URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17399
[ Назад ]

Исходное сообщение
"7301 - PPPoE грузит CPU под 100%"
Отправлено Cleric , 18-Окт-08 11:36

Добрый день всем!

Столкнулся с проблемой - есть роутер 7301, на котором в пике терминируется 800 PPPoE сессий. Во время этого пика CPU грузится под 100%. Сквозной трафик через роутер в это время 200 Мбит/с, на большинстве юзеров ACL и rate-limit по time-range. CEF включен.
IOS - c7301-js-mz.122-31.SB11.bin
По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий в течение суток. Подскажите что можно сделать для снижения загрузки, а то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря. Если что-то посмотреть ещё нужно - посмотрю и напишу.

Содержание

7301 - PPPoE грузит CPU под 100%,Ночной админ, 22:06 , 18-Окт-08
- 7301 - PPPoE грузит CPU под 100%,chesnok, 02:40 , 19-Окт-08
7301 - PPPoE грузит CPU под 100%,KiM, 10:09 , 19-Окт-08
- 7301 - PPPoE грузит CPU под 100%,Cleric, 06:58 , 20-Окт-08
  - 7301 - PPPoE грузит CPU под 100%,KiM, 10:32 , 20-Окт-08
    - 7301 - PPPoE грузит CPU под 100%,Cleric, 10:51 , 20-Окт-08
      - 7301 - PPPoE грузит CPU под 100%,KiM, 09:57 , 21-Окт-08
  - 7301 - PPPoE грузит CPU под 100%,SayAdm, 23:28 , 27-Окт-08
    - 7301 - PPPoE грузит CPU под 100%,Cleric, 05:22 , 28-Окт-08
7301 - PPPoE грузит CPU под 100%,shutdown now, 14:05 , 19-Окт-08
- 7301 - PPPoE грузит CPU под 100%,Cleric, 05:08 , 20-Окт-08
  - 7301 - PPPoE грузит CPU под 100%,chesnok, 10:31 , 20-Окт-08
    - 7301 - PPPoE грузит CPU под 100%,demi, 12:58 , 27-Янв-09

Сообщения в этом обсуждении

"7301 - PPPoE грузит CPU под 100%"
Отправлено Ночной админ , 18-Окт-08 22:06

Ее грузит не PPPoE а rate-limit.

"7301 - PPPoE грузит CPU под 100%"
Отправлено chesnok , 19-Окт-08 02:40

>Ее грузит не PPPoE а rate-limit.
от чего же?
дaже если нa кaждом из 800 virtual-access будет rate-limit зaгрузки 100% не будет

"7301 - PPPoE грузит CPU под 100%"
Отправлено KiM , 19-Окт-08 10:09

>[оверквотинг удален]
> Столкнулся с проблемой - есть роутер 7301, на котором в пике
>терминируется 800 PPPoE сессий. Во время этого пика CPU грузится под
>100%. Сквозной трафик через роутер в это время 200 Мбит/с,
>на большинстве юзеров ACL и rate-limit по time-range. CEF включен.
> IOS - c7301-js-mz.122-31.SB11.bin
> По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий
>в течение суток. Подскажите что можно сделать для снижения загрузки, а
>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>
конфиг приведи

"7301 - PPPoE грузит CPU под 100%"
Отправлено Cleric , 20-Окт-08 06:58

>конфиг приведи
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname hostname
!
boot-start-marker
boot system flash disk0:c7301-jk9s-mz.124-8a.bin
boot system flash disk0:c7301-jk9s-mz.123-19.bin
boot-end-marker
!
logging buffered 10000 debugging
no logging rate-limit
no logging console
enable secret 5 xxx
enable password 7 xxx
!
aaa new-model
!
!
aaa authentication username-prompt login:
aaa authentication login default local
aaa authentication login terminal local
aaa authentication login h323 group radius
aaa authentication login admin local-case
aaa authentication ppp dialin group radius
aaa authentication ppp pppoe group radius
aaa authorization exec default local
aaa authorization network h323 group radius if-authenticated
aaa authorization network dialin group radius if-authenticated
aaa authorization network pppoe group radius
aaa accounting update periodic 5
aaa accounting exec default start-stop broadcast group radius group xxx
aaa accounting network default start-stop broadcast group radius group xxx
aaa accounting network pppoe start-stop broadcast group radius group xxx
aaa accounting network dialin start-stop broadcast group radius group xxx
!
aaa pod server auth-type any server-key xxx
aaa session-id common
!
resource policy
!
clock timezone ZZZ 7
clock summer-time TSD recurring last Sun Mar 2:00 last Sun Oct 2:00
no ip rcmd domain-lookup
ip flow-cache timeout active 1
!
!
ip telnet source-interface Loopback0
ip cef
ip tftp source-interface Loopback0
ip name-server 208.67.222.222
!
!
no ip bootp server
ip sla monitor responder
mpls label protocol ldp
!
no virtual-template subinterface
!
key chain eigrp-key
key 1
  key-string 7 xxx
!
username xxx password 7 xxx
!
class-map match-all voice-out
match access-group 20
class-map match-all ipp1
match ip precedence 1
class-map match-all ipp0
match ip precedence 0
class-map match-all ipp3
match ip precedence 3
class-map match-all ipp2
match ip precedence 2
class-map match-all ipp5
match ip precedence 5
class-map match-all ipp4
match ip precedence 4
class-map match-all ipp7
match ip precedence 7
class-map match-all ipp6
match ip precedence 6
class-map match-all MPLS_5
match mpls experimental topmost 5
class-map match-all MPLS_4
match mpls experimental topmost 4
class-map match-all MPLS_7
match mpls experimental topmost 7
class-map match-all MPLS_6
match mpls experimental topmost 6
class-map match-all MPLS_1
match mpls experimental topmost 1
class-map match-all MPLS_0
match mpls experimental topmost 0
class-map match-all MPLS_3
match mpls experimental topmost 3
class-map match-all MPLS_2
match mpls experimental topmost 2
!
!
policy-map mvts-out-sec
class voice-out
  priority 256
policy-map shape_128
class class-default
  police cir 120000 bc 128000 pir 128000
    conform-action transmit
    exceed-action drop
policy-map mvts-out-pri
class class-default
  shape average 2000000
  service-policy mvts-out-sec
policy-map ipp->MPLS
class ipp0
  set mpls experimental 0
class ipp1
  set mpls experimental 1
class ipp3
  set mpls experimental 3
class ipp2
  set mpls experimental 2
class ipp4
  set mpls experimental 4
class ipp5
  set mpls experimental 5
class ipp6
  set mpls experimental 6
class ipp7
  set mpls experimental 7
policy-map MPLS->ipp
class MPLS_0
  set ip precedence 0
class MPLS_1
  set ip precedence 1
class MPLS_2
  set ip precedence 2
class MPLS_3
  set ip precedence 3
class MPLS_4
  set ip precedence 4
class MPLS_5
  set ip precedence 5
class MPLS_6
  set ip precedence 6
class MPLS_7
  set ip precedence 7
!
!
!
!
!
bba-group pppoe global
virtual-template 1
ac name xxx
!
!HERE IS MANY SUBINTERFACES LIKE THIS:
!
interface GigabitEthernet0/1.250
description "SSS"
encapsulation dot1Q 250
ip address 10.10.42.30 255.255.255.224
ip access-group sss-in in
ip access-group sss-out out
pppoe enable
ip virtual-reassembly
!
!..... TOTAL 400-500 SUBINTERFACES WITH PPPOE ENABLE
!
!
interface Virtual-Template1
description "PPPoE"
ip unnumbered Loopback0
ip access-group pppoe-in in
no ip redirects
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly
rate-limit input 7000000 1250000 2500000 conform-action transmit exceed-action drop
ip route-cache flow
mpls netflow egress
peer default ip address pool pppoe
keepalive 5
ppp authentication pap pppoe
ppp authorization pppoe
ppp accounting pppoe
!
router eigrp 100
redistribute connected
redistribute static
network xxx
no auto-summary
!
ip flow-export source Loopback0
ip flow-export version 5 peer-as
ip flow-export destination xxx 9996
!
no ip http server
no ip http secure-server
!
ip radius source-interface Loopback0
logging trap debugging
logging facility local6
logging xxx
access-list compiled
!
!HERE IS ACCESS-LISTS.
!TWO ACLs FOR EACH INTERFACE.
!
!
!..... many-many acls ......
!...........................
!
!
!!!AND SOME ACLs FOR RATE-LIMIT
access-list 133 deny   ip xxx 0.0.31.255 any time-range DDD
access-list 133 deny   ip xxx 0.255.255.255 any time-range DDD
access-list 133 permit ip zzz 0.0.31.255 any
!
!
mpls ldp router-id Loopback0
!
radius-server attribute 44 include-in-access-req
radius-server host xxx auth-port 1645 acct-port 1646 key 7 xxx
radius-server timeout 30
radius-server deadtime 5
radius-server key 7 xxx
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
!
control-plane
!
!
!
!
!
gatekeeper
shutdown
!
banner login xxx
!
line con 0
password 7 xxx
login authentication admin
transport output all
stopbits 1
line aux 0
transport output all
stopbits 1
line vty 0 4
access-class 99 in
exec-timeout 60 0
password 7 xxx
logging synchronous
login authentication admin
transport input all
transport output all
line vty 5 15
access-class 99 in
login authentication admin
!
ntp clock-period 17179944
ntp source Loopback0
ntp server 129.132.2.21
ntp peer 198.123.30.132 prefer
ntp server 80.240.109.22 prefer
!
!
!THE NEXT IS FOR RATE-LIMIT; TIME ACL (133 f.e.) IS ATTACHED ON MOST
!PPPOE SESSIONS FROM
!RADIUS AND USED FOR CHANGING
!RATE-LIMIT LEVELS
!BASED ON TIME OF THE DAY
!RADIUS COMMAND:
!interface-config=rate-lim o access-gr 133 3072000 576000 1152000
! conform-act tran exceed-act dr
!
!
time-range DDD
periodic daily 3:00 to 8:00
!
!
end

"7301 - PPPoE грузит CPU под 100%"
Отправлено KiM , 20-Окт-08 10:32

>[оверквотинг удален]
>!RADIUS COMMAND:
>!interface-config=rate-lim o access-gr 133 3072000 576000 1152000
>! conform-act tran exceed-act dr
>!
>!
>time-range DDD
> periodic daily 3:00 to 8:00
>!
>!
>end
что пишеть
show process cpu sorted | exclude 0.00

"7301 - PPPoE грузит CPU под 100%"
Отправлено Cleric , 20-Окт-08 10:51

>что пишеть
>show process cpu sorted | exclude 0.00
CPU utilization for five seconds: 71%/65%; one minute: 70%; five minutes: 71%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
  65   388676192-1961988529          0  1.39%  1.24%  1.23%   0 IP Input
205    646854401028972917         62  0.73%  0.75%  0.74%   0 PPP Events
  25   1905893681435751341        132  0.57%  0.57%  0.57%   0 ARP Input
185   337872780   4542464      74380  0.49%  0.26%  0.29%   0 CEF Scanner
223    68899740 121220179        568  0.32%  0.28%  0.24%   0 IP-EIGRP: PDM
103    28545116  53483546        533  0.24%  0.27%  0.26%   0 CEF process
  45    65208644   5795758      11251  0.24%  0.27%  0.26%   0 Compute load avg
  40    38734792  27892794       1388  0.24%  0.24%  0.24%   0 Per-Second Jobs
  26    13566500   6732500       2015  0.16%  0.08%  0.06%   0 HC Counter Timer
215    451252881046744610         43  0.16%  0.22%  0.24%   0 RADIUS
204     3177164 873283061          3  0.08%  0.09%  0.08%   0 PPP manager
194    13131344 356199870         36  0.08%  0.02%  0.01%   0 PPPoE Background
193     20376841698201241          1  0.08%  0.08%  0.08%   0 IP SLA Mon Respo
  63     1274056  38095104         33  0.08%  0.04%  0.06%   0 ACCT Periodic Pr
  62     6043280  40753000        148  0.08%  0.10%  0.08%   0 AAA ACCT Proc
195    24346904 157745939        154  0.08%  0.03%  0.02%   0 PPPoE Discovery
218    88933076   3550818      25045  0.08%  0.16%  0.22%   0 VTEMPLATE Backgr

"7301 - PPPoE грузит CPU под 100%"
Отправлено KiM , 21-Окт-08 09:57

>[оверквотинг удален]
>     148  0.08%  0.10%
>0.08%   0 AAA ACCT Proc
>
> 195    24346904 157745939
>  154  0.08%  0.03%  0.02%
>0 PPPoE Discovery
>
> 218    88933076   3550818
>  25045  0.08%  0.16%  0.22%
>0 VTEMPLATE Backgr
по симптомам похоже на большой паразитный трафик от клиентов, типа бродкастов и тд. попробуй на коммутаторах ограничить трафик по каким-нить параметрам.

"7301 - PPPoE грузит CPU под 100%"
Отправлено SayAdm , 27-Окт-08 23:28

>>конфиг приведи
>
>version 12.4
Начнем с того что ИОС у тебя не 12.2SB а какой-то 12.4
+ ко всему:
>boot system flash disk0:c7301-jk9s-mz.124-8a.bin
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
[skip]
>ip sla monitor responder
Это для чего ?
>interface GigabitEthernet0/1.250
> description "SSS"
> encapsulation dot1Q 250
> ip address 10.10.42.30 255.255.255.224
> ip access-group sss-in in
> ip access-group sss-out out
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Это необходимо ?
> pppoe enable
> ip virtual-reassembly
Это действительно необходимо ?
>[оверквотинг удален]
>!..... TOTAL 400-500 SUBINTERFACES WITH PPPOE ENABLE
>!
>!
>interface Virtual-Template1
> description "PPPoE"
> ip unnumbered Loopback0
> ip access-group pppoe-in in
> no ip redirects
> no ip proxy-arp
> ip accounting output-packets
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Это для чего ?
> ip nat inside
> ip virtual-reassembly
^^^
> rate-limit input 7000000 1250000 2500000 conform-action transmit exceed-action drop
> ip route-cache flow
> mpls netflow egress
> peer default ip address pool pppoe
> keepalive 5
^^^^^^^^^^^^^^
В первую очередь увелич значение ~60 а то и побольше..
> ppp authentication pap pppoe
> ppp authorization pppoe
> ppp accounting pppoe
>!
>!
>ip flow-export source Loopback0
>ip flow-export version 5 peer-as
>ip flow-export destination xxx 9996
>!
>access-list compiled
^^^^^ Это что ?
>!
>!HERE IS ACCESS-LISTS.
>!TWO ACLs FOR EACH INTERFACE.
>!
>!
>!..... many-many acls ......
>!...........................
>!
>!
>!!!AND SOME ACLs FOR RATE-LIMIT
Не очень хорошо это, оптимизировать никак не получается ?
P.S. Не показал выходной интерфейс и sh ver. Кстати, не плохо было бы оптимизировать(задействовать, как можно меньше интерфейсов) Flow т.к. тоже дает хорошую нагрузку.

"7301 - PPPoE грузит CPU под 100%"
Отправлено Cleric , 28-Окт-08 05:22

>Начнем с того что ИОС у тебя не 12.2SB а какой-то 12.4
>
>+ ко всему:
>>boot system flash disk0:c7301-jk9s-mz.124-8a.bin
Не принципиально. Тестилось с разным ИОСом, загрузка CPU такая же. Конфиг привёл с одного ИОСа, sh ver с другого... ситуация одинаковая на разных ИОСах.
>>ip sla monitor responder
>Это для чего ?
Было по дефолту, отключил. Толку-то.
>>interface GigabitEthernet0/1.250
>> description "SSS"
>> encapsulation dot1Q 250
>> ip address 10.10.42.30 255.255.255.224
>> ip access-group sss-in in
>> ip access-group sss-out out
>
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>Это необходимо ?
Конечно.

>> pppoe enable
>> ip virtual-reassembly
>
>Это действительно необходимо ?
Да.
>> ip accounting output-packets
>
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>Это для чего ?
Для того, для чего написано :) Для АККАУНТИНГА.
>> keepalive 5
>
>^^^^^^^^^^^^^^
>В первую очередь увелич значение ~60 а то и побольше..
Завивит от концепции сети. В нашей сети так должно быть.

>>access-list compiled
>
>^^^^^ Это что ?
После таких вопросов у меня складывается мнение, что я не должен слушать Ваших советов.

>Не очень хорошо это, оптимизировать никак не получается ?
Что тут ещё оптимизировать? Комментарии на интерфейсах? Не смешите.

>P.S. Не показал выходной интерфейс и sh ver. Кстати, не плохо было
>бы оптимизировать(задействовать, как можно меньше интерфейсов) Flow т.к. тоже дает хорошую нагрузку.
Не даёт оно нагрузку. Могу выключить флоу вообще - разницы ноль.
Всего доброго.

"7301 - PPPoE грузит CPU под 100%"
Отправлено shutdown now , 19-Окт-08 14:05

>[оверквотинг удален]
> Столкнулся с проблемой - есть роутер 7301, на котором в пике
>терминируется 800 PPPoE сессий. Во время этого пика CPU грузится под
>100%. Сквозной трафик через роутер в это время 200 Мбит/с,
>на большинстве юзеров ACL и rate-limit по time-range. CEF включен.
> IOS - c7301-js-mz.122-31.SB11.bin
> По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий
>в течение суток. Подскажите что можно сделать для снижения загрузки, а
>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>
а NAT у тебя есть?

"7301 - PPPoE грузит CPU под 100%"
Отправлено Cleric , 20-Окт-08 05:08

>[оверквотинг удален]
>>100%. Сквозной трафик через роутер в это время 200 Мбит/с,
>>на большинстве юзеров ACL и rate-limit по time-range. CEF включен.
>> IOS - c7301-js-mz.122-31.SB11.bin
>> По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий
>>в течение суток. Подскажите что можно сделать для снижения загрузки, а
>>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>>
>
>а NAT у тебя есть?
Несколько сессий под офисные нужды. Он однозначно не грузит, т.к. был всгда, а загрузка появилась с увеличением PPPoE-сессий.

"7301 - PPPoE грузит CPU под 100%"
Отправлено chesnok , 20-Окт-08 10:31

>[оверквотинг удален]
>>> По MRTG видна точная линейная взаимосвязь загрузки CPU от количества сессий
>>>в течение суток. Подскажите что можно сделать для снижения загрузки, а
>>>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>>>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>>>
>>
>>а NAT у тебя есть?
>
> Несколько сессий под офисные нужды. Он однозначно не грузит, т.к. был
>всгда, а загрузка появилась с увеличением PPPoE-сессий.
дa что угодно может быть...нaпример multicast

"7301 - PPPoE грузит CPU под 100%"
Отправлено demi , 27-Янв-09 12:58

>[оверквотинг удален]
>>>>то ожидания хорошей производительности от 7301 как-то не оправдались, мягко говоря.
>>>>Если что-то посмотреть ещё нужно - посмотрю и напишу.
>>>>
>>>
>>>а NAT у тебя есть?
>>
>> Несколько сессий под офисные нужды. Он однозначно не грузит, т.к. был
>>всгда, а загрузка появилась с увеличением PPPoE-сессий.
>
>дa что угодно может быть...нaпример multicast
Удалось ли решить проблему? У нас схожая ситуация...
Спасибо.