Добрый день всем!
Столкнулся с проблемой - есть роутер 7301, на котором в пике терминируется 800 PPPoE сессий. Во время этого пика CPU грузится под 100%. Сквозной трафик через роутер в это время 200 Мбит/с, на большинстве юзеров ACL и rate-limit по time-range. CEF включен.
IOS - c7301-js-mz.122-31.SB11.bin
По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий в течение суток. Подскажите что можно сделать для снижения загрузки, а то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря. Если что-то посмотреть ещё нужно - посмотрю и напишу.
Ее грузит не PPPoE а rate-limit.
>Ее грузит не PPPoE а rate-limit.от чего же?
дaже если нa кaждом из 800 virtual-access будет rate-limit зaгрузки 100% не будет
>[оверквотинг удален]
> Столкнулся с проблемой - есть роутер 7301, на котором в пике
>терминируется 800 PPPoE сессий. Во время этого пика CPU грузится под
>100%. Сквозной трафик через роутер в это время 200 Мбит/с,
>на большинстве юзеров ACL и rate-limit по time-range. CEF включен.
> IOS - c7301-js-mz.122-31.SB11.bin
> По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий
>в течение суток. Подскажите что можно сделать для снижения загрузки, а
>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>конфиг приведи
>конфиг приведиversion 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname hostname
!
boot-start-marker
boot system flash disk0:c7301-jk9s-mz.124-8a.bin
boot system flash disk0:c7301-jk9s-mz.123-19.bin
boot-end-marker
!
logging buffered 10000 debugging
no logging rate-limit
no logging console
enable secret 5 xxx
enable password 7 xxx
!
aaa new-model
!
!
aaa authentication username-prompt login:
aaa authentication login default local
aaa authentication login terminal local
aaa authentication login h323 group radius
aaa authentication login admin local-case
aaa authentication ppp dialin group radius
aaa authentication ppp pppoe group radius
aaa authorization exec default local
aaa authorization network h323 group radius if-authenticated
aaa authorization network dialin group radius if-authenticated
aaa authorization network pppoe group radius
aaa accounting update periodic 5
aaa accounting exec default start-stop broadcast group radius group xxx
aaa accounting network default start-stop broadcast group radius group xxx
aaa accounting network pppoe start-stop broadcast group radius group xxx
aaa accounting network dialin start-stop broadcast group radius group xxx
!
aaa pod server auth-type any server-key xxx
aaa session-id common
!
resource policy
!
clock timezone ZZZ 7
clock summer-time TSD recurring last Sun Mar 2:00 last Sun Oct 2:00
no ip rcmd domain-lookup
ip flow-cache timeout active 1
!
!
ip telnet source-interface Loopback0
ip cef
ip tftp source-interface Loopback0
ip name-server 208.67.222.222
!
!
no ip bootp server
ip sla monitor responder
mpls label protocol ldp
!
no virtual-template subinterface
!
key chain eigrp-key
key 1
key-string 7 xxx
!
username xxx password 7 xxx
!
class-map match-all voice-out
match access-group 20
class-map match-all ipp1
match ip precedence 1
class-map match-all ipp0
match ip precedence 0
class-map match-all ipp3
match ip precedence 3
class-map match-all ipp2
match ip precedence 2
class-map match-all ipp5
match ip precedence 5
class-map match-all ipp4
match ip precedence 4
class-map match-all ipp7
match ip precedence 7
class-map match-all ipp6
match ip precedence 6
class-map match-all MPLS_5
match mpls experimental topmost 5
class-map match-all MPLS_4
match mpls experimental topmost 4
class-map match-all MPLS_7
match mpls experimental topmost 7
class-map match-all MPLS_6
match mpls experimental topmost 6
class-map match-all MPLS_1
match mpls experimental topmost 1
class-map match-all MPLS_0
match mpls experimental topmost 0
class-map match-all MPLS_3
match mpls experimental topmost 3
class-map match-all MPLS_2
match mpls experimental topmost 2
!
!
policy-map mvts-out-sec
class voice-out
priority 256
policy-map shape_128
class class-default
police cir 120000 bc 128000 pir 128000
conform-action transmit
exceed-action drop
policy-map mvts-out-pri
class class-default
shape average 2000000
service-policy mvts-out-sec
policy-map ipp->MPLS
class ipp0
set mpls experimental 0
class ipp1
set mpls experimental 1
class ipp3
set mpls experimental 3
class ipp2
set mpls experimental 2
class ipp4
set mpls experimental 4
class ipp5
set mpls experimental 5
class ipp6
set mpls experimental 6
class ipp7
set mpls experimental 7
policy-map MPLS->ipp
class MPLS_0
set ip precedence 0
class MPLS_1
set ip precedence 1
class MPLS_2
set ip precedence 2
class MPLS_3
set ip precedence 3
class MPLS_4
set ip precedence 4
class MPLS_5
set ip precedence 5
class MPLS_6
set ip precedence 6
class MPLS_7
set ip precedence 7
!
!
!
!
!
bba-group pppoe global
virtual-template 1
ac name xxx
!
!HERE IS MANY SUBINTERFACES LIKE THIS:
!
interface GigabitEthernet0/1.250
description "SSS"
encapsulation dot1Q 250
ip address 10.10.42.30 255.255.255.224
ip access-group sss-in in
ip access-group sss-out out
pppoe enable
ip virtual-reassembly
!
!..... TOTAL 400-500 SUBINTERFACES WITH PPPOE ENABLE
!
!
interface Virtual-Template1
description "PPPoE"
ip unnumbered Loopback0
ip access-group pppoe-in in
no ip redirects
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly
rate-limit input 7000000 1250000 2500000 conform-action transmit exceed-action drop
ip route-cache flow
mpls netflow egress
peer default ip address pool pppoe
keepalive 5
ppp authentication pap pppoe
ppp authorization pppoe
ppp accounting pppoe
!
router eigrp 100
redistribute connected
redistribute static
network xxx
no auto-summary
!
ip flow-export source Loopback0
ip flow-export version 5 peer-as
ip flow-export destination xxx 9996
!
no ip http server
no ip http secure-server
!
ip radius source-interface Loopback0
logging trap debugging
logging facility local6
logging xxx
access-list compiled
!
!HERE IS ACCESS-LISTS.
!TWO ACLs FOR EACH INTERFACE.
!
!
!..... many-many acls ......
!...........................
!
!
!!!AND SOME ACLs FOR RATE-LIMIT
access-list 133 deny ip xxx 0.0.31.255 any time-range DDD
access-list 133 deny ip xxx 0.255.255.255 any time-range DDD
access-list 133 permit ip zzz 0.0.31.255 any
!
!
mpls ldp router-id Loopback0
!
radius-server attribute 44 include-in-access-req
radius-server host xxx auth-port 1645 acct-port 1646 key 7 xxx
radius-server timeout 30
radius-server deadtime 5
radius-server key 7 xxx
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
!
control-plane
!
!
!
!
!
gatekeeper
shutdown
!
banner login xxx
!
line con 0
password 7 xxx
login authentication admin
transport output all
stopbits 1
line aux 0
transport output all
stopbits 1
line vty 0 4
access-class 99 in
exec-timeout 60 0
password 7 xxx
logging synchronous
login authentication admin
transport input all
transport output all
line vty 5 15
access-class 99 in
login authentication admin
!
ntp clock-period 17179944
ntp source Loopback0
ntp server 129.132.2.21
ntp peer 198.123.30.132 prefer
ntp server 80.240.109.22 prefer
!
!
!THE NEXT IS FOR RATE-LIMIT; TIME ACL (133 f.e.) IS ATTACHED ON MOST
!PPPOE SESSIONS FROM
!RADIUS AND USED FOR CHANGING
!RATE-LIMIT LEVELS
!BASED ON TIME OF THE DAY
!RADIUS COMMAND:
!interface-config=rate-lim o access-gr 133 3072000 576000 1152000
! conform-act tran exceed-act dr
!
!
time-range DDD
periodic daily 3:00 to 8:00
!
!
end
>[оверквотинг удален]
>!RADIUS COMMAND:
>!interface-config=rate-lim o access-gr 133 3072000 576000 1152000
>! conform-act tran exceed-act dr
>!
>!
>time-range DDD
> periodic daily 3:00 to 8:00
>!
>!
>endчто пишеть
show process cpu sorted | exclude 0.00
>что пишеть
>show process cpu sorted | exclude 0.00CPU utilization for five seconds: 71%/65%; one minute: 70%; five minutes: 71%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
65 388676192-1961988529 0 1.39% 1.24% 1.23% 0 IP Input205 646854401028972917 62 0.73% 0.75% 0.74% 0 PPP Events
25 1905893681435751341 132 0.57% 0.57% 0.57% 0 ARP Input
185 337872780 4542464 74380 0.49% 0.26% 0.29% 0 CEF Scanner
223 68899740 121220179 568 0.32% 0.28% 0.24% 0 IP-EIGRP: PDM
103 28545116 53483546 533 0.24% 0.27% 0.26% 0 CEF process
45 65208644 5795758 11251 0.24% 0.27% 0.26% 0 Compute load avg
40 38734792 27892794 1388 0.24% 0.24% 0.24% 0 Per-Second Jobs
26 13566500 6732500 2015 0.16% 0.08% 0.06% 0 HC Counter Timer
215 451252881046744610 43 0.16% 0.22% 0.24% 0 RADIUS
204 3177164 873283061 3 0.08% 0.09% 0.08% 0 PPP manager
194 13131344 356199870 36 0.08% 0.02% 0.01% 0 PPPoE Background
193 20376841698201241 1 0.08% 0.08% 0.08% 0 IP SLA Mon Respo
63 1274056 38095104 33 0.08% 0.04% 0.06% 0 ACCT Periodic Pr
62 6043280 40753000 148 0.08% 0.10% 0.08% 0 AAA ACCT Proc
195 24346904 157745939 154 0.08% 0.03% 0.02% 0 PPPoE Discovery
218 88933076 3550818 25045 0.08% 0.16% 0.22% 0 VTEMPLATE Backgr
>[оверквотинг удален]
> 148 0.08% 0.10%
>0.08% 0 AAA ACCT Proc
>
> 195 24346904 157745939
> 154 0.08% 0.03% 0.02%
>0 PPPoE Discovery
>
> 218 88933076 3550818
> 25045 0.08% 0.16% 0.22%
>0 VTEMPLATE Backgrпо симптомам похоже на большой паразитный трафик от клиентов, типа бродкастов и тд. попробуй на коммутаторах ограничить трафик по каким-нить параметрам.
>>конфиг приведи
>
>version 12.4Начнем с того что ИОС у тебя не 12.2SB а какой-то 12.4
+ ко всему:
>boot system flash disk0:c7301-jk9s-mz.124-8a.bin^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
[skip]>ip sla monitor responder
Это для чего ?
>interface GigabitEthernet0/1.250
> description "SSS"
> encapsulation dot1Q 250
> ip address 10.10.42.30 255.255.255.224
> ip access-group sss-in in
> ip access-group sss-out out^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Это необходимо ?> pppoe enable
> ip virtual-reassemblyЭто действительно необходимо ?
>[оверквотинг удален]
>!..... TOTAL 400-500 SUBINTERFACES WITH PPPOE ENABLE
>!
>!
>interface Virtual-Template1
> description "PPPoE"
> ip unnumbered Loopback0
> ip access-group pppoe-in in
> no ip redirects
> no ip proxy-arp
> ip accounting output-packets^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Это для чего ?
> ip nat inside
> ip virtual-reassembly^^^
> rate-limit input 7000000 1250000 2500000 conform-action transmit exceed-action drop
> ip route-cache flow
> mpls netflow egress
> peer default ip address pool pppoe
> keepalive 5^^^^^^^^^^^^^^
В первую очередь увелич значение ~60 а то и побольше..> ppp authentication pap pppoe
> ppp authorization pppoe
> ppp accounting pppoe
>!
>!
>ip flow-export source Loopback0
>ip flow-export version 5 peer-as
>ip flow-export destination xxx 9996
>!
>access-list compiled^^^^^ Это что ?
>!
>!HERE IS ACCESS-LISTS.
>!TWO ACLs FOR EACH INTERFACE.
>!
>!
>!..... many-many acls ......
>!...........................
>!
>!
>!!!AND SOME ACLs FOR RATE-LIMITНе очень хорошо это, оптимизировать никак не получается ?
P.S. Не показал выходной интерфейс и sh ver. Кстати, не плохо было бы оптимизировать(задействовать, как можно меньше интерфейсов) Flow т.к. тоже дает хорошую нагрузку.
>Начнем с того что ИОС у тебя не 12.2SB а какой-то 12.4
>
>+ ко всему:
>>boot system flash disk0:c7301-jk9s-mz.124-8a.binНе принципиально. Тестилось с разным ИОСом, загрузка CPU такая же. Конфиг привёл с одного ИОСа, sh ver с другого... ситуация одинаковая на разных ИОСах.
>>ip sla monitor responder
>Это для чего ?Было по дефолту, отключил. Толку-то.
>>interface GigabitEthernet0/1.250
>> description "SSS"
>> encapsulation dot1Q 250
>> ip address 10.10.42.30 255.255.255.224
>> ip access-group sss-in in
>> ip access-group sss-out out
>
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>Это необходимо ?Конечно.
>> pppoe enable
>> ip virtual-reassembly
>
>Это действительно необходимо ?Да.
>> ip accounting output-packets
>
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>Это для чего ?Для того, для чего написано :) Для АККАУНТИНГА.
>> keepalive 5
>
>^^^^^^^^^^^^^^
>В первую очередь увелич значение ~60 а то и побольше..Завивит от концепции сети. В нашей сети так должно быть.
>>access-list compiled
>
>^^^^^ Это что ?После таких вопросов у меня складывается мнение, что я не должен слушать Ваших советов.
>Не очень хорошо это, оптимизировать никак не получается ?Что тут ещё оптимизировать? Комментарии на интерфейсах? Не смешите.
>P.S. Не показал выходной интерфейс и sh ver. Кстати, не плохо было
>бы оптимизировать(задействовать, как можно меньше интерфейсов) Flow т.к. тоже дает хорошую нагрузку.Не даёт оно нагрузку. Могу выключить флоу вообще - разницы ноль.
Всего доброго.
>[оверквотинг удален]
> Столкнулся с проблемой - есть роутер 7301, на котором в пике
>терминируется 800 PPPoE сессий. Во время этого пика CPU грузится под
>100%. Сквозной трафик через роутер в это время 200 Мбит/с,
>на большинстве юзеров ACL и rate-limit по time-range. CEF включен.
> IOS - c7301-js-mz.122-31.SB11.bin
> По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий
>в течение суток. Подскажите что можно сделать для снижения загрузки, а
>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>а NAT у тебя есть?
>[оверквотинг удален]
>>100%. Сквозной трафик через роутер в это время 200 Мбит/с,
>>на большинстве юзеров ACL и rate-limit по time-range. CEF включен.
>> IOS - c7301-js-mz.122-31.SB11.bin
>> По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий
>>в течение суток. Подскажите что можно сделать для снижения загрузки, а
>>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>>
>
>а NAT у тебя есть?Несколько сессий под офисные нужды. Он однозначно не грузит, т.к. был всгда, а загрузка появилась с увеличением PPPoE-сессий.
>[оверквотинг удален]
>>> По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий
>>>в течение суток. Подскажите что можно сделать для снижения загрузки, а
>>>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>>>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>>>
>>
>>а NAT у тебя есть?
>
> Несколько сессий под офисные нужды. Он однозначно не грузит, т.к. был
>всгда, а загрузка появилась с увеличением PPPoE-сессий.дa что угодно может быть...нaпример multicast
>[оверквотинг удален]
>>>>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>>>>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>>>>
>>>
>>>а NAT у тебя есть?
>>
>> Несколько сессий под офисные нужды. Он однозначно не грузит, т.к. был
>>всгда, а загрузка появилась с увеличением PPPoE-сессий.
>
>дa что угодно может быть...нaпример multicastУдалось ли решить проблему? У нас схожая ситуация...
Спасибо.