Проблема с большими задержками трафика при прохождении через Cisco. При єтом мы используем меньше половины пропускной способности канала (слежу по snmp) а загрузка процессора Cisco целых 12%! памяти из 256Мб она сьела целых 50Мб.Подробно:
Есть Cisco 1811, настроен мониторинг задержки пингов к определннмым хостам (шлюз провайдера, шлюз провайдера второго офиса, циско на втором офисе). Собственно для выявления узкого места.
Cisco стоит 3й день, до єтого был роутер ASUS WL500gp с установленной OpenWRT.
Так вот пока был єтот асус мы горя не знали, но высокое начальство требует циску. На асусе были настроены очереди с приоритетами, все чудесно работало и не тормозило.
Поставили циску. Картинка на мониторинге сразу попестрела. Задержка до нашего шлюза стала прыгать выше 200мс!!! Что за фигня не ясно никак. Думал может flow-export грузит, убрал его. Настроил классы и policy-map на локальный интерфейс и добавил icmp в класс с найвысшим приоритетом. Не помогло. На внешнем интерфейсе стоит fair-queue.Куда хоть смотреть еще?
Заранее всем спасибо
>Куда хоть смотреть еще?покажите версию IOS и полный конфиг (пароли и реальные IP замените)
>
>>Куда хоть смотреть еще?
>
>покажите версию IOS и полный конфиг (пароли и реальные IP замените)sh ver
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(15)T13, RELEASE SOFTWARE (fc3)
...
ROM: System Bootstrap, Version 12.3(8r)YH13, RELEASE SOFTWARE (fc1)ROUTENAME uptime is 1 day, 23 hours, 24 minutes
System returned to ROM by power-on
System restarted at 09:58:57 Athens Tue Sep 7 2010
System image file is "flash:c181x-advipservicesk9-mz.124-15.T13.bin"...
Cisco 1811 (MPC8500) processor (revision 0x400) with 236544K/25600K bytes of memory.
Processor board ID FTX1405YG6F, with hardware revision 000010 FastEthernet interfaces
1 Serial interface
1 terminal line
62720K bytes of ATA CompactFlash (Read/Write)Configuration register is 0x2102
#sh run
Building configuration...Current configuration : 13157 bytes
!
! Last configuration change at 17:20:37 Athens Wed Sep 8 2010 by admin
! NVRAM config last updated at 15:55:47 Athens Wed Sep 8 2010 by admin
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname ROUTENAME
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 xxx
!
aaa new-model
!
!
aaa group server radius RADIUS_SERVERS
server 10.20.100.5 auth-port 1812 acct-port 1813
server 10.20.100.253 auth-port 1812 acct-port 1813
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local group RADIUS_SERVERS
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local group RADIUS_SERVERS
!
!
aaa session-id common
clock timezone Athens 2
clock summer-time Athens date Mar 30 2003 3:00 Oct 26 2003 4:00
!
crypto pki trustpoint TP-self-signed-333
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-333
revocation-check none
rsakeypair TP-self-signed-333
!
!
crypto pki certificate chain TP-self-signed-333
certificate self-signed 01
................................................
quit
dot11 syslog
no ip source-route
!
!
ip cef
!
!
no ip bootp server
ip domain name domain.com
ip name-server 10.20.100.5
ip inspect log drop-pkt
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
!
!
!
username admin privilege 15 secret 5 $xxx
username usr5 secret 5 $xxx
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group usr1
key key
dns 10.20.100.5 10.20.100.9
domain MY-DOMAIN
pool SDM_POOL_1
acl 102
save-password
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
match identity group usr1
client authentication list sdm_vpn_xauth_ml_1
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA1
set isakmp-profile sdm-ike-profile-1
!
!
crypto ipsec client ezvpn hard-client
connect auto
group usr1 key key
mode network-extension
peer peer.dyndns.org
username usr2 password pwd2
xauth userid mode local
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
track 1 rtr 1 reachability
delay down 65 up 65
!
track 2 rtr 2 reachability
delay up 65
!
class-map match-any Controls
match protocol dns
match protocol ssh
match access-group name acl_RDP
class-map match-any Voice
match protocol h323
match protocol skinny
match protocol skype
match protocol sip
match access-group name acl_VoIP
match protocol icmp
class-map match-any Tunnels
match protocol ipsec
match protocol l2tp
match protocol pptp
match access-group name acl_VPN
!
!
policy-map InetOut
class Voice
set precedence 6
class Controls
set precedence 5
class Tunnels
set precedence 4
class class-default
set precedence 0
!
!
!
!
interface FastEthernet0
description $ETH-LAN$$FW_OUTSIDE$
bandwidth 5120
ip address A.A.A.A 255.255.255.192
ip access-group 110 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
speed auto
full-duplex
fair-queue
no cdp enable
!
interface FastEthernet1
description $FW_OUTSIDE$$ETH-WAN$
bandwidth 5120
no ip address
no ip proxy-arp
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Virtual-Template1 type tunnel
ip unnumbered Vlan1
ip tcp adjust-mss 1412
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$$FW_INSIDE$
ip address 10.20.100.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1300
ip policy route-map TEST
service-policy input InetOut
!
interface Async1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation slip
!
interface Dialer1
mtu 1452
ip address negotiated
ip access-group 110 in
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1412
no ip mroute-cache
dialer pool 1
dialer-group 1
fair-queue
ppp authentication pap chap callin
ppp chap hostname usr3
ppp chap password 7 pwd
ppp pap sent-username usr3 password 7 pwd
!
ip local pool SDM_POOL_1 10.20.100.240 10.20.100.250
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 A.A.A.B 20 track 1
ip route 0.0.0.0 0.0.0.0 B.B.B.A 70 track 2
ip route 0.0.0.0 0.0.0.0 A.A.A.B 200
ip route 10.0.0.0 255.0.0.0 10.20.100.253
ip route 10.20.10.0 255.255.255.0 10.20.100.127
ip route 192.58.128.30 255.255.255.255 A.A.A.B
ip route 192.168.1.0 255.255.255.0 10.20.100.253
ip route B.B.B.3 255.255.255.255 Dialer1
ip route B.B.B.34 255.255.255.255 Dialer1
ip route B.B.B.36 255.255.255.255 Dialer1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map ISP1-NAT interface FastEthernet0 overload
ip nat inside source route-map ISP2-NAT interface Dialer1 overload
!
ip access-list extended acl_RDP
permit tcp any any eq 3389
ip access-list extended acl_VPN
permit ip host 10.20.100.253 any
permit ip any host 10.20.100.253
ip access-list extended acl_VoIP
permit ip host 10.20.100.112 any
permit ip any host 10.20.100.112
permit ip host 10.20.100.192 any
permit ip any host 10.20.100.192
permit udp any any eq 5060
permit udp any any eq 5061
permit tcp any any eq 5061
permit udp any any range 1718 1719
permit tcp any any range 1718 1719
permit udp any any eq 11720
permit tcp any any eq 11720
permit tcp any any eq 1720
permit udp any any eq 4569
permit udp any any eq 5036
permit udp any any eq ntp
!
ip sla responder
ip sla 1
icmp-echo 192.58.128.30 source-interface FastEthernet0
timeout 2000
frequency 30
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo B.B.B.3 source-ip B.B.B.B
timeout 2000
frequency 30
ip sla schedule 2 life forever start-time now
ip sla 3
icmp-echo B.B.B.36 source-ip B.B.B.B
timeout 2000
frequency 30
ip sla schedule 3 life forever start-time now
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.20.100.0 0.0.0.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 10.20.100.0 0.0.0.255
access-list 3 remark Route Map TEST
access-list 3 permit 10.20.100.2
access-list 5 remark SNMP acl
access-list 5 permit 10.20.100.163
access-list 5 permit 10.20.100.9
access-list 5 deny any
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny udp any any eq bootps
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit tcp host 10.20.100.5 host x.x.x.x eq 1666
access-list 100 permit tcp host 10.20.100.9 host x.x.x.x eq 1666
access-list 100 deny tcp any host x.x.x.x eq 1666
access-list 100 permit ip any any
access-list 102 remark SDM_ACL Category=4
access-list 102 permit ip 10.20.100.0 0.0.0.255 any
access-list 110 remark _INET_IN_
access-list 110 permit udp any any eq non500-isakmp
access-list 110 permit udp any any eq isakmp
access-list 110 permit esp any any
access-list 110 permit ahp any any
access-list 110 deny ip any host 0.0.0.0
access-list 110 deny ip any 127.0.0.0 0.255.255.255
access-list 110 deny ip any 10.0.0.0 0.255.255.255
access-list 110 deny ip any 172.16.0.0 0.15.255.255
access-list 110 deny ip any 192.168.0.0 0.0.255.255
access-list 110 deny ip host 0.0.0.0 any
access-list 110 deny ip 127.0.0.0 0.255.255.255 any
access-list 110 deny ip 192.0.2.0 0.0.0.255 any
access-list 110 deny ip 224.0.0.0 31.255.255.255 any
access-list 110 deny ip 10.0.0.0 0.255.255.255 any
access-list 110 deny ip 172.16.0.0 0.15.255.255 any
access-list 110 deny ip 192.168.0.0 0.0.255.255 any
access-list 110 deny tcp any any eq 22
access-list 110 deny tcp any any eq telnet
access-list 110 deny tcp any any eq www
access-list 110 deny tcp any any eq 443
access-list 110 permit ip any any
dialer-list 1 protocol ip permit
snmp-server community public RO 5
!
!
!
route-map ISP1-NAT permit 10
match ip address 1
match interface FastEthernet0
!
route-map ISP2-NAT permit 10
match ip address 2
match interface Dialer1
!
route-map TEST permit 5
match ip address 3
set default interface Dialer1
!
!
!
radius-server host 10.20.100.5 auth-port 1812 acct-port 1813 timeout 10 key 7 pwd
radius-server host 10.20.100.253 auth-port 1812 acct-port 1813 timeout 10 key 7 pwd
!
control-plane
!
banner login ^CCCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
transport output telnet
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
transport output telnet
line vty 0 4
transport input telnet ssh
line vty 5 15
transport input telnet ssh
!
scheduler interval 500
ntp clock-period 17180084
ntp server 10.20.100.5
event manager applet MailOnISP2Down
event track 2 state down
action 1.0 info type routername
action 2.0 cli command "show ip route"
action 2.1 mail server "mail.MY-DOMAIN" to "admin1@mail" from "cisco@MY-DOMAIN" cc "admin2@mail" subject "Link to ISP2 on $_info_routername down" body "$_cli_result"
action 3.0 cli command "show ip sla statistics 2 details"
action 3.1 mail server "mail.MY-DOMAIN" to "admin2@mail" from "cisco@MY-DOMAIN" subject "Link to ISP2 on $_info_routername down (sla statistics)" body "$_cli_result"
event manager applet MailOnISP1Down
event track 1 state down
action 1.0 info type routername
action 2.0 cli command "show ip route"
action 2.1 mail server "mail.MY-DOMAIN" to "admin1@mail" from "cisco@MY-DOMAIN" cc "admin2@mail" subject "Link to ISP1 on $_info_routername down" body "$_cli_result"
action 3.0 cli command "show ip sla statistics 1 details"
action 3.1 mail server "mail.MY-DOMAIN" to "admin2@mail" from "cisco@MY-DOMAIN" subject "Link to ISP1 on $_info_routername down (sla statistics)" body "$_cli_result"
action 4.0 cli command "enable"
action 4.1 cli command "clear ip nat translation forced"
event manager applet MailOnISP1Up
event track 1 state up
action 1.0 info type routername
action 2.0 cli command "show ip sla statistics 1 details"
action 2.1 mail server "mail.MY-DOMAIN" to "admin2@mail" from "cisco@MY-DOMAIN" subject "Link to ISP1 on $_info_routername UP (sla statistics)" body "$_cli_result"
action 4.0 cli command "enable"
action 4.1 cli command "clear ip nat translation forced"
!
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
а что за модуль вы использовали чтобы добрать еще 8 портов FastEthernet?
>а что за модуль вы использовали чтобы добрать еще 8 портов FastEthernet?
>Fa2-Fa9 єто свич. Єто не модуль, єта модель идет с єтими портами прямо на плате.
А теперь еще по теме:
Вчера заметил что Cisco откровенно забивает на мои класы трафика и очереди, какая-нибуть закачка убивает голос. Может даже где-то тут и зарыта собака. Буду упрощать конфиг и разбираться подробнее в очередях. Может кто видит ошибку в организации приоритетов? Или может посоветует лучший вариант выделить голосу и определенным хостам гарантированую полосу?
>[оверквотинг удален]
>Fa2-Fa9 єто свич. Єто не модуль, єта модель идет с єтими портами
>прямо на плате.
>
>
>А теперь еще по теме:
>Вчера заметил что Cisco откровенно забивает на мои класы трафика и очереди,
>какая-нибуть закачка убивает голос. Может даже где-то тут и зарыта собака.
>Буду упрощать конфиг и разбираться подробнее в очередях. Может кто видит
>ошибку в организации приоритетов? Или может посоветует лучший вариант выделить голосу
>и определенным хостам гарантированую полосу?В этом конфиге нет организации приоритетов, есть только маркировка классов трафика.
>
>В этом конфиге нет организации приоритетов, есть только маркировка классов трафика.Можно поподробней пожалуйста? Насколько я понял мне нужно не set precedence а priority, а для default можно выставить fair-queue? И оно будет работать как надо? Т.е. например PQ меня не устраивает тем, что возможен захват всей полосы трафиком с найбольшим приоритетом. В то же время я не хочу выделять какие-то стабильные полосы для класов. Если полоса свододна то пусть трафик с найнизшим класом хоть все берет. Что мне нужно, я так понял, єто LLQ, т.е.
policy-map InetOut
class Voice
priority 1000
class Controls
priority 500
class Tunnels
priority 100
class class-default
fair queueВерно?
>[оверквотинг удален]
> class Voice
> priority 1000
> class Controls
> priority 500
> class Tunnels
> priority 100
> class class-default
> fair queue
>
>Верно?Не совсем
int fa0/1 - внешний интерфейс
service-policy output SHAPE_OUT
policy-map SHAPE_OUT
class class-default
shape average 400000 - скорость на интерфейсе
service-policy InetOut
Можно еще вот такpolicy-map InetOut
class Voice
priority percent 30
class Controls
priority percent 20
.....
class class-default
fair-queue
random-detect
>[оверквотинг удален]
>
>policy-map InetOut
> class Voice
> priority percent 30
> class Controls
> priority percent 20
>.....
> class class-default
> fair-queue
> random-detectСделал вот так
policy-map InetOut
class Voice
priority percent 40
class Controls
priority percent 10
class Tunnels
priority percent 25
class class-default
fair-queue
random-detect
policy-map ShapeOut
class class-default
shape average 5100000
service-policy InetOut
interface FastEthernet0
...
service-policy output ShapeOut
Вот только вопрос есть, есть ли еще какая-то разница в использовании в данном примере service-policy output для внешнего интерфейса, или input для внутреннего? Кроме того что на внешнем уже отброшены все локальные и левые пакеты из локальной сети, и соответствено я так понимаю роутер меньше грузится.
>
>Вот только вопрос есть, есть ли еще какая-то разница в использовании в
>данном примере service-policy output для внешнего интерфейса, или input для внутреннего?
>Кроме того что на внешнем уже отброшены все локальные и левые
>пакеты из локальной сети, и соответствено я так понимаю роутер меньше
>грузится.На входном интерфейсе приретизацию не делают - пакет уже пришел, приоретизировать нечего.
Вопрос с приоретизацией похоже решило, огромное спасибо!!!Но вот задержки трафика все равно остались. Хочу сократить конфиг циско, поубирать максимум из него. Читал на сайте cisco.com что длину acl лучше не делать более 10 пунктов. Хотя проц как я говорил все равно не грузится.
Может есть у кого еще какие идеи? Проблема осталась.
Обновил IOS до Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 12.4(24)T2, RELEASE SOFTWARE (fc2). Посокращал все acl и class по максимому, что б трафик быстрее анализировался.
Результата пока нет. Хорошо хоть голос теперь закачками не забивается.
>Может есть у кого еще какие идеи? Проблема осталась.
>Обновил IOS до Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 12.4(24)T2,
>RELEASE SOFTWARE (fc2). Посокращал все acl и class по максимому, что
>б трафик быстрее анализировался.
>Результата пока нет. Хорошо хоть голос теперь закачками не забивается.Посмотрите ошибки на интерфейсах.
Все ошибки в логах єто:%CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and is not an initialization offer
и
CRYPTO_PKI: Can not select private key (TP-self-signed)Последнюю я исправил перегенерированием сертефиката. Вторая осталась, но исходя из частоты ее появления (несколько раз в день а то и вообще ни одной), я не связываю проблемы сними.
>Все ошибки в логах єто:
>
>%CRYPTO-4-IKMP_NO_SA: IKE message from x.x.x.x has no SA and is not an
>initialization offer
>и
>CRYPTO_PKI: Can not select private key (TP-self-signed)
>
>Последнюю я исправил перегенерированием сертефиката. Вторая осталась, но исходя из частоты ее
>появления (несколько раз в день а то и вообще ни одной),
>я не связываю проблемы сними.Не то.
sh int fa0
fa0 - внешний интерфейс
vl1 - локальный
fa2 - физический локальныйСнято через минуту после очередной задержки
#sh int fa0
FastEthernet0 is up, line protocol is up
Hardware is PQ3_TSEC, address is xxxx.xxxx.xxxx (bia xxxx.xxxx.xxxx)
Description: $ETH-LAN$$FW_OUTSIDE$
Internet address is A.A.A.A/26
MTU 1500 bytes, BW 5120 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 13/255, rxload 122/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/9/0 (size/max/drops/flushes); Total output drops: 2352
Queueing strategy: Class-based queueing
Output queue: 0/1000/0 (size/max total/drops)
5 minute input rate 2464000 bits/sec, 340 packets/sec
5 minute output rate 273000 bits/sec, 263 packets/sec
52977017 packets input, 1250973053 bytes
Received 525563 broadcasts, 0 runts, 0 giants, 133 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
40880417 packets output, 2852279079 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
29664 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out#sh int vl1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is xxxx.xxxx.xxxx (bia xxxx.xxxx.xxxx)
Description: $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$$FW_INSIDE$
Internet address is 10.20.100.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 6/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 1/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 274000 bits/sec, 266 packets/sec
5 minute output rate 2444000 bits/sec, 340 packets/sec
42013631 packets input, 3126366006 bytes, 0 no buffer
Received 177762 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
53046246 packets output, 1449569848 bytes, 0 underruns
0 output errors, 1 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
#sh int fa2
FastEthernet2 is up, line protocol is up
Hardware is FastEthernet, address is xxxx.xxxx.xxxx (bia xxxx.xxxx.xxxx)
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 6/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:01, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 282000 bits/sec, 267 packets/sec
5 minute output rate 2455000 bits/sec, 341 packets/sec
42197201 packets input, 3306723101 bytes, 0 no buffer
Received 178137 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
53052344 packets output, 1671968399 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
Вопрос, а после настройки и применения service-policy надо прегружать Cisco?
Вчера игрались с CPP и настойкой фаерфола, что бы забить всякие ресурсы вроде онлайн видео, но остановильсь пока только на автоматической настройке, блокировок никаких не включали. И после єтого резко стало хорошо. Всего пару задержек трафика когда действительно кто-то лез смотреть онлайн видео. Сегодня утром решил продолжить настройку фаервола и выясняю что оказывается циско пока я был на обеде перегрузилась и никакого там фаервола давно нету. Выходит ей помог ребут. Но я то до єтого ее перегружал пару раз, и ничего не помогало. У меня вариант только с применением правильной service-policy и перегрузкой.