CISCO 7206 VXR
Используеться как граничный маршрутизатор
320 PPTP сессий максимум , 250Мбит\с максимальное значение траффика , и BGP сессии с 2 пиррами.
Не нравиться значение загрузки CPU
7#sh proc cpu sort 1 | exc 0.00
CPU utilization for five seconds: 77%/72%; one minute: 75%; five minutes: 76%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
87 217920468 646287353 337 2.79% 2.77% 3.02% 0 IP Input
286 2625164 84553725 31 0.39% 0.41% 0.40% 0 OSPF-101 Hello
122 4177248 293753541 14 0.31% 0.28% 0.27% 0 L2X Data Daemon
142 1079876 812446364 1 0.23% 0.23% 0.23% 0 HQF Shaper Backg
268 1971732 103693725 19 0.23% 0.22% 0.23% 0 PPP Events
261 2522456 30387222 83 0.07% 0.09% 0.07% 0 PPTP Mgmt
112 2426040 5022086 483 0.15% 0.09% 0.08% 0 CEF: IPv4 proces
267 327844 102981063 3 0.07% 0.07% 0.07% 0 PPP manager
78 643744 2766818 232 0.07% 0.05% 0.06% 0 ACCT Periodic Pr
262 984296 16095491 61 0.07% 0.05% 0.05% 0 TCP Driver
264 887880 15676142 56 0.07% 0.04% 0.02% 0 IP NAT Ager
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process#sh ip traffic | i fra
1101554833 fragmented, 2203131180 fragments, 349966 couldn't fragment
Загрузка процца растет прямопропорцианально увеличению нагрузки на канал, т.е. утром 90Мбит загрузка 30% в обед все полезли в интернет 85%. Вроде данное железо должно и большую нагрузку ???
Подскажите?? ПЖ
>[оверквотинг удален]
> PID Runtime(ms) Invoked
> uSecs 5Sec 1Min 5Min
> TTY Process
> #sh ip traffic | i fra
> 1101554833 fragmented, 2203131180
> fragments, 349966 couldn't fragment
> Загрузка процца растет прямопропорцианально увеличению нагрузки на канал, т.е. утром 90Мбит
> загрузка 30% в обед все полезли в интернет 85%. Вроде данное
> железо должно и большую нагрузку ???
> Подскажите?? ПЖВот для общего развития
http://www.cisco.com/en/US/products/hw/routers/ps133/product...А вот вырезка по поводу фрагментации
Reassemblies can drive up the CPU very high if the CPU has to reassemble a large number of packets.For troubleshooting high CPU utilization due to fragmentation, issue the tcp mss-adjust 1400 command on the interface which sets the maximum segment size (MSS) value of TCP synchronize/start (SYN) packets going through a router.
>[оверквотинг удален]
>> железо должно и большую нагрузку ???
>> Подскажите?? ПЖ
> Вот для общего развития
> http://www.cisco.com/en/US/products/hw/routers/ps133/product...
> А вот вырезка по поводу фрагментации
> Reassemblies can drive up the CPU very high if the CPU has
> to reassemble a large number of packets.
> For troubleshooting high CPU utilization due to fragmentation, issue the tcp mss-adjust
> 1400 command on the interface which sets the maximum segment size
> (MSS) value of TCP synchronize/start (SYN) packets going through a router.вот что есть на show logging
4777: Apr 22 02:18:06.338: %IP_VFR-4-FRAG_TABLE_OVERFLOW: Virtual-Access82: the fragment table has reached its maximum threshold 16
2544778: Apr 22 02:21:00.444: %IP_VFR-4-FRAG_TABLE_OVERFLOW: Virtual-Access82: the fragment table has reached its maximum threshold 16
2544779: Apr 22 02:28:35.186: %IP_VFR-4-FRAG_TABLE_OVERFLOW: Virtual-Access82: the fragment table has reached its maximum threshold 16
2544780: Apr 22 02:29:05.716: %IP_VFR-4-FRAG_TABLE_OVERFLOW: Virtual-Access82: the fragment table has reached its maximum threshold
и так для ещё десяток сессийподнимаються они по шаблону
nterface Virtual-Template1
ip unnumbered GigabitEthernet0/2.801
ip access-group acl-user-in in
ip access-group acl-user-out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
no logging event link-status
autodetect encapsulation ppp
ppp authentication chap callin
я так понимаю что ip tcp adjust-mss <500-1460> именно сюда и надо ?!
> я так понимаю что ip tcp adjust-mss <500-1460> именно сюда и надоДа.
Но думаю это вас не особо спасет.
>CPU utilization for five seconds: 77%/72%; one minute: 75%; five minutes: 76%72% - по IRQ
> Да.
> Но думаю это вас не особо спасет.Это предел железки
>> я так понимаю что ip tcp adjust-mss <500-1460> именно сюда и надо
> Да.
> Но думаю это вас не особо спасет.
>>CPU utilization for five seconds: 77%/72%; one minute: 75%; five minutes: 76%
> 72% - по IRQА что значит по IRQ :?
Вообще не факт, что предел железки, возможно паразитный трафик грузит control-plane.
Посмотрите много-ли пакетов уходит в process switching из CEF.
Поставьте аклы на vty, настройте control-plane policing.
> Вообще не факт, что предел железки, возможно паразитный трафик грузит control-plane.
> Посмотрите много-ли пакетов уходит в process switching из CEF.А как посмореть ? касательно control-plane и cef ?
> Поставьте аклы на vty, настройте control-plane policing.
line aux 0
access-class mgmt-acl in
stopbits 1
line vty 0 4
access-class mgmt-acl in
exec-timeout 300 0
transport input ssh
transport output all
line vty 5 15
access-class mgmt-acl in
exec-timeout 300 0
transport input ssh
transport output all
>[оверквотинг удален]
> line vty 0 4
> access-class mgmt-acl in
> exec-timeout 300 0
> transport input ssh
> transport output all
> line vty 5 15
> access-class mgmt-acl in
> exec-timeout 300 0
> transport input ssh
> transport output allА вы не написали какой у вас RP стоит, G1, G2, а то может и правда предел.
Вообще посмотрите PPS еще на интерфейсе.
Была проблема с данной железкой. Проц грузился на 90% при загрузке даже 20мбит. Проблема была в иосе (весь трафик обрабатывался софтово). После обновления иоса проблема сразу исчезла.
И напишите вывод команд
sh ip cef switching statistics
sh ip cef switching statistics feature
> И напишите вывод команд
> sh ip cef switching statistics
> sh ip cef switching statistics featureCisco 7206VXR (NPE-G2
sh ip cef switching statisticsPath Reason Drop Punt Punt2Host
RP LES Packet destined for us 0 133539930 0
RP LES Fragmentation failed 353108 0 0
RP LES Features 2522 60 0
RP LES Unclassified reason 0 6 0
RP LES Total 355630 133539996 0RP PAS No route 3385986 0 0
RP PAS Packet destined for us 1592287727 137620511 7422324
RP PAS No adjacency 57919 0 323
RP PAS Incomplete adjacency 2490 0 0
RP PAS Bad checksum 2196 0 0
RP PAS TTL expired 0 0 5659856
RP PAS IP options set 0 0 952
RP PAS Bad IP packet length 1 0 0
RP PAS Routed to Null0 17482981 0 0
RP PAS Features 2036652108 60 12175310
RP PAS Unclassified reason 1486781 6 0
RP PAS Neighbor resolution req 238482 8 0
RP PAS Total 3651596671 137620585 25258765All Total 3651952301 271160581 25258765
sh ip cef switching statistics feature
IPv4 CEF input features:
Path Feature Drop Consume Punt Punt2Host Gave route
RP LES CAR 2522 0 0 0 0
RP LES Policy Routing 0 0 60 0 0
RP PAS Virtual Fragment 1359677620 0 0 25976 0
RP PAS Access List 38171078 0 0 0 0
RP PAS IPSec input clas 55 0 0 601077 0
RP PAS CAR 18918007 0 0 0 0
RP PAS AF Policing 4135 0 0 0 0
RP PAS NAT Outside 0 0 0 8554581 0
RP PAS Policy Routing 0 0 60 0 4960080
Total 1416773417 0 120 9181634 4960080IPv4 CEF output features:
Path Feature Drop Consume Punt Punt2Host New i/f
RP PAS Post-routing NAT 0 0 0 2874587 0
RP PAS IPSec output cla 36 0 0 117917 0
RP PAS IPsec or interfa 779822 0 0 0 0
RP PAS CAR 614967114 0 0 0 0
RP PAS AF Policing 40644 0 0 0 0
Total 615787616 0 0 2992504 0IPv4 CEF post-encap features:
Path Feature Drop Consume Punt Punt2Host New i/f
Total 0 0 0 0 0IPv4 CEF for us features:
Path Feature Drop Consume Punt Punt2Host New i/f
RP PAS NAT 0 0 0 1236 0
Total 0 0 0 1236 0IPv4 CEF punt features:
Path Feature Drop Consume Punt Punt2Host New i/f
RP PAS Control Plane Pr 4100861 0 0 0 0
Total 4100861 0 0 0 0IPv4 CEF local features:
Path Feature Drop Consume Punt Punt2Host Gave route
Total 0 0 0 0 0
и версию ios
> и версию iosVersion 12.4(12.2r)T, RELEASE SOFTWARE (fc1)
BOOTLDR: Cisco IOS Software, 7200 Software (C7200P-BOOT-M), Version 12.4(15)T13, RELEASE SOFTWARE (fc3)
очень вероятно что ето и есть потолок (acl, pbr, Фрагментация, rate-limit, NAT у вас все ето используется и грузит железку)можно попробовать избавится от фрагментации и оптимизировать ACL
> очень вероятно что ето и есть потолок (acl, pbr, Фрагментация, rate-limit, NAT
> у вас все ето используется и грузит железку)
> можно попробовать избавится от фрагментацииinterface Virtual-Template1
ip unnumbered GigabitEthernet0/2.801
ip access-group acl-user-in in
ip access-group acl-user-out out
no ip redirects
no ip unreachables
no ip proxy-arp
> есть ip mtu 1492 поставить 1400ip flow ingress
ip flow egress
ip nat inside
> сейчас так ip virtual-reassembly думал дать no ip virtual-reassemblyno logging event link-status
autodetect encapsulation ppp
ppp authentication chap callinещё были варианты снизить MTU так как возможно это и влияет фрагментация
> и оптимизировать ACL
да их там лес...
> ещё были варианты снизить MTU так как возможно это и влияет фрагментацияЗачем вам ваще резать MTU? Чтоб небыло фрагментации надо оставлять занчение по умолчанию или использовать adjust-mss.
>> ещё были варианты снизить MTU так как возможно это и влияет фрагментация
> Зачем вам ваще резать MTU? Чтоб небыло фрагментации надо оставлять занчение по
> умолчанию или использовать adjust-mss.interface Virtual-Template1
ip unnumbered GigabitEthernet0/2.801
ip access-group acl-user-in in
ip access-group acl-user-out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1400
no logging event link-status
autodetect encapsulation ppp
ppp authentication chap callin
end
Все равно вылезло в sh logging
%IP_VFR-4-FRAG_TABLE_OVERFLOW: Virtual-Access162: the fragment table has reached its maximum threshold 16
>[оверквотинг удален]
> ip nat inside
> ip virtual-reassembly
> ip tcp adjust-mss 1400
> no logging event link-status
> autodetect encapsulation ppp
> ppp authentication chap callin
> end
> Все равно вылезло в sh logging
> %IP_VFR-4-FRAG_TABLE_OVERFLOW: Virtual-Access162: the fragment table has reached its
> maximum threshold 16no ip virtual-reassembly
>[оверквотинг удален]
>> ip virtual-reassembly
>> ip tcp adjust-mss 1400
>> no logging event link-status
>> autodetect encapsulation ppp
>> ppp authentication chap callin
>> end
>> Все равно вылезло в sh logging
>> %IP_VFR-4-FRAG_TABLE_OVERFLOW: Virtual-Access162: the fragment table has reached its
>> maximum threshold 16
> no ip virtual-reassemblyno ip virtual-reassembly
сделал!! на sh logging пока чисто. но загрузка sh proc cpu на это не отреагировала.
ip virtual-reassembly ето не фрагментация ето сборка пакета натом ее лучше оставить увеличев значение.сделайте
no ip mtu
no ip tcp adjust-mss
ACL всеравно оптимизировать придется!
> ip virtual-reassembly ето не фрагментация ето сборка пакета натом ее лучше оставить
> увеличев значение.
> сделайте
> no ip mtu
> no ip tcp adjust-mssМожет я чет не понял но больше у меня
%IP_VFR-4-FRAG_TABLE_OVERFLOW: Virtual-Access162: the fragment table has reached its maximum threshold 16
не вылазит.Как я понял ip tcp adjust-mss должно быть меньше чем mtu на заголовок
> Как я понял ip tcp adjust-mss должно быть меньше чем mtu
> на заголовок1500 байт - стандартный размер MTU (Для Ethernet фрейма размером 1518 байт - 1500 + 14 MAC заголовок + 4 FCS)
- 20 байт - IP заголовок
- 24 байт - заголовок туннеля GRE
- 8 байт - заголовок PPPoE
- 20 байт - заголовок TCP
- 52 байта - заголовок IPSec туннельном режиме
или
- 32 байта - заголовок IPSec в транспортном режимеВыполним подсчёт MTU и MSS для удаленного офиса, подключенного к интернет по протоколу PPPoE в случае использования DMVPN:
(Макс. MTU) - [ (GRE Encaps) + (IPSec Transport) + (PPPoE) ] = ( MTU )
(1500) - [ ( 24 ) + ( 32 ) + ( 8 ) ] = ( 1436 )(Макс. MTU) - [ (GRE Encaps) + (IPSec Transport) + (PPPoE) + ( TCP ) + ( IP ) ] = ( MSS )
(1500) - [ ( 24 ) + ( 32 ) + ( 8 ) + ( 20 ) + ( 20 ) ] = ( 1396 )MSS (Maximum segment size) является параметром протокола TCP и определяет максимальный размер блока данных в байтах для TCP пакета (сегмента). Таким образом этот параметр не учитывает длину заголовков TCP и IP.[1] Для установления корректной TCP сессии с удалённым хостом должно соблюдаться следующее условие:
MSS + заголовок TCP + загловок IP ≤ MTU
Таким образом, максимальный размер MSS = MTU — размер заголовка IPv4 — размер заголовка TCP
>[оверквотинг удален]
> (1500) - [ ( 24 ) + ( 32 ) + (
> 8 ) + ( 20 ) + ( 20 ) ]
> = ( 1396 )
> MSS (Maximum segment size) является параметром протокола TCP и определяет максимальный
> размер блока данных в байтах для TCP пакета (сегмента). Таким образом
> этот параметр не учитывает длину заголовков TCP и IP.[1] Для установления
> корректной TCP сессии с удалённым хостом должно соблюдаться следующее условие:
> MSS + заголовок TCP + загловок IP ≤ MTU
> Таким образом, максимальный размер MSS = MTU — размер заголовка IPv4 —
> размер заголовка TCPА если у меня через pptp по ethernetу ?
>[оверквотинг удален]
>> 8 ) + ( 20 ) + ( 20 ) ]
>> = ( 1396 )
>> MSS (Maximum segment size) является параметром протокола TCP и определяет максимальный
>> размер блока данных в байтах для TCP пакета (сегмента). Таким образом
>> этот параметр не учитывает длину заголовков TCP и IP.[1] Для установления
>> корректной TCP сессии с удалённым хостом должно соблюдаться следующее условие:
>> MSS + заголовок TCP + загловок IP ≤ MTU
>> Таким образом, максимальный размер MSS = MTU — размер заголовка IPv4 —
>> размер заголовка TCP
> А если у меня через pptp по ethernetу ?ещё прикол пришлось убрать ip tcp adjust-mss потому что почему то
перестали у пользователей которые работают через nat открываться имеено .by сайты при этом пинг и телнет на 80 порт успешен ... просто чудеса
Если вы не знаете зачем вам нужен мту и мсс то лучше использовать значения по умолчанию т.е. убрать ети команды с интерфейса.