The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"cisco 2911 загрузка процессора"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]

"cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 10-Янв-18, 14:20 
Хочется понять, какова предельная нагрузка на маршрутизатор 2911.
В моем случае не считаю, что сетевая нагрузка какая-то дикая, но тем не менее, CPU периодически вешается.
Подробнее.
Сеть построена примерно так:
CISCO 2911 – nat, acl, маршрутизация между vlan, ipsec/gre туннели.
CISCO 2960X – центральный коммутатор, в который втыкаются коммутаторы уровня доступа.
Конечно, в идеале, я бы маршрутизацию между vlan настроил на центральном коммутаторе, не загружая этим маршрутизатор, ответственный за выход в интернет.
Но 2960X хоть и умеет работать на уровне L3, но в редакции ip-lite, у меня же lan-base:
#show license
Index 1 Feature: lanlite
        Period left: 0  minute  0  second
Index 2 Feature: lanbase
        Period left: Life time
        License Type: Permanent
        License State: Active, In Use
        License Priority: Medium
        License Count: Non-Counted
Да и даже в ip-lite количество маршрутизируемых vlan, насколько я помню, не более 16. Но это не точно, надо смотреть.
Количество имеющихся сейчас vlan – порядка 20. В перспективе будет больше.
В целом, 2960X загружена не сильно.
А вот 2911 периодически проседает. Нагрузка на процессор в такие моменты становится примерно такой:
#sho proc cpu sort
CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
173   487432236   311190728       1566  1.27%  1.38%  1.47%   0 IP Input
298      403124        7244      55649  0.79%  0.06%  0.01%   0 NIST rng proc
195     8230908  1051460881          7  0.31%  0.31%  0.31%   0 Ethernet Msec Ti
413    19792556   103308426        191  0.31%  0.23%  0.23%   0 IP RACL Ager
   2     1625124     1738063        935  0.15%  0.08%  0.08%   0 Load Meter
248    12952456    47841351        270  0.15%  0.11%  0.10%   0 ADJ resolve proc

Видно, что основная нагрузка на процессор – это прерывания.
Что подтверждается, если отключить nat – нагрузка сразу падает примерно до 50%/45%.
При этом у меня большинство узлов в сети ограничено количеством 300 nat-трансляций.
Среднее значение на маршрутизаторе – от 4000 до 8000 трансляций.
ACL активно не используется. Только на входящем из интернета интерфейсе висит более-менее большой список. Но и то, пара десятков строк примерно. В планах – переход на ZBF.
В итоге, страдает взаимодействие между подсетями. При обращении от узлов в одном офисе к серверам в центральном – тупит. Пинги ходят бешеные даже до адреса маршрутизатора в своем же vlan.
Я не знаю, может надо тюнинговать дальше маршрутизатор, все же у нас не такие большие значения по сетевой загрузке.
Также настроено два ipsec/gre туннеля.
В планах – соединить туннелями все наши региональные отделения.
Это порядка 15-20 туннелей.
Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование процессор задействует.
Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между подсетями, отдельно под туннели.
Но это все весьма накладно.
Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или нет?
Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "cisco 2911 загрузка процессора"  +/
Сообщение от ogiss on 11-Янв-18, 09:34 
Portable Product Sheets – Routing Performance
             PPS     Mbps
ISR G2 2901 327,000 167.42
ISR G2 2911 353,000 180.73
ISR G2 2921 480,000 245.76
ISR G2 2951 580,000 296.96


Numbers are given with 64 byte packet size, IP only, and are only an indication of raw switching performance.
These are testing numbers, usually with FE to FE, GigE to GigE or POS to POS, no services enabled. As you add ACL's,
encryption, compression, etc - performance will decline significantly from the given numbers, unless it is a hardware-assisted
platform, such as the ASR 1000, 7600 or 12000, which process QoS, ACL's, and other features in hardware (or when a hardware
assist is installed, for instance an AIM-VPN in a 3745 will offload the encryption from the CPU).
Every situation is different - please simulate the true environment to get applicable performance
values.
Knowing the performance for a specific router platform is not a good indication of how well a specific feature will
perform. If a feature is supported in the CEF path, for instance, and we know the feature-free CEF throughput in a
specific configuration, then we only know the platform's "never-to-exceed" performance but we do not know the
actual performance of any given feature, which will always be less.
All numbers are for IP packets only - no IPX/AT/DEC, etc. - Mbps calculated by pps * 64bytes * 8bits/byte; except
for 12000 (Engines 0, 1, 2, 3 & 5) where these numbers represent the maximum mbps forwarding rates when packets are
greater than 64 bytes. Please see inserted comments in this field.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "cisco 2911 загрузка процессора"  +/
Сообщение от fantom (??) on 11-Янв-18, 10:22 
>[оверквотинг удален]
> В планах – соединить туннелями все наши региональные отделения.
> Это порядка 15-20 туннелей.
> Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование
> процессор задействует.
> Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между
> подсетями, отдельно под туннели.
> Но это все весьма накладно.
> Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или
> нет?
> Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

Производительность маршрутизатора меряется в пакетах,
От количества сетей де-факто не зависит, зависит от правил обработки трафика.
Например, допустим маршрутизатор способен обрабатывать 200 000 пакетов/секунда.
Хотите НАТ? - это двойная нагрузка, более 100 000 вы не увидите.
Хотите PBR? - делим еще на 2.
Хотите ZBF? - делим еще на 2.
Хотите "плюшкофишки"? - смело вычитаете 15-30%...
Хотите IPSec? - он в зависимости от характера трафика может дать прирост от 2 до 10 раз.... хотя тут можно криптомодули + лицензия соответствующая.

Кстати, у вас лицензия на IPSec установлена? а криптомодуль? а скорости по ipsec какие?

В ipsec важно не столько количество тунелей, сколько количество трафика по ним "бегающего" и используемые алгоритмы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 11-Янв-18, 10:34 
>[оверквотинг удален]
> Хотите PBR? - делим еще на 2.
> Хотите ZBF? - делим еще на 2.
> Хотите "плюшкофишки"? - смело вычитаете 15-30%...
> Хотите IPSec? - он в зависимости от характера трафика может дать прирост
> от 2 до 10 раз.... хотя тут можно криптомодули + лицензия
> соответствующая.
> Кстати, у вас лицензия на IPSec установлена? а криптомодуль? а скорости по
> ipsec какие?
> В ipsec важно не столько количество тунелей, сколько количество трафика по ним
> "бегающего" и используемые алгоритмы.

Лицензия на IPSec установлена. Что значит "криптомодуль"?
Скорости - два канала, по 10 Мбит максимум (скорость доступа в интернет в этих офисах 10 Мбит, скорость в канале не ограничена).
Алгоритм используется esp-aes esp-sha-hmac с private-key.
Бегают - dns, smb, rdp, различный служебный трафик.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "cisco 2911 загрузка процессора"  +/
Сообщение от fantom (??) on 11-Янв-18, 12:56 
>[оверквотинг удален]
>> соответствующая.
>> Кстати, у вас лицензия на IPSec установлена? а криптомодуль? а скорости по
>> ipsec какие?
>> В ipsec важно не столько количество тунелей, сколько количество трафика по ним
>> "бегающего" и используемые алгоритмы.
> Лицензия на IPSec установлена. Что значит "криптомодуль"?
> Скорости - два канала, по 10 Мбит максимум (скорость доступа в интернет
> в этих офисах 10 Мбит, скорость в канале не ограничена).
> Алгоритм используется esp-aes esp-sha-hmac с private-key.
> Бегают - dns, smb, rdp, различный служебный трафик.

Cisco в очередной раз перекроила свой сайт...

Вот например для VPN и IPSec:
ISM-VPN-29 -> VPN Internal Service Module for support on 2901,2911,2921 and 2951 platforms

The Cisco 2900 Series Module (ISM-VPN-29) can provide hardware-based IPSec encryption services of 145 and 550 Mbps in the Cisco 2901, 150 and 600 Mbps in the Cisco 2911, 220 and 700 Mbps in the Cisco 2921, and 385 and 900 Mbps in the Cisco 2951 (IPSec IMIX and 1400-byte packets).

Собственно попробуйте погасить IPSec на какое-то время и получите представление сколько IPSec дает нагрузки в вашей конфигурации.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "cisco 2911 загрузка процессора"  +/
Сообщение от fantom (??) on 11-Янв-18, 13:03 
>[оверквотинг удален]
>> соответствующая.
>> Кстати, у вас лицензия на IPSec установлена? а криптомодуль? а скорости по
>> ipsec какие?
>> В ipsec важно не столько количество тунелей, сколько количество трафика по ним
>> "бегающего" и используемые алгоритмы.
> Лицензия на IPSec установлена. Что значит "криптомодуль"?
> Скорости - два канала, по 10 Мбит максимум (скорость доступа в интернет
> в этих офисах 10 Мбит, скорость в канале не ограничена).
> Алгоритм используется esp-aes esp-sha-hmac с private-key.
> Бегают - dns, smb, rdp, различный служебный трафик.

Ага, в этой линейке шифрование в хардваре сразу есть.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "cisco 2911 загрузка процессора"  +/
Сообщение от eek (ok) on 11-Янв-18, 17:55 
Вот эту бумажку посмотрите насчет того, что сама Cisco думает по поводу своих железок:

https://supportforums.cisco.com/legacyfs/online/legacy/7/1/5...

Там в конце есть красивая табличка с примерной скоростью подключения.

По моей практике эта бумажка соответсвует действительности.

Для случаев когда много inspect, crypto, nat и кто-нибудь от большого ума еще включил nbar (match protocol) - бумажка даже слишком оптимистична.

2911 если включить все что нужно, кое-как тянет 30 мегабит. Причем 30 мегабит - это не 30 туда и обратно, это 30 мегабит в одном направлении.


Что касается утверждения о том, что производительность меряется в пакетах. Это утверждение совершенно верное, только для тех случаев когда маршрутизатор ничего кроме маршрутизации не делает. И к вашему случаю когда "все в одном" никакого отношения не имеет.

Если нужны варианты решения проблемы - пишите в личку.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 12-Янв-18, 10:03 
>[оверквотинг удален]
> Для случаев когда много inspect, crypto, nat и кто-нибудь от большого ума
> еще включил nbar (match protocol) - бумажка даже слишком оптимистична.
> 2911 если включить все что нужно, кое-как тянет 30 мегабит. Причем 30
> мегабит - это не 30 туда и обратно, это 30 мегабит
> в одном направлении.
> Что касается утверждения о том, что производительность меряется в пакетах. Это утверждение
> совершенно верное, только для тех случаев когда маршрутизатор ничего кроме маршрутизации
> не делает. И к вашему случаю когда "все в одном" никакого
> отношения не имеет.
> Если нужны варианты решения проблемы - пишите в личку.

Хорошая, красивая бумажка, изучу, спасибо.
Вот мне тоже кажется, что очень неплохо было бы маршрутизацию между vlan вынести на одну железку, фаерволл и нат - на другую, туннели - на третью.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "cisco 2911 загрузка процессора"  +/
Сообщение от eek (ok) on 12-Янв-18, 11:01 
> Хорошая, красивая бумажка, изучу, спасибо.
> Вот мне тоже кажется, что очень неплохо было бы маршрутизацию между vlan
> вынести на одну железку, фаерволл и нат - на другую, туннели
> - на третью.

Очень неплохо сначала делать проект, а потом под него закупать железо.

Все что вы написали это возможный вариант развития событий, коих может быть множество.

Исполнимые варианты развития событий определяются вашими реальными условиями.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

7. "cisco 2911 загрузка процессора"  +/
Сообщение от Serb on 11-Янв-18, 21:10 
>[оверквотинг удален]
> В планах – соединить туннелями все наши региональные отделения.
> Это порядка 15-20 туннелей.
> Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование
> процессор задействует.
> Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между
> подсетями, отдельно под туннели.
> Но это все весьма накладно.
> Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или
> нет?
> Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

убрать логирование на ACL если есть  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 12-Янв-18, 10:04 
>[оверквотинг удален]
>> Это порядка 15-20 туннелей.
>> Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование
>> процессор задействует.
>> Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между
>> подсетями, отдельно под туннели.
>> Но это все весьма накладно.
>> Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или
>> нет?
>> Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?
> убрать логирование на ACL если есть

Логирование выключено.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "cisco 2911 загрузка процессора"  +/
Сообщение от ShyLion (??) on 12-Янв-18, 10:39 
> #sho proc cpu sort
> CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90%

Еще бы показать при этом


show int | inc thernet.* is .*, line | rate

Для роутинга между виланами всяко надо L3 свитч. Для ваших скоростей за глаза хватит б/у 3750 нужной комплектации интерфейсов. Нормальные продавцы могут за % от цены дать гарантию.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 12-Янв-18, 11:41 
>> #sho proc cpu sort
>> CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90%
> Еще бы показать при этом
>
 
> show int | inc thernet.* is .*, line | rate
>

> Для роутинга между виланами всяко надо L3 свитч. Для ваших скоростей за
> глаза хватит б/у 3750 нужной комплектации интерфейсов. Нормальные продавцы могут за
> % от цены дать гарантию.

При
sho proc cpu sort
CPU utilization for five seconds: 92%/89%; one minute: 92%; five minutes: 90%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
173   492650984   316593683       1556  1.11%  1.50%  1.60%   0 IP Input
195     8455232  1072506519          7  0.39%  0.35%  0.34%   0 Ethernet Msec Ti
   6    24279312     1847810      13139  0.31%  0.10%  0.11%   0 Check heaps
413    20278208   105423638        192  0.23%  0.25%  0.24%   0 IP RACL Ager

Вывод
show int | inc thernet.* is .*, line | rate
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
GigabitEthernet0/0 is up, line protocol is up
  5 minute input rate 70128000 bits/sec, 13135 packets/sec
  5 minute output rate 90315000 bits/sec, 13136 packets/sec
GigabitEthernet0/0.1 is up, line protocol is up
GigabitEthernet0/0.4 is up, line protocol is up
GigabitEthernet0/0.5 is up, line protocol is up
GigabitEthernet0/0.6 is up, line protocol is up
GigabitEthernet0/0.8 is up, line protocol is up
GigabitEthernet0/0.99 is up, line protocol is up
GigabitEthernet0/0.101 is up, line protocol is up
GigabitEthernet0/0.102 is up, line protocol is up
GigabitEthernet0/0.103 is up, line protocol is up
GigabitEthernet0/0.104 is up, line protocol is up
GigabitEthernet0/0.105 is up, line protocol is up
GigabitEthernet0/0.107 is up, line protocol is up
GigabitEthernet0/0.110 is up, line protocol is up
GigabitEthernet0/0.112 is up, line protocol is up
GigabitEthernet0/0.114 is up, line protocol is up
GigabitEthernet0/0.115 is up, line protocol is up
GigabitEthernet0/0.116 is up, line protocol is up
GigabitEthernet0/0.117 is up, line protocol is up
GigabitEthernet0/0.160 is up, line protocol is up
GigabitEthernet0/0.199 is up, line protocol is up
GigabitEthernet0/1 is up, line protocol is up
  5 minute input rate 34311000 bits/sec, 4523 packets/sec
  5 minute output rate 13955000 bits/sec, 4457 packets/sec
GigabitEthernet0/2 is administratively down, line protocol is down
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  5 minute input rate 39000 bits/sec, 24 packets/sec
  5 minute output rate 100000 bits/sec, 23 packets/sec
  5 minute input rate 546000 bits/sec, 346 packets/sec
  5 minute output rate 4614000 bits/sec, 509 packets/sec

GigabitEthernet0/0 - физический интерфейс, смотрит в локальную сеть.
На нем куча виртуальных интерфейсов.
GigabitEthernet0/1 - физический интерфейс, смотрит в интернет.

Мне тоже идея установки полноценного L3 свича кажется не лишенной смысла.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "cisco 2911 загрузка процессора"  +/
Сообщение от ShyLion (ok) on 23-Янв-18, 11:14 
Ну собсно и уперлись в лимит платформы.


2911 с натом, и прочими свистелками позиционируется на 81 мегабит суммарного траффика, а у вас значительно выше. Роутить им между виланами дело безперспективное изначально. Такие роутеры ставят на границе энтерпрайза, чтобы в инет выпускать по корпоративным тарифам и DMVPN организовывать, вот тут им нет равных.
3750 зарутит вам на скорости портов спокойно. Правда если нужно фаерволить между виланами, то придется ограничится примитивными аксес-листами, иначе нужно смотреть другие железяки.

Я лично кроме ISR1 и ISR2 серий эксплуатирую серию ASR1000, вот они десятки гигабит легко жуют и легко заменят ISR серии (единственно не умеют быть PPTP сервером, протокол усиленно убивают)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 23-Янв-18, 12:36 
>[оверквотинг удален]
> 2911 с натом, и прочими свистелками позиционируется на 81 мегабит суммарного траффика,
> а у вас значительно выше. Роутить им между виланами дело безперспективное
> изначально. Такие роутеры ставят на границе энтерпрайза, чтобы в инет выпускать
> по корпоративным тарифам и DMVPN организовывать, вот тут им нет равных.
> 3750 зарутит вам на скорости портов спокойно. Правда если нужно фаерволить между
> виланами, то придется ограничится примитивными аксес-листами, иначе нужно смотреть другие
> железяки.
> Я лично кроме ISR1 и ISR2 серий эксплуатирую серию ASR1000, вот они
> десятки гигабит легко жуют и легко заменят ISR серии (единственно не
> умеют быть PPTP сервером, протокол усиленно убивают)

Обычных аксес-листов между виланами должно хватить.
Посмотрел на серию ASR1000 - интересная. Надо будет подробно почитать. Так то поменять маршрутизатор сейчас не дадут, но все равно интересно.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "cisco 2911 загрузка процессора"  +/
Сообщение от ShyLion (ok) on 23-Янв-18, 16:29 
> Посмотрел на серию ASR1000 - интересная. Надо будет подробно почитать. Так то
> поменять маршрутизатор сейчас не дадут, но все равно интересно.

https://www.cisco.com/c/en/us/products/routers/cloud-service...
Ставится как виртуальный аплаинс на популярные гипервизоры, можно на месяц или сколько там получить нормальную лицензию для ознакомления бесплатно, по окончании можно продолжать ковырять, только производительность до черепашьей упадет, но изучать и тренироваться можно. Внутре тот-же самый IOS XE что на железном роутере.

ЗЫ: не исключено что даже есть лекарство от жадности, всетаки софт он и в африке софт, но сам не искал.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 23-Янв-18, 16:41 
>> Посмотрел на серию ASR1000 - интересная. Надо будет подробно почитать. Так то
>> поменять маршрутизатор сейчас не дадут, но все равно интересно.
> https://www.cisco.com/c/en/us/products/routers/cloud-service...
> Ставится как виртуальный аплаинс на популярные гипервизоры, можно на месяц или сколько
> там получить нормальную лицензию для ознакомления бесплатно, по окончании можно продолжать
> ковырять, только производительность до черепашьей упадет, но изучать и тренироваться можно.
> Внутре тот-же самый IOS XE что на железном роутере.
> ЗЫ: не исключено что даже есть лекарство от жадности, всетаки софт он
> и в африке софт, но сам не искал.

Интересно, спасибо.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 15-Фев-18, 15:22 
Что я хочу сказать.
Во-первых я наврал (не специально) про лицензию 2960X. По факту была нужная лицензия, позволяющая работать на L3 уровне. Именно lan-base.
Перенастроил сеть, маршрутизацией vlan начал занимается 2690x.
Загрузка 2960x поднялась со средней в 30% до средних 50%. При этом около 15% стабильно занимает процесс Hulc LED Process. Почитал про него, говорят - баг. По советам пробовал гасить все неиспользуемые порты - не помогло. Ладно, с этим потом разберусь.
Нагрузка на 2911 стала меньше. Сколько - сказать точно не могу, в данной конфигурации сеть была настроена в конце января.
Вроде бы все стало хорошо, но..
Через некоторое время - примерно неделю как, в рабочие часы, стал нестабильно работать интернет. Если смотреть пинги до того же яндекса, частенько пропадают пакеты, время отклика тоже 50-110 мс. В принципе, 50-110 - не то, чтобы очень плохо. Но хотелось бы до 50 )
До этого было в пределах 15-30 мс.
Начал разбираться дальше.
Понял, что недонастроил связку 2911 и 2960х. На 2911 остались сабинтерфесы, смотрящие в транк на 2960х. В связи с этим часть локального трафика ходила все равно через 2911.
Убрал все это.
По итогам нагрузка на 2960 стала в среднем 60% в рабочие часы.
Нагрузка на 2911 стабильно составляет примерно 50%, выше обычно не поднимается.
Но на доступ в интернет и на потери пингов это никак не повлияло ))
Если смотреть нагрузку на интерфейсы, в среднем:
g 0/0 (внутренний) входящий порядка 10 мбит, исходящий порядка 20-30 мбит.
g 0/1 (внешний) входящий порядка 20-30 мбит, исходящий порядка 10 мбит.
Все совпадает ))
Вроде бы немного.
Клиенты в локальной сети ограничены 300 nat-трансляциями. Кроме серверов.
Количество nat-трансляций на 2911
#sho ip nat sta
Total active translations: 12699 (214 static, 12485 dynamic; 12699 extended)
Peak translations: 13813, occurred 00:13:20 ago
Довольно много.
Если их почистить, то временно становится лучше.
Но уже при количестве трансляций около 4000 проблемы начинаются снова, пакеты теряются.

Если запустить ping с 2911 - пакеты не пропадают.
ping 8.8.8.8 repeat 100
Success rate is 100 percent (1000/1000), round-trip min/avg/max = 12/16/64 ms
Если запустить ping с 2960 - пакеты пропадают.
ping 8.8.8.8 repeat 100
Success rate is 88 percent (880/1000), round-trip min/avg/max = 21/69/147 ms
Т.е проблемы не с маршрутизатором.
Проверяем пинг с 2960 на 2911.
ping 192.168.9.2 repeat 100
Success rate is 84 percent (84/100), round-trip min/avg/max = 35/61/94 ms
Смотрим загрузку интерфейсов, которыми соединены устройства.
2911
sho int g 0/0 history 60min

SPB-LIG-GW1   03:19:11 PM Thursday Feb 15 2018 RTZ


                11111111111111111111111111111111111111
      999999999900000000011100000110000000000000000000999988888888
   10           ##*###################################
    9 ###################################################*
    8 ######################################################*#####
    7 ############################################################
    6 ############################################################
    5 ############################################################
    4 ############################################################
    3 ############################################################
    2 ############################################################
    1 ############################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
      GigabitEthernet0/0 input rate(mbits/sec)  (last 60 minutes)
              * = maximum   # = average

SPB-LIG-GW1   03:19:11 PM Thursday Feb 15 2018 RTZ


      222222222222222211111111111111111111111111112222222222222222
      113322211100000099887889999777778877778898890000223445555333
   20 ###############*                            *###############
   19 ################*#     ****             *  #################
   18 #################### *#####     #*    *#####################
   17 ############################*###############################
   16 ############################################################
   15 ############################################################
   14 ############################################################
   13 ############################################################
   12 ############################################################
   11 ############################################################
   10 ############################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
      GigabitEthernet0/0 output rate(mbits/sec)  (last 60 minutes)
              * = maximum   # = average


2960
sho interfaces g 1/0/24 history 60min
      222222222222222111111111111111111111111111112222222222222222
      124322221100000999988889999778788777778988990001223445554332
      921669204237856932033364021291604243678294164450344584527939
      881764821022263687942280806305805917612045220256834276505633
      621950976912465880743342367080975160329828374289151017472915
25620                                                      *#*
24760                                                    *####*
23900   **                                               #######
23040   ##*#                                            ########
22180 **#####*                                        ##########
21320 #########*                                     *##########
20460 ###############                             *#############
19600 ################**     * *             *   ###############
18740 ###################***####*     *     *###################
17880 ########################### *#*##   ######################
17020 ##########################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
      GigabitEthernet1/0/24 input rate(kbits/sec)  (last 60 minutes)
              * = maximum   # = average

       1       111111111111111111111111111111111111111
      909999999000000000011100000110100000000000000000999988888889
      908665579133022566922087449119077899999469965331964050135681
      303772834755826156422219707888591829185654969329470659875574
      508883462379717937000478453777768997437683563867338824030956
11280                    **      **
10950                   *###**  *##*#* #####*  ##
10620                *########* #############*####*
10290          *## ##################################*
9960 ##*     ########################################*
9630 #####*############################################
9300 ###################################################
8970 ####################################################
8640 ####################################################*   ##
8310 ##################################################### *###
7980 ##########################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
      GigabitEthernet1/0/24 output rate(kbits/sec)  (last 60 minutes)
              * = maximum   # = average

20mbit - не такая большая цифра, чтобы портить жизнь.
Не понимаю, продолжу дальше копать. Но буду признателен идеям и подсказкам )

При этом, если запустить
ping 192.168.9.2 с компьютера в локальной сети, то
Статистика Ping для 192.168.9.2:
    Пакетов: отправлено = 1358, получено = 1358, потеряно = 0
    (0% потерь)
Т.е. тот же адрес маршрутизатора пингуется без проблем, при этом пакет идет через коммутатор
tracert 192.168.9.2
Трассировка маршрута к 192.168.9.2 с максимальным числом прыжков 30

  1     2 ms     2 ms     1 ms  192.168.101.1 - это адрес коммутатора в данном сегменте сети
  2    <1 мс    <1 мс    <1 мс  192.168.9.2

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 15-Фев-18, 15:26 
Интерфейсы
2960
sho int g 1/0/24
GigabitEthernet1/0/24 is up, line protocol is up (connected)
  Hardware is Gigabit Ethernet, address is 5006.abd0.3218 (bia 5006.abd0.3218)
  Description: SPB-LIG-GW1
  MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
     reliability 255/255, txload 2/255, rxload 4/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTX
  input flow-control is off, output flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output 00:00:01, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 11
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 18119000 bits/sec, 2743 packets/sec
  5 minute output rate 9923000 bits/sec, 2215 packets/sec
     2798051282 packets input, 2566779520905 bytes, 0 no buffer
     Received 668461 broadcasts (3122 multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 3122 multicast, 0 pause input
     0 input packets with dribble condition detected
     2694967452 packets output, 1837383499319 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 pause output
     0 output buffer failures, 0 output buffers swapped out

2911
#sho int g0/0
GigabitEthernet0/0 is up, line protocol is up
  Hardware is CN Gigabit Ethernet, address is 84b2.6169.71a0 (bia 84b2.6169.71a0)
  Internet address is 192.168.9.2/30
  MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
     reliability 255/255, txload 4/255, rxload 2/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full Duplex, 1Gbps, media type is RJ45
  output flow-control is unsupported, input flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/22 (size/max/drops/flushes); Total output drops: 11160
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 9761000 bits/sec, 2216 packets/sec
  5 minute output rate 18683000 bits/sec, 2790 packets/sec
     97607993 packets input, 1710274177 bytes, 0 no buffer
     Received 1019181 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     387 input errors, 1 CRC, 0 frame, 385 overrun, 0 ignored
     0 watchdog, 3466 multicast, 0 pause input
     132841097 packets output, 1897230459 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     17231 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 pause output
     0 output buffer failures, 0 output buffers swapped out

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 15-Фев-18, 15:50 
И настройки vlan-интерфейса, к которому привязан порт 1/0/24 коммутатора

sho int vlan 9
Vlan9 is up, line protocol is up
  Hardware is EtherSVI, address is 5006.abd0.3250 (bia 5006.abd0.3250)
  Internet address is 192.168.9.1/30
  MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
     reliability 255/255, txload 2/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:09:36, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 9796000 bits/sec, 2222 packets/sec
     33955 packets input, 2312615 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     47264496 packets output, 26373812367 bytes, 0 underruns
     0 output errors, 1 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 15-Фев-18, 16:09 
Очень интересные пинги с маршрутизатора
SPB-LIG-GW1#ping 192.168.9.1 repeat 1000 - пинг до адреса коммутатора, через который идет трафик между ними
Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 192.168.9.1, timeout is 2 seconds:
!!.!!!!!!.!!!.!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!.!!!!!!!!.!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!.!!!.
Success rate is 90 percent (98/108), round-trip min/avg/max = 28/58/120 ms
SPB-LIG-GW1#ping 192.168.101.1 repeat 100 - пинг до адреса коммутатора в другом vlan
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 192.168.101.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/4/16 ms
SPB-LIG-GW1#ping 192.168.6.1 repeat 100 - пинг до адреса коммутатора в другом vlan
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 192.168.6.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/4/16 ms
SPB-LIG-GW1#ping 192.168.101.52 repeat 100 - пинг до адреса компьютера в локальной сети
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 192.168.101.52, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/2/8 ms

Т.е. пинги плохие только между адресами с двух сторон линка )

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 15-Фев-18, 16:12 
2911
SPB-LIG-GW1#sho run | i route
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route 192.168.2.0 255.255.254.0 192.168.9.1
ip route 192.168.4.0 255.255.255.0 192.168.9.1
ip route 192.168.5.0 255.255.255.0 192.168.9.1
ip route 192.168.6.0 255.255.254.0 192.168.9.1
ip route 192.168.8.0 255.255.255.0 192.168.9.1
ip route 192.168.99.0 255.255.255.0 192.168.9.1
ip route 192.168.101.0 255.255.255.0 192.168.9.1
ip route 192.168.102.0 255.255.255.0 192.168.9.1
ip route 192.168.103.0 255.255.255.0 192.168.9.1
ip route 192.168.104.0 255.255.255.0 192.168.9.1
ip route 192.168.105.0 255.255.255.0 192.168.9.1
ip route 192.168.107.0 255.255.255.0 192.168.9.1
ip route 192.168.110.0 255.255.255.0 192.168.9.1
ip route 192.168.112.0 255.255.255.0 192.168.9.1
ip route 192.168.114.0 255.255.255.0 192.168.9.1
ip route 192.168.115.0 255.255.255.0 192.168.9.1
ip route 192.168.116.0 255.255.255.0 192.168.9.1
ip route 192.168.117.0 255.255.255.0 192.168.9.1
ip route 192.168.160.0 255.255.255.0 192.168.9.1
ip route 192.168.199.0 255.255.255.0 192.168.9.1

2960
SPB-LIG-DSW1#sho run | i route
ip route 0.0.0.0 0.0.0.0 192.168.9.2


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 15-Фев-18, 16:29 
Удалил стыковочный vlan 9.
Добавил интерфейс 1/0/24 на 2960 в основной vlan 101
Дал интерфейсу 0/0 на 2911 адрес из этой сети.
Пустил маршруты по новым адресам.
Пока что все работает отлично.
Наблюдаю.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 26-Мрт-18, 14:58 
> Удалил стыковочный vlan 9.
> Добавил интерфейс 1/0/24 на 2960 в основной vlan 101
> Дал интерфейсу 0/0 на 2911 адрес из этой сети.
> Пустил маршруты по новым адресам.
> Пока что все работает отлично.
> Наблюдаю.

Периодически все же возникают проблемы с откликом.
Для проверки с компьютера запущен пинг до яндекса, и до некоторых узлов.
В конфигурации сети добавился еще один шлюз на микротик, к которому подключен ipsec/gre каналом один из офисов. На микротик выделен отдельный канал в интернет.
Но что же я вижу - как только начинаются проблемы с пингами яндекса, в то же время начинаются проблемы с пингом и в сеть через микротик.
Два разных маршрутизатора, два разных канала доступа, а тупят в одно и то же время.
Для проверки взял еще один компьютер, прописал на нем статические маршруты в интернет, в сеть через микротик, указав в качестве шлюза адреса маршрутизаторов (сейчас у узлов в сети в качестве шлюза стоит адрес центрального коммутатора cisco 2960).
И вот с этого компьютера пинги шикарные. Даже если в это время пинги с первого компа ужасают.
Логично предположить, что проблема в 2960.
Но по загрузке вроде бы должна справляться.
Куда можно посмотреть?

2960#sho ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is 192.168.101.254 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 192.168.101.254 (адрес шлюза на 2911)
      10.0.0.0/24 is subnetted, 2 subnets
S        10.0.136.0 [1/0] via 192.168.5.5
S        10.0.146.0 [1/0] via 192.168.5.5
      172.19.0.0/24 is subnetted, 3 subnets
S        172.19.2.0 [1/0] via 192.168.5.5
S        172.19.3.0 [1/0] via 192.168.5.5
S        172.19.13.0 [1/0] via 192.168.5.5
C     192.168.2.0/23 is directly connected, Vlan1
      192.168.2.0/32 is subnetted, 1 subnets
L        192.168.2.1 is directly connected, Vlan1
      192.168.4.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.4.0/24 is directly connected, Vlan4
L        192.168.4.1/32 is directly connected, Vlan4
      192.168.5.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.5.0/24 is directly connected, Vlan5
L        192.168.5.1/32 is directly connected, Vlan5
C     192.168.6.0/23 is directly connected, Vlan6
      192.168.6.0/32 is subnetted, 1 subnets
L        192.168.6.1 is directly connected, Vlan6
      192.168.99.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.99.0/24 is directly connected, Vlan99
L        192.168.99.1/32 is directly connected, Vlan99
      192.168.101.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.101.0/24 is directly connected, Vlan101
L        192.168.101.1/32 is directly connected, Vlan101
      192.168.102.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.102.0/24 is directly connected, Vlan102
L        192.168.102.1/32 is directly connected, Vlan102
      192.168.103.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.103.0/24 is directly connected, Vlan103
L        192.168.103.1/32 is directly connected, Vlan103
      192.168.104.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.104.0/24 is directly connected, Vlan104
L        192.168.104.1/32 is directly connected, Vlan104
      192.168.105.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.105.0/24 is directly connected, Vlan105
L        192.168.105.1/32 is directly connected, Vlan105
      192.168.107.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.107.0/24 is directly connected, Vlan107
L        192.168.107.1/32 is directly connected, Vlan107
      192.168.112.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.112.0/24 is directly connected, Vlan112
L        192.168.112.1/32 is directly connected, Vlan112
      192.168.115.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.115.0/24 is directly connected, Vlan115
L        192.168.115.1/32 is directly connected, Vlan115
      192.168.116.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.116.0/24 is directly connected, Vlan116
L        192.168.116.1/32 is directly connected, Vlan116
      192.168.117.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.117.0/24 is directly connected, Vlan117
L        192.168.117.1/32 is directly connected, Vlan117
      192.168.160.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.160.0/24 is directly connected, Vlan160
L        192.168.160.1/32 is directly connected, Vlan160
      192.168.199.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.199.0/24 is directly connected, Vlan199
L        192.168.199.1/32 is directly connected, Vlan199
S     192.168.205.0/24 [1/0] via 192.168.101.253 (адрес шлюза на микротике)

2911#sho ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is xxx.xxx.xxx.xxx to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via xxx.xxx.xxx.xxx (адрес шлюза провайдера)
      xxx.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        xxx.xxx.xxx.xxx/30 is directly connected, GigabitEthernet0/1
L        xxx.xxx.xxx.xxx/32 is directly connected, GigabitEthernet0/1
S     192.168.2.0/23 [1/0] via 192.168.101.1
S     192.168.4.0/24 [1/0] via 192.168.101.1
S     192.168.5.0/24 [1/0] via 192.168.101.1
S     192.168.6.0/23 [1/0] via 192.168.101.1
S     192.168.8.0/24 [1/0] via 192.168.101.1
S     192.168.99.0/24 [1/0] via 192.168.101.1
S     192.168.100.0/24 [1/0] via 192.168.254.14
      192.168.101.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.101.0/24 is directly connected, GigabitEthernet0/0
L        192.168.101.254/32 is directly connected, GigabitEthernet0/0
S     192.168.102.0/24 [1/0] via 192.168.101.1
S     192.168.103.0/24 [1/0] via 192.168.101.1
S     192.168.104.0/24 [1/0] via 192.168.101.1
S     192.168.105.0/24 [1/0] via 192.168.101.1
S     192.168.106.0/24 [1/0] via 192.168.254.14
S     192.168.107.0/24 [1/0] via 192.168.101.1
S     192.168.110.0/24 [1/0] via 192.168.101.1
S     192.168.112.0/24 [1/0] via 192.168.101.1
S     192.168.114.0/24 [1/0] via 192.168.101.1
S     192.168.115.0/24 [1/0] via 192.168.101.1
S     192.168.116.0/24 [1/0] via 192.168.101.1
S     192.168.117.0/24 [1/0] via 192.168.101.1
S     192.168.160.0/24 [1/0] via 192.168.101.1
S     192.168.166.0/24 [1/0] via 192.168.254.14
S     192.168.199.0/24 [1/0] via 192.168.101.1
S     192.168.203.0/24 [1/0] via 192.168.254.10
S     192.168.204.0/24 [1/0] via 192.168.254.18
      192.168.254.0/24 is variably subnetted, 6 subnets, 2 masks
C        192.168.254.8/30 is directly connected, Tunnel2
L        192.168.254.9/32 is directly connected, Tunnel2
C        192.168.254.12/30 is directly connected, Tunnel3
L        192.168.254.13/32 is directly connected, Tunnel3
C        192.168.254.16/30 is directly connected, Tunnel5
L        192.168.254.17/32 is directly connected, Tunnel5

2960#sho proc cpu sort | e 0.00
CPU utilization for five seconds: 53%/20%; one minute: 55%; five minutes: 53%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
162   829429331   129985057       6380 14.22% 14.85% 14.56%   0 Hulc LED Process
121    30534574   141876017        215  1.08%  0.82%  0.71%   0 HLFM address lea
163   100141220     4915685      20371  1.01%  1.29%  1.30%   0 HL3U bkgrd proce
207    23008952    64982195        354  0.66%  0.62%  0.58%   0 IP Input
220    13709509    56239947        243  0.29%  0.30%  0.29%   0 Spanning Tree
131    14694490     5248878       2799  0.29%  0.28%  0.29%   0 hpm counter proc
  94     7554480   238249853         31  0.23%  0.10%  0.09%   0 RedEarth Rx Mana
  17    16709684    36240623        461  0.23%  0.34%  0.37%   0 ARP Input
  93     5004501   238166893         21  0.11%  0.06%  0.05%   0 RedEarth Tx Mana
173     9411654     1047216       8987  0.05%  0.16%  0.17%   0 HQM Stack Proces
206     5370879   141875048         37  0.05%  0.06%  0.05%   0 IP ARP Retry Age
174     2598331     2094414       1240  0.05%  0.03%  0.05%   0 HRPC qos request

2960#sho proc cpu hist

      555555555555555555555555555555555555555555555555555555566666
      666665555566666555553333355555666665555555555333334444400000
  100
   90
   80
   70
   60 ********************     ********************          ***
   50 **********************************************************
   40 **********************************************************
   30 **********************************************************
   20 **********************************************************
   10 **********************************************************
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
               CPU% per second (last 60 seconds)


      655555555556555656555656655655555565555555555555555555555555
      079799350160998270898081187075669506887398928435835594365541
  100
   90
   80
   70
   60 #*###* *  *###***#########************* *** *  ** ***  ***
   50 ##########################################################
   40 ##########################################################
   30 ##########################################################
   20 ##########################################################
   10 ##########################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
               CPU% per minute (last 60 minutes)
              * = maximum CPU%   # = average CPU%


      696665443334343344444455445543443343344444444544555544343443543434555666
      254519739880929914032210664888097909960031229483435594918069209780538003
  100  *
   90  *
   80  *
   70  * *
   60 *###**                     *                      **              * **
   50 #####**               *******  *     *      *** *****     * *  *  ***#
   40 #######*******************************************##***************###
   30 ######################################################################
   20 ######################################################################
   10 ######################################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
               0    5    0    5    0    5    0    5    0    5    0    5    0
                   CPU% per hour (last 72 hours)
                  * = maximum CPU%   # = average CPU%


Вроде как загрузка по Hulс LED Cisco не считает проблемой - https://bst.cloudapps.cisco.com/bugsearch/bug/CSCtg86211/?rf...

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 26-Мрт-18, 15:10 
Только что еще хочу сказать.
В тот момент, когда начинаются проблемы с пингами в интернет и в сеть через туннель - проблем с доступом к узлам из других подсетей нет.
Пинги не ухудшаются.
Т.е. проблема только с доступом к узлам, которые доступны через следующий хоп в виде какого-либо маршрутизатора.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 27-Мрт-18, 12:13 
> Только что еще хочу сказать.
> В тот момент, когда начинаются проблемы с пингами в интернет и в
> сеть через туннель - проблем с доступом к узлам из других
> подсетей нет.
> Пинги не ухудшаются.
> Т.е. проблема только с доступом к узлам, которые доступны через следующий хоп
> в виде какого-либо маршрутизатора.

Очень интересная картина
Доступ к ya.ru
При проходе через центральный коммутатор
|------------------------------------------------------------------------------------------|
|                                      WinMTR statistics                                   |
|                       Host              -   %  | Sent | Recv | Best | Avrg | Wrst | Last |
|------------------------------------------------|------|------|------|------|------|------|
|                           192.168.101.1 -    1 | 1162 | 1155 |    0 |   14 |  258 |    4 |
|                         192.168.101.254 -    1 | 1154 | 1145 |    1 |   16 |  681 |    2 |
|             xx-xxx-xxx-xxx.westcall.net -    1 | 1150 | 1140 |    1 |   15 |  678 |    1 |
|            109-167-195-148.westcall.net -    1 | 1146 | 1135 |    1 |   17 |  667 |    1 |
|                 diana-spb-ix.yandex.net -    1 | 1150 | 1140 |    1 |   20 |  438 |   13 |
|              m9-p2-100ge-2-0-3.yndx.net -   13 |  800 |  703 |   10 |   31 |  679 |   44 |
|                                   ya.ru -   35 |  499 |  326 |    0 |   17 |   66 |   15 |
|________________________________________________|______|______|______|______|______|______|
   WinMTR v0.92 GPL V2 by Appnor MSP - Fully Managed Hosting & Cloud Provider

При проходе напрямую
|------------------------------------------------------------------------------------------|

|                                      WinMTR statistics                                   |

|                       Host              -   %  | Sent | Recv | Best | Avrg | Wrst | Last |

|------------------------------------------------|------|------|------|------|------|------|

|                         192.168.101.254 -    0 | 1006 | 1006 |    0 |    4 |  653 |    0 |

|             xx-xxx-xxx-xxx.westcall.net -    1 | 1002 | 1001 |    1 |    5 |  744 |    1 |

|            109-167-195-148.westcall.net -    1 | 1003 | 1002 |    1 |    6 |  778 |    1 |

|                 diana-spb-ix.yandex.net -    0 | 1006 | 1006 |    1 |    6 |  653 |    6 |

|              m9-p2-100ge-2-0-3.yndx.net -    0 | 1006 | 1006 |    9 |   14 |  653 |   10 |

|                   No response from host -  100 |  202 |    0 |    0 |    0 |    0 |    0 |

|                                   ya.ru -    0 | 1006 | 1006 |   13 |   16 |   67 |   17 |

|________________________________________________|______|______|______|______|______|______|

   WinMTR v0.92 GPL V2 by Appnor MSP - Fully Managed Hosting & Cloud Provider

Доступ к узлу из сети через vpn канал
Через центральный коммутатор
|------------------------------------------------------------------------------------------|
|                                      WinMTR statistics                                   |
|                       Host              -   %  | Sent | Recv | Best | Avrg | Wrst | Last |
|------------------------------------------------|------|------|------|------|------|------|
|                           192.168.101.1 -    2 | 1136 | 1122 |    0 |   18 |  108 |    8 |
|                         192.168.101.253 -    2 | 1141 | 1128 |    0 |   24 |   79 |    2 |
|                           192.168.205.1 -    2 | 1128 | 1112 |   53 |   69 |  133 |   54 |
|________________________________________________|______|______|______|______|______|______|
   WinMTR v0.92 GPL V2 by Appnor MSP - Fully Managed Hosting & Cloud Provider

Без центрального коммутатора
|------------------------------------------------------------------------------------------|

|                                      WinMTR statistics                                   |

|                       Host              -   %  | Sent | Recv | Best | Avrg | Wrst | Last |

|------------------------------------------------|------|------|------|------|------|------|

|                         192.168.101.253 -    0 |  999 |  999 |    0 |    0 |    2 |    0 |

|                           192.168.205.1 -    0 |  998 |  998 |   53 |   53 |   55 |   53 |

|________________________________________________|______|______|______|______|______|______|

   WinMTR v0.92 GPL V2 by Appnor MSP - Fully Managed Hosting & Cloud Provider

Видно, что действительно средняя задержка растет.
Но она растет на каждом узле, через который проходит пакет, а не только из за прохождения доп.узла в виде центрального коммутатора.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 27-Мрт-18, 13:38 
Но ведь физически пакеты все равно проходят через этот центральный коммутатор, так как он является ядром сети, по факту.
Т.е. пакет идет от хоста к коммутатору уровня доступа, потом к этому центральному коммутатору, потом к одному из маршрутизаторов.
Если пакет не обрабатывается правилом маршрутизации на центральном 2960, а сразу идет к следующему маршрутизатору (следуя прописанному заранее на хосте маршруте), то задержек нет.
Если происходит обработка правилом маршрутизации на центральном 2960, то задержки появляются на каждом из хопов маршрута...
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "cisco 2911 загрузка процессора"  +/
Сообщение от ShyLion (ok) on 27-Мрт-18, 15:09 
Какая увлекательная беседа :)
Коллега, вкратце какие выводы?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 29-Мрт-18, 16:56 
> Какая увлекательная беседа :)
> Коллега, вкратце какие выводы?

Очень увлекательная, да )
Выводы - 2960x с лицензией LAN-Base вполне себе успешно справляется с маршрутизацией данных между виланами.
Но что-то более серьезное уже может вызвать проблемы.
Она не умеет CEF.
Нельзя сделать интерфейс уровня L3 (no switchport), назначить ему ip-адрес и указать, что граничный маршрутизатор доступен именно через этот интерфейс.
Надо ставить что-то более серьезное.
Как вариант еще думал над тем, чтобы выдавать клиентам в сети в качестве шлюза сразу адреса сабинтерфейсов на граничном 2911, а также раздавать маршруты, в которых доступ к локальным сетям будет указан через адреса центральной 2960.
Но это усложняет систему, сложно не упустить различные моменты.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "cisco 2911 загрузка процессора"  +/
Сообщение от Pofigist on 02-Апр-18, 12:19 

> Очень увлекательная, да )
> Выводы - 2960x с лицензией LAN-Base вполне себе успешно справляется с маршрутизацией
> данных между виланами.

Коллега, такой вопрос, немного не по теме - у вас вентилятор в нем начинает вращаться сразу при включении? Поясняю - я себе домой приволок такой же коммутатор, (в варианте 48 портов с РоЕ), но вентилятор у него не запускается. Как результат - через 15 минут работы к области где БП прикоснуться страшно, очень горяче, при этом sh env all врет что все ок...
Хочется понять - это фича или бага и что сдохло, вентилятор или контроллер?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "cisco 2911 загрузка процессора"  +/
Сообщение от _ (??) on 02-Апр-18, 16:23 
>[оверквотинг удален]
>> Выводы - 2960x с лицензией LAN-Base вполне себе успешно справляется с маршрутизацией
>> данных между виланами.
> Коллега, такой вопрос, немного не по теме - у вас вентилятор в
> нем начинает вращаться сразу при включении? Поясняю - я себе домой
> приволок такой же коммутатор, (в варианте 48 портов с РоЕ), но
> вентилятор у него не запускается. Как результат - через 15 минут
> работы к области где БП прикоснуться страшно, очень горяче, при этом
> sh env all врет что все ок...
> Хочется понять - это фича или бага и что сдохло, вентилятор или
> контроллер?

Бага. Не исключено что вентилятор потащил за собой контроллер.
Вентилятор должен работать. При этом при прохождении self-test (до загрузки IOS) должен работать на максимальных оборотах. Дальше выходить на нормальный режим работы.
Попробуйте не sh env all, а посмотреть по SNMP. Должен показать в градусах Цельсия.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "cisco 2911 загрузка процессора"  +/
Сообщение от Pofigist on 02-Апр-18, 16:54 

> Бага. Не исключено что вентилятор потащил за собой контроллер.
> Вентилятор должен работать. При этом при прохождении self-test (до загрузки IOS) должен
> работать на максимальных оборотах. Дальше выходить на нормальный режим работы.
> Попробуйте не sh env all, а посмотреть по SNMP. Должен показать в
> градусах Цельсия.

Спасибо.
Ну градусы цельсия оно выдает и по sh env all и они - похожи на правду, если делать поправку на то что это температура некой части МБ, а не БП...
Есть план - попробую использовать 3750 в качестве временного донора - там вроде пропелер однотипный... Вариант два - подать 12V на красный и черный провода этого пропелера, если запустится - проблема в контроллере, если нет - в нем.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "cisco 2911 загрузка процессора"  +/
Сообщение от Pofigist on 02-Апр-18, 16:55 

>[оверквотинг удален]
>> Попробуйте не sh env all, а посмотреть по SNMP. Должен показать в
>> градусах Цельсия.
> Спасибо.
> Ну градусы цельсия оно выдает и по sh env all и они
> - похожи на правду, если делать поправку на то что это
> температура некой части МБ, а не БП...
> Есть план - попробую использовать 3750 в качестве временного донора - там
> вроде пропелер однотипный... Вариант два - подать 12V на красный и
> черный провода этого пропелера, если запустится - проблема в контроллере, если
> нет - в нем.

Ой, от 3550 разумеется - в 3750 он однозначно другой.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "cisco 2911 загрузка процессора"  +/
Сообщение от Pofigist on 03-Апр-18, 11:04 
> Ой, от 3550 разумеется - в 3750 он однозначно другой.

Если что, на заметку - в 3550 он тоже другой, хоть и похожий. Приколисты блин...

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor