
64 0 1 0 0.00% 0.00% 0.00% 0 X.25 Encaps Mana
66 0 1 0 0.00% 0.00% 0.00% 0 VPDN call manage
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
67 0 1 0 0.00% 0.00% 0.00% 0 L2X Socket proce
68 0 1 0 0.00% 0.00% 0.00% 0 L2X SSS manager
69 0 2 0 0.00% 0.00% 0.00% 0 L2TP mgmt daemon
70 0 1 0 0.00% 0.00% 0.00% 0 IPv6 RIB Redistr
71 24332 658479 36 0.00% 0.00% 0.00% 0 PI MATM Aging Pr
72 3260 66219 49 0.00% 0.00% 0.00% 0 EtherChnl
73 0 2 0 0.00% 0.00% 0.00% 0 DTP Protocol
74 0 2 0 0.00% 0.00% 0.00% 0 dot1x
75 0 1 0 0.00% 0.00% 0.00% 0 SSS Manager
76 23972 88343 271 0.00% 0.00% 0.00% 0 SSS Test Client
77 0 1 0 0.00% 0.00% 0.00% 0 SSS Feature Mana
50 0 1 0 0.00% 0.00% 0.00% 0 IGMP Snooping Pr
79 56012 25175 2224 0.00% 0.01% 0.00% 0 TCP Timer
80 1496 411 3639 0.00% 0.00% 0.00% 0 TCP Protocols
81 176608 657410 268 0.00% 0.01% 0.00% 0 Socket Timers
82 176 2216 79 0.00% 0.00% 0.00% 0 HTTP CORE
83 0 2 0 0.00% 0.00% 0.00% 0 PPP IP Route
12 0 1 0 0.00% 0.00% 0.00% 0 Crash writer
17 18996 195887 96 0.00% 0.00% 0.00% 0 HC Counter Timer
86 6452 11062 583 0.00% 0.00% 0.00% 0 IP RIB Update
11 4 1 4000 0.00% 0.00% 0.00% 0 Policy Manager
88 0 1 0 0.00% 0.00% 0.00% 0 Asy FS Helper
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
53 22060 220591 100 0.00% 0.00% 0.00% 0 CSAP Background
90 0 1 0 0.00% 0.00% 0.00% 0 RARP Input
14 0 1 0 0.00% 0.00% 0.00% 0 OIR Handler
57 0 1 0 0.00% 0.00% 0.00% 0 AAA ACCT Proc
93 0 1 0 0.00% 0.00% 0.00% 0 COPS
94 0 2 0 0.00% 0.00% 0.00% 0 PPP Bind
8 0 2 0 0.00% 0.00% 0.00% 0 Serial Backgroun
96 0 1 0 0.00% 0.00% 0.00% 0 PAD InCall
7 0 2 0 0.00% 0.00% 0.00% 0 Timers
6 19504 593 32890 0.00% 0.00% 0.00% 0 Pool Manager
89 0 1 0 0.00% 0.00% 0.00% 0 IP Traceroute
100 0 2 0 0.00% 0.00% 0.00% 0 SNMP Timers
101 0 2 0 0.00% 0.00% 0.00% 0 ATM OAM Input
102 4 2 2000 0.00% 0.00% 0.00% 0 ATM OAM TIMER
103 0 1 0 0.00% 0.00% 0.00% 0 CES Client SVC R
104 44588 658582 67 0.00% 0.01% 0.00% 0 RUDPV1 Main Proc
105 0 1 0 0.00% 0.00% 0.00% 0 bsm_timers
106 23756 658492 36 0.00% 0.00% 0.00% 0 bsm_xmt_proc
107 0 2 0 0.00% 0.00% 0.00% 0 L2MM
108 0 1 0 0.00% 0.00% 0.00% 0 MRD
109 0 1 0 0.00% 0.00% 0.00% 0 IGMPSN
110 0 2 0 0.00% 0.00% 0.00% 0 PPP SSS
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
111 8 2 4000 0.00% 0.00% 0.00% 0 SCTP Main Proces
112 0 1 0 0.00% 0.00% 0.00% 0 IUA Main Process
113 2068 26563 77 0.00% 0.00% 0.00% 0 CRM_CALL_UPDATE_
114 0 2 0 0.00% 0.00% 0.00% 0 LOCAL AAA
115 0 2 0 0.00% 0.00% 0.00% 0 ENABLE AAA
116 0 2 0 0.00% 0.00% 0.00% 0 LINE AAA
117 0 2 0 0.00% 0.00% 0.00% 0 TPLUS
118 0 1 0 0.00% 0.00% 0.00% 0 Key chain liveke
119 112 2 56000 0.00% 0.00% 0.00% 0 CCVPM_HDSPRM
120 0 4 0 0.00% 0.00% 0.00% 0 HDA DSPRM MAIN
121 22216 244418 90 0.00% 0.00% 0.00% 0 FLEX DSPRM MAIN
122 8796 244416 35 0.00% 0.00% 0.00% 0 FLEX DSP KEEPALI
123 0 2 0 0.00% 0.00% 0.00% 0 VSP_MGR
124 0 1 0 0.00% 0.00% 0.00% 0 EM Background Pr
125 0 1 0 0.00% 0.00% 0.00% 0 VoIP AAA
126 4 1 4000 0.00% 0.00% 0.00% 0 QOS_MODULE_MAIN
127 0 1 0 0.00% 0.00% 0.00% 0 RPMS_PROC_MAIN
128 0 1 0 0.00% 0.00% 0.00% 0 CCVPM_HTSP
129 0 2 0 0.00% 0.00% 0.00% 0 VPM_MWI_BACKGROU
130 0 1 0 0.00% 0.00% 0.00% 0 CCVPM_R2
131 0 1 0 0.00% 0.00% 0.00% 0 CCSWVOICE
5 1596524 101670 15702 0.00% 0.22% 0.19% 0 Check heaps
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
134 0 1 0 0.00% 0.00% 0.00% 0 http client proc
135 12 738 16 0.00% 0.00% 0.00% 0 FB/KS Log HouseK
136 0 2 0 0.00% 0.00% 0.00% 0 EPHONE MWI BG Pr
137 0 2 0 0.00% 0.00% 0.00% 0 AAA SEND STOP EV
138 0 1 0 0.00% 0.00% 0.00% 0 Syslog Traps
139 4 1 4000 0.00% 0.00% 0.00% 0 PM Callback
140 0 3 0 0.00% 0.00% 0.00% 0 EEM ED CLI
141 4 2 2000 0.00% 0.00% 0.00% 0 EEM ED Counter
142 4 2 2000 0.00% 0.00% 0.00% 0 EEM ED Interface
143 0 3 0 0.00% 0.00% 0.00% 0 EEM ED IOSWD
144 0 2 0 0.00% 0.00% 0.00% 0 EEM ED Memory-th
145 4 2 2000 0.00% 0.00% 0.00% 0 EEM ED None
146 0 2 0 0.00% 0.00% 0.00% 0 EM ED OIR
147 0 2 0 0.00% 0.00% 0.00% 0 EEM ED SNMP
148 1100 11070 99 0.00% 0.00% 0.00% 0 EEM ED Timer
149 11640 135285 86 0.00% 0.00% 0.00% 0 EEM Server
150 3552 6519 544 0.00% 0.00% 0.00% 0 Syslog
151 0 1 0 0.00% 0.00% 0.00% 0 VPDN Scal
152 24836 656524 37 0.00% 0.00% 0.00% 0 trunk conditioni
153 0 1 0 0.00% 0.00% 0.00% 0 trunk conditioni
154 8 2 4000 0.00% 0.00% 0.00% 0 VLAN Manager
155 432 11064 39 0.00% 0.00% 0.00% 0 DHCPD Database
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
156 0 2 0 0.00% 0.00% 0.00% 0 EEM Policy Direc
4 0 1 0 0.00% 0.00% 0.00% 0 EDDRI_MAIN
160 13000 140 92857 0.00% 0.00% 0.00% 0 Archive Config
161 0 2 0 0.00% 0.00% 0.00% 0 ISDN Timer
162 1036 3269 316 0.00% 0.00% 0.00% 0 ISDNMIB Backgrou
163 848 6036 140 0.00% 0.00% 0.00% 0 CallMIB Backgrou
10 0 1 0 0.00% 0.00% 0.00% 0 AAA_SERVER_DEADT
165 11004 30415 361 0.00% 0.00% 0.00% 0 Resource Monitor
166 25584 17437 1467 0.00% 0.00% 0.00% 0 CC-API_VCM
84 0 2 0 0.00% 0.00% 0.00% 0 PPP IPCP
9 0 2 0 0.00% 0.00% 0.00% 0 AAA high-capacit
85 14612 20939 697 0.00% 0.00% 0.00% 0 IP Background
170 28 6 4666 0.00% 0.00% 0.00% 0 Session Applicat
171 0 1 0 0.00% 0.00% 0.00% 0 Resource Measure
87 11992 11122 1078 0.00% 0.00% 0.00% 0 Adj Manager
173 0 1 0 0.00% 0.00% 0.00% 0 lib_off_app
174 4 2 2000 0.00% 0.00% 0.00% 0 Voice Player
175 0 1 0 0.00% 0.00% 0.00% 0 Media Record
92 8164 11049 738 0.00% 0.00% 0.00% 0 IP Cache Ager
177 0 1 0 0.00% 0.00% 0.00% 0 CCH323_DNS
178 60 9 6666 0.00% 0.00% 0.00% 0 CCSIP_SPI_CONTRO
179 0 1 0 0.00% 0.00% 0.00% 0 CCSIP_DNS
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
180 16 6 2666 0.00% 0.00% 0.00% 0 CCSIP_UDP_SOCKET
181 12 11 1090 0.00% 0.00% 0.00% 0 CCSIP_TCP_SOCKET
182 880 11063 79 0.00% 0.00% 0.00% 0 RTPSPI
183 8 2 4000 0.00% 0.00% 0.00% 0 CCFRF11_CT
184 20 2 10000 0.00% 0.00% 0.00% 0 CCAAL2_CT
1 3212 512 6273 0.00% 0.00% 0.00% 0 Chunk Manager
186 0 1 0 0.00% 0.00% 0.00% 0 IP NAT WLAN
187 44 145 303 0.00% 0.00% 0.00% 0 IP VFR proc
188 0 2 0 0.00% 0.00% 0.00% 0 IP Flow Backgrou
189 4 14 285 0.00% 0.00% 0.00% 0 IP Flow Top Talk
190 218196 16967 12860 0.00% 0.00% 0.00% 0 IP SNMP
191 59568 8459 7041 0.00% 0.00% 0.00% 0 PDU DISPATCHER
192 367044 8565 42853 0.00% 0.00% 0.00% 0 SNMP ENGINE
193 0 1 0 0.00% 0.00% 0.00% 0 SNMP ConfCopyPro
194 0 1 0 0.00% 0.00% 0.00% 0 SNMP Traps
97 0 2 0 0.00% 0.00% 0.00% 0 X.25 Background
98 0 2 0 0.00% 0.00% 0.00% 0 Dialer Forwarder
197 2400 5711 420 0.00% 0.00% 0.00% 0 ISDN L3 Timer Pr
99 1020 5705 178 0.00% 0.00% 0.00% 0 CEF Scannerк сожалению в период скачка до 100% снять не успел =(
Смущает что если сложить загрузку по столбцам - максимум процентов 7 наберётся =(Также на киске крутится nat, идёт снятие статистики по netflow, есть парочка access-lists + VoIP Gateway.
Куда копать, подскажите пожалуйста.
В догонкуCisco3640PMain#sh proc cpu hi
Cisco3640PMain 06:49:40 AM Friday May 17 2002 MSK
5566666444444444444444444445555533333444444444433333444443
7711111999993333355555333330000088888333333333399999333338
100
90
80
70
60 *******
50 ************ ***** *****
40 ************************************************************
30 ************************************************************
20 ************************************************************
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)
11
6446448979456654775665668998665933566464660067677776778767
1621352768550028040803171582723906088322160080555719730246
100 * * ** * **
90 * * #* * **
80 **** *##* * ## *** * * **
70 *#*# ** * **##** * ** *##************ ***
60 * * #### *** ** ** **###*** * ** * **##****########*#**
50 ** * *####************########** *** * **##################
40 #*##**####*########*############ *###*##*###################
30 ####*###########################*###########################
20 ############################################################
10 ############################################################
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per minute (last 60 minutes)
* = maximum CPU% # = average CPU%
1 1111 1 1 1 11 1 1
090000931 311549 7999909990992 11 1611 309800909905411111116111769
0900009609994007629209980995054990399910009709200009908658665345323409
100 ******* ********* ** ** **** ***
90 ******* * *********** ** ******* ***
80 ******* * *********** ********** ***
70 ******* * ************ ********** * * ***
60 ******* * * ************ * ***#******* * *****
50 ***#*** *** ************ * ***#**#*#*** * *****
40 ######** *** ****#######* * ****#######** * ****#
30 ######** * *** **#########** * ***########** * **###
20 #######* * *** **##########* * **##########****** * **###
10 ########************############************############*#####*****#####
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
0 5 0 5 0 5 0 5 0 5 0 5 0
CPU% per hour (last 72 hours)
* = maximum CPU% # = average CPU%
Смотрите что со свитчингом: cef, fast
Используете PBR?
Что за софт?
IRQ у вас похоже съедает процессор
Ну а вообще данных мало для анализа
>Смотрите что со свитчингом: cef, fast
>Используете PBR?
>Что за софт?
>IRQ у вас похоже съедает процессор
>Ну а вообще данных мало для анализасофт
Cisco3640PMain#sh ver
Cisco IOS Software, 3600 Software (C3640-IS-M), Version 12.4(8), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 15-May-06 16:27 by prod_rel_teamROM: System Bootstrap, Version 11.1(19)AA, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
Cisco3640PMain uptime is 1 week, 17 hours, 2 minutes
System returned to ROM by reload
System image file is "flash:c3640-is-mz.12.4-8.bin"Cisco 3640 (R4700) processor (revision 0x00) with 118784K/12288K bytes of memory.
Processor board ID 10705980
R4700 CPU at 100MHz, Implementation 33, Rev 1.0
2 FastEthernet interfaces
31 Serial interfaces
1 Channelized E1/PRI port
DRAM configuration is 64 bits wide with parity disabled.
125K bytes of NVRAM.
32768K bytes of processor board System flash (Read/Write)Configuration register is 0x2102
по поводу свитчинга
Cisco3640PMain#sh ip interface fa 0/0
FastEthernet0/0 is up, line protocol is up
Internet address is xxx.xxx.xxx.xxx/30
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF Feature Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain outside
BGP Policy Mapping is disabled
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
Cisco3640PMain#
Cisco3640PMain#sh ip interface fa 0/1
FastEthernet0/1 is up, line protocol is up
Internet address is 10.0.0.1/16
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Secondary address xxx.xxx.xxx.xxx/28
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is enabled
IP CEF switching is enabled
IP CEF Flow Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, Flow cache, CEF, Full Flow, Subint Flow
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain inside
BGP Policy Mapping is disabled
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
PBR нет
Какие ещё данные нужны для анализа?
>[оверквотинг удален]
> Policy routing is disabled
> Network address translation is enabled, interface in domain inside
> BGP Policy Mapping is disabled
> WCCP Redirect outbound is disabled
> WCCP Redirect inbound is disabled
> WCCP Redirect exclude is disabled
>
>
>PBR нет
>Какие ещё данные нужны для анализа?show processes cpu
show interfaces
show interfaces switching
show interfaces stat
show ip nat translations
show align
show versionIOS этот с багами, я бы посоветовал обновить до 12.4(19)
Не и http://www.cisco.com/en/US/customer/products/hw/routers/ps13...
show processes cpu - в первом постеCisco3640PMain#sh interfaces
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is xxxx.xxxx.xxxx (bia xxxx.xxxx.xxxx)
Description: Connected to Internet
Internet address is xxx.xxx.xxx.xxx/30
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 2/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/17471/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1143000 bits/sec, 236 packets/sec
5 minute output rate 205000 bits/sec, 201 packets/sec
74968699 packets input, 3713439881 bytes
Received 15 broadcasts, 0 runts, 0 giants, 0 throttles
3911 input errors, 5 CRC, 0 frame, 3906 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
63563858 packets output, 777437616 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
FastEthernet0/1 is up, line protocol is up
Hardware is AmdFE, address is xxxx.xxxx.xxxx (bia xxxx.xxxx.xxxx)
Description: Connected to LAN
Internet address is 10.0.0.1/16
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/11997/0 (size/max/drops/flushes); Total output drops: 338247
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 150000 bits/sec, 119 packets/sec
5 minute output rate 1013000 bits/sec, 136 packets/sec
41586303 packets input, 3558717109 bytes
Received 1227010 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
50048459 packets output, 1767904837 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped outдалее идёт куча serial interfaces для ISDN примерно одинакового содержания
...
Serial1/0:14 is down, line protocol is down
Hardware is DSX1
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive not set
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/0/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 48 kilobits/sec
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
Serial1/0:15 is up, line protocol is up (spoofing)
Hardware is DSX1
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Last input 00:00:09, output 00:00:09, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 48 kilobits/sec
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
102004 packets input, 758738 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 1 CRC, 0 frame, 0 overrun, 0 ignored, 33 abort
101694 packets output, 662113 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
1 carrier transitions
Serial1/0:16 is down, line protocol is down
Hardware is DSX1
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive not set
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/0/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 48 kilobits/sec
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
...Cisco3640PMain#sh interfaces switching
FastEthernet0/0 Connected to Internet
Throttle count 0
Drops RP 17471 SP 0
SPD Flushes Fast 0 SSE 0
SPD Aggress Fast 0
SPD Priority Inputs 674 Drops 0Protocol IP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 1709346 401143794 1460965 147726463
Cache misses 4 - - -
Fast 73317509 3345581958 62087707 633616905
Auton/SSE 0 0 0 0Protocol ARP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 62 3720 58 3480
Cache misses 0 - - -
Fast 0 0 0 0
Auton/SSE 0 0 0 0Protocol Other
Switching path Pkts In Chars In Pkts Out Chars Out
Process 0 0 66733 4003980
Cache misses 0 - - -
Fast 0 0 0 0
Auton/SSE 0 0 0 0NOTE: all counts are cumulative and reset only after a reload.
FastEthernet0/1 Connected to LAN
Throttle count 0
Drops RP 12002 SP 0
SPD Flushes Fast 0 SSE 0
SPD Aggress Fast 0
SPD Priority Inputs 1168925 Drops 388Protocol IP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 1347615 149358083 1106576 329204219
Cache misses 15 - - -
Fast 39145346 3347373255 47902214 1383725222
Auton/SSE 0 0 0 0Protocol ARP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 995609 59736540 990982 59458920
Cache misses 0 - - -
Fast 0 0 0 0
Auton/SSE 0 0 0 0Protocol Other
Switching path Pkts In Chars In Pkts Out Chars Out
Process 127516 8044946 66734 4004040
Cache misses 0 - - -
Fast 0 0 4932 7427592
Auton/SSE 0 0 0 0NOTE: all counts are cumulative and reset only after a reload.
Serial1/0:0All statistics for this interface are zero.
Serial1/0:1All statistics for this interface are zero.
Serial1/0:2All statistics for this interface are zero.
Serial1/0:3All statistics for this interface are zero.
Serial1/0:4All statistics for this interface are zero.
Serial1/0:5All statistics for this interface are zero.
Serial1/0:6All statistics for this interface are zero.
Serial1/0:7All statistics for this interface are zero.
Serial1/0:8All statistics for this interface are zero.
Serial1/0:9All statistics for this interface are zero.
Serial1/0:10All statistics for this interface are zero.
Serial1/0:11All statistics for this interface are zero.
Serial1/0:12All statistics for this interface are zero.
Serial1/0:13All statistics for this interface are zero.
Serial1/0:14All statistics for this interface are zero.
Serial1/0:15Protocol Other
Switching path Pkts In Chars In Pkts Out Chars Out
Process 0 0 101706 662179
Cache misses 0 - - -
Fast 0 0 0 0
Auton/SSE 0 0 0 0NOTE: all counts are cumulative and reset only after a reload.
Serial1/0:16All statistics for this interface are zero.
Serial1/0:17All statistics for this interface are zero.
Serial1/0:18All statistics for this interface are zero.
Serial1/0:19All statistics for this interface are zero.
Serial1/0:20All statistics for this interface are zero.
Serial1/0:21All statistics for this interface are zero.
Serial1/0:22All statistics for this interface are zero.
Serial1/0:23All statistics for this interface are zero.
Serial1/0:24All statistics for this interface are zero.
Serial1/0:25All statistics for this interface are zero.
Serial1/0:26All statistics for this interface are zero.
Serial1/0:27All statistics for this interface are zero.
Serial1/0:28All statistics for this interface are zero.
Serial1/0:29All statistics for this interface are zero.
Serial1/0:30All statistics for this interface are zero.
NVI0All statistics for this interface are zero.
Cisco3640PMain# sh interfaces stat
FastEthernet0/0
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 1710371 401973728 1528797 151811748
Route cache 73341028 3355076269 62108987 641072317
Total 75051399 3757049997 63637784 792884065
FastEthernet0/1
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 2472469 217270688 2165713 393677409
Route cache 39166392 3354818355 47930375 1400586482
Total 41638861 3572089043 50096088 1794263891
Serial1/0:0
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:1
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:2
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:3
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:4
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:5
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:6
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:7
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:8
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:9
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:10
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:11
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:12
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:13
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:14
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:15
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 102051 758997 101727 662263
Route cache 0 0 0 0
Total 102051 758997 101727 662263
Serial1/0:16
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:17
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:18
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:19
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:20
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:21
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:22
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:23
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:24
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:25
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:26
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:27
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:28
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:29
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
Serial1/0:30
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0
NVI0
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 0 0 0 0
Route cache 0 0 0 0
Total 0 0 0 0sh ip nat translations - очень много страниц
Cisco3640PMain# sh ip nat statistics
Total active translations: 3160 (3 static, 3157 dynamic; 3160 extended)
Outside interfaces:
FastEthernet0/0, VoIP-Null0
Inside interfaces:
FastEthernet0/1
Hits: 73446310 Misses: 1743403
CEF Translated packets: 73300946, CEF Punted packets: 3732334
Expired translations: 1799945
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool pool2 refcount 0
pool pool2: netmask 255.255.255.252
start xxx.xxx.xxx.xxx end xxx.xxx.xxx.xxx
type generic, total addresses 1, allocated 0 (0%), misses 0
[Id: 2] access-list toNAT interface FastEthernet0/0 refcount 3159
Queued Packets: 0
Cisco3640PMain#sh alignNo alignment data has been recorded.
No spurious memory references have been recorded.
sh version было ранее
>[оверквотинг удален]
>Queued Packets: 0
>
>
>Cisco3640PMain#sh align
>
>No alignment data has been recorded.
>
>No spurious memory references have been recorded.
>
>sh version было ранеевроде все более-менее
идей нет, кроме как не справляется с нагрузкой: трафик и большое количество активных трансляций
>[оверквотинг удален]
>>
>>No alignment data has been recorded.
>>
>>No spurious memory references have been recorded.
>>
>>sh version было ранее
>
>вроде все более-менее
>идей нет, кроме как не справляется с нагрузкой: трафик и большое количество
>активных трансляцийМне кажеться трансляции тут не при чем. Nat timeout какой выставлен?
ip cef включен?
На моей кошке as5350 загрузка уже 98-99 % ... при чем, когда 70% и етсь 10,000 НАТ трансляций... и 99% когда 7,000 НАТ трансляций.. разница лишь в том, что в первом варианте нагрузка через внешний интерфейс идет 12 мб.с, а во втором - 7 мб.с.
Шейпера походу так грузят.
nat timeout не менялся, судя по докам cisco стоят такие"Если используется режим overloading, то управление тайм-аутами производится более тонко в связи с тем, что каждая запись трансляции определяет тип трафика, используемый указанными в записи узлами. Команды по изменению значений тайм-аутов выглядят следующим образом:
Действие Команда
Изменение значения тайм-аута UDP (по умолчанию 5 минут)
ip nat translation udp-timeout <значение в секундах>
Изменение значения тайм-аута DNS (по умолчанию 1 минута)
ip nat translation dns-timeout <значение в секундах>
Изменение значения тайм-аута TCP (по умолчанию 24 часа)
ip nat translation tcp-timeout <значение в секундах>
Изменение значения тайм-аута Finish и Reset (по умолчанию 1 минута)
ip nat translation finrst-timeout <значение в секундах> "ip cef включён
...
!
ip cef
no ip domain lookup
!
!
...
>nat timeout не менялся, судя по докам cisco стоят такие1)
поставте вот так, может поможет (со своей содрал):
ip nat translation timeout 60
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 30
ip nat translation dns-timeout 10
ip nat translation icmp-timeout 10
ip nat translation max-entries all-host 10002) на IP интерфейсах сделайте так:
no ip redirects
no ip unreachables
no ip proxy-arpЭто уже может Вам помочь...
3)
и ещё как нат сделан? (куски конфига бы почитать, может можно подкрутить и тут.)Так же можно понаблюдать за логами, в консоль:
show logging
или свалить их в сислог какого либо сервера:
logging ип.адрес.сервера.сислогд
введение вышеозначенных команд не помогло =(кусок конфига с натом
ip nat translation timeout 60
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 30
ip nat translation dns-timeout 10
ip nat translation icmp-timeout 10
ip nat translation max-entries all-host 5000
ip nat pool pool2 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx netmask 255.255.255.252
ip nat inside source list toNAT pool pool2 overload
загрузка cpu за последний час
5986666766465655588974567799998757795557687745676635556766
9986301169775088845949909294396732299473446190861182264543
100 * * * * *
90 ** ** ***** * *
80 ** *** * *#*#** * ** * * *
70 *** *** * **** ***###** **# * *** ** * *
60 **#******* *******#*# **#*#####* *##* *#*#** **** ***#*#
50 ####***###*******####**#########*####*#####***###* ***#####*
40 #####################*#######################*###***########
30 ##################################################*#########
20 ############################################################
10 ############################################################
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per minute (last 60 minutes)и если можно поподробнее опишите насчёт логгинга
сейчас
Cisco3640PMain#sh logging
Syslog logging: enabled (180 messages dropped, 12 messages rate-limited,
0 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: disabled
Monitor logging: level debugging, 71 messages logged, xml disabled,
filtering disabled
Buffer logging: disabled, xml disabled,
filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Trap logging: level informational, 11106 message lines logged
Logging to ххх.ххх.ххх.ххх (udp port 514, audit disabled, link up), 3976 message lines logged, xml disabled,
filtering disabledв качестве syslog сервера стоит tftpd32
а на вкладке syslog server вижу только информацию о звонках
sh debug
>sh debugCisco3640PMain#sh debugging
Cisco3640PMain#
пустота
>ip nat translation max-entries all-host 5000сделай хотябы тысячу
пришли начало
show ip nat statistics
посмотри чего там в show ip nat statistic | excl missed 0 (тока не шли сюда).кстати тебя может досят, контрол плане пользуешь?
сколько народу внутри сидит, может это просто наступил предел ресурсам циски, тогда уноси ннетфло ниже, пожевёшь.
>[оверквотинг удален]
>сделай хотябы тысячу
>пришли начало
>show ip nat statistics
>посмотри чего там в show ip nat statistic | excl missed 0
>(тока не шли сюда).
>
>кстати тебя может досят, контрол плане пользуешь?
>
>сколько народу внутри сидит, может это просто наступил предел ресурсам циски, тогда
>уноси ннетфло ниже, пожевёшь.что - что уносить ?.. извиняюсь
>что - что уносить ?.. извиняюсьну автор темы ведь писал:
>> Также на киске крутится nat, идёт снятие статистики по netflow, есть парочка access-lists + VoIP Gateway.вот нетфло и убрать с неё.
>>что - что уносить ?.. извиняюсь
>
>ну автор темы ведь писал:
>>> Также на киске крутится nat, идёт снятие статистики по netflow, есть парочка access-lists + VoIP Gateway.
>
>вот нетфло и убрать с неё.а чем считать тафиик, чтобы не возникало таких проблем?
>а чем считать тафиик, чтобы не возникало таких проблем?как чем нетфло и считай, но на др. устройстве.
>>а чем считать тафиик, чтобы не возникало таких проблем?
>
>как чем нетфло и считай, но на др. устройстве.поставить перед циской ещё один роутер и c него забирать netflow?
>>>а чем считать тафиик, чтобы не возникало таких проблем?
>>
>>как чем нетфло и считай, но на др. устройстве.
>
>поставить перед циской ещё один роутер и c него забирать netflow?да, но естественно ниже этой циски, т.е. инет-нат-нетфло-пользователи. если поставишь нетфло выше, то у тебя то самое нетфло и будет колбасить циску (udp то вроде не цефом ходит).
кстати насчёт UDP - у тебя внутри есть кеширующий ДНС? Или клиенты ресолвят всё в инете? Учти что днс запросы кушают ЦПУ.
>кстати насчёт UDP - у тебя внутри есть кеширующий ДНС? Или клиенты
>ресолвят всё в инете? Учти что днс запросы кушают ЦПУ.всё ресолвят в интернете
>
>>кстати насчёт UDP - у тебя внутри есть кеширующий ДНС? Или клиенты
>>ресолвят всё в инете? Учти что днс запросы кушают ЦПУ.
>
>всё ресолвят в интернететы так и не сказал сколько народу внутри и не прислал шоу ип нат статистик, короче делай выводы сам - апгрейд этой железки на более мощьную или же разнесение функционала на разные устройства, или же кешируй или закрывай цпу-ёмкие вещи внутри... а может стоит глянуть в сторону нат на серваке (к примеру фрибсд+натд). мне в на прошлом нате+нетфло+пппое+пбр на 3725 удалось еле еле дожить до 2000 человек внутри сети, при этом внутри сети 2 днс.
за натом сидит порядка 50 человекне могут ли такие проблемы вызывать вирусы в сети?
>за натом сидит порядка 50 человек
>
>не могут ли такие проблемы вызывать вирусы в сети?Cisco3640PMain#sh ip nat statistics
Total active translations: 1077 (11 static, 1066 dynamic; 1077 extended)
Outside interfaces:
FastEthernet0/0, VoIP-Null0
Inside interfaces:
FastEthernet0/1
Hits: 25648453 Misses: 657431
CEF Translated packets: 25498417, CEF Punted packets: 1619625
Expired translations: 671679
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool pool2 refcount 0
pool pool2: netmask 255.255.255.252
start xxx.xxx.xxx.xxx end xxx.xxx.xxx.xxx
type generic, total addresses 1, allocated 0 (0%), misses 0
[Id: 2] access-list toNAT interface FastEthernet0/0 refcount 1064
>за натом сидит порядка 50 человек
>
>не могут ли такие проблемы вызывать вирусы в сети?могут. нетбиос у меня закрыт, плюс выявленым инфецированным блокируется доступ к сети до излечения.
>могут. нетбиос у меня закрыт, плюс выявленым инфецированным блокируется доступ к сети
>до излечения.никогда не блокировал netbios, поэтому попрошу вашего совета
нужно создать acl примерно следующего содержания
conf t
ip access-list extended no_NetBios
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 139
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139и привязать его к внутреннему интерфейсу
conf t
int fa 0/1
ip access-group no_NetBiosтак?
>[оверквотинг удален]
>deny tcp any any eq 137
>deny tcp any any eq 138
>deny tcp any any eq 139
>
>и привязать его к внутреннему интерфейсу
>conf t
>int fa 0/1
>ip access-group no_NetBios
>
>так?ну типа того, правда у меня ниже закрывается на каталистах и на нат я уже просто не имею этого трафика.
interface VlanХ
ip access-group AclIn in
ip access-group AclOut outip access-list extended AclIn
deny tcp any any range 135 139
deny udp any any range 135 netbios-ss
deny tcp any range 135 139 any
deny udp any range 135 netbios-ss any
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any eq 445 any
deny udp any eq 445 any
permit ip any anyip access-list extended AclOut
deny tcp any any range 135 139
deny udp any any range 135 netbios-ss
deny tcp any range 135 139 any
deny udp any range 135 netbios-ss any
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any eq 445 any
deny udp any eq 445 any
permit ip any any
>>[оверквотинг удален]закрытие нетбиоса не помогло =(
но было замечено, что при скачивании файла с высокой скорость (порядка 2-х МБайт\сек) загрузка проца сразу взлетает до 100 %
также заметил, что при пинге загрузка взлетает до 100%Cisco3640PMain#ping 10.0.0.1 repeat 1000
Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (1000/1000), round-trip min/avg/max = 1/4/60 ms
Cisco3640PMain#spchCisco3640PMain 07:21:15 AM Sunday Jun 2 2002 MSK
8888822222111112222222222111112222211111111111111111111222
6666622222999991111133333888881111199999999999999999999000
100
90 *****
80 *****
70 *****
60 *****
50 *****
40 *****
30 *****
20 ************************************************************
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)что делать, ума не приложу =(
>также заметил, что при пинге загрузка взлетает до 100%
>что делать, ума не приложу =(пинги вполне вероятно не ходят через ЦЕФ, поэтому нельзя давать пинговать себя кому попало. Для этих целей можно попробывать применить CPP (Control Plane Polising).
c CPP ещё не игрался, но заметил, что при уменьшении скорости смотрящего в Интернет интерфейсаrate-limit input 15000000 7500 7500 conform-action transmit exceed-action drop
загрузка проца при скачке файла не поднимается выше 70 %
( ранее если качать файл на скорости примерно 2 Мбайта\сек процессор срузу грузился на 100 %). Канал - 100 Мбит\сек.Циска не переваривает канал выше 15 Мбит или я неправильно настраиваю fast switching?
>[оверквотинг удален]
>в Интернет интерфейса
>
>rate-limit input 15000000 7500 7500 conform-action transmit exceed-action drop
>
>загрузка проца при скачке файла не поднимается выше 70 %
>( ранее если качать файл на скорости примерно 2 Мбайта\сек процессор срузу
>грузился на 100 %). Канал - 100 Мбит\сек.
>
>Циска не переваривает канал выше 15 Мбит или я неправильно настраиваю fast
>switching?похожая трабла,
cisco 3640
раньше грешили на висящие несколько ipsec туннелей,
но всунули nm-vpn/mp радости не добавило,cs3600#show proc cpu sorted
CPU utilization for five seconds: 4%/3%; one minute: 10%; five minutes: 8%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
116 1592 550 2894 0.32% 0.05% 0.08% 131 Virtual Exec
1 0 1 0 0.00% 0.00% 0.00% 0 Chunk Manager
2 96 4134 23 0.00% 0.00% 0.00% 0 Load Meter
при траффике
cs3600#show proc cpu sorted
CPU utilization for five seconds: 19%/19%; one minute: 13%; five minutes: 8%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
38 1416 4751 298 0.24% 0.02% 0.00% 0 ecaimLoPri
124 3872 2483 1559 0.16% 0.01% 0.00% 0 Crypto IKMP
116 1544 534 2891 0.08% 0.04% 0.09% 131 Virtual Exec
4 0 172 0 0.00% 0.00% 0.00% 0 DHCPD Timer
5 8216 2126 3864 0.00% 0.02% 0.00% 0 Check heapsесли увеличивать траффик - соответственно увеличивается и загрузка проца - при этом , загрузка криво отображается в show proc cpu
терь грешим тока на то, что циска старая, больше не на что (((