The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]



"cisco 2911 загрузка процессора"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]
Cisco CCNA Routing & Switching версия 3.0 - новые курсы и экзамены
"cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 10-Янв-18, 14:20 
Хочется понять, какова предельная нагрузка на маршрутизатор 2911.
В моем случае не считаю, что сетевая нагрузка какая-то дикая, но тем не менее, CPU периодически вешается.
Подробнее.
Сеть построена примерно так:
CISCO 2911 – nat, acl, маршрутизация между vlan, ipsec/gre туннели.
CISCO 2960X – центральный коммутатор, в который втыкаются коммутаторы уровня доступа.
Конечно, в идеале, я бы маршрутизацию между vlan настроил на центральном коммутаторе, не загружая этим маршрутизатор, ответственный за выход в интернет.
Но 2960X хоть и умеет работать на уровне L3, но в редакции ip-lite, у меня же lan-base:
#show license
Index 1 Feature: lanlite
        Period left: 0  minute  0  second
Index 2 Feature: lanbase
        Period left: Life time
        License Type: Permanent
        License State: Active, In Use
        License Priority: Medium
        License Count: Non-Counted
Да и даже в ip-lite количество маршрутизируемых vlan, насколько я помню, не более 16. Но это не точно, надо смотреть.
Количество имеющихся сейчас vlan – порядка 20. В перспективе будет больше.
В целом, 2960X загружена не сильно.
А вот 2911 периодически проседает. Нагрузка на процессор в такие моменты становится примерно такой:
#sho proc cpu sort
CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
173   487432236   311190728       1566  1.27%  1.38%  1.47%   0 IP Input
298      403124        7244      55649  0.79%  0.06%  0.01%   0 NIST rng proc
195     8230908  1051460881          7  0.31%  0.31%  0.31%   0 Ethernet Msec Ti
413    19792556   103308426        191  0.31%  0.23%  0.23%   0 IP RACL Ager
   2     1625124     1738063        935  0.15%  0.08%  0.08%   0 Load Meter
248    12952456    47841351        270  0.15%  0.11%  0.10%   0 ADJ resolve proc

Видно, что основная нагрузка на процессор – это прерывания.
Что подтверждается, если отключить nat – нагрузка сразу падает примерно до 50%/45%.
При этом у меня большинство узлов в сети ограничено количеством 300 nat-трансляций.
Среднее значение на маршрутизаторе – от 4000 до 8000 трансляций.
ACL активно не используется. Только на входящем из интернета интерфейсе висит более-менее большой список. Но и то, пара десятков строк примерно. В планах – переход на ZBF.
В итоге, страдает взаимодействие между подсетями. При обращении от узлов в одном офисе к серверам в центральном – тупит. Пинги ходят бешеные даже до адреса маршрутизатора в своем же vlan.
Я не знаю, может надо тюнинговать дальше маршрутизатор, все же у нас не такие большие значения по сетевой загрузке.
Также настроено два ipsec/gre туннеля.
В планах – соединить туннелями все наши региональные отделения.
Это порядка 15-20 туннелей.
Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование процессор задействует.
Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между подсетями, отдельно под туннели.
Но это все весьма накладно.
Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или нет?
Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "cisco 2911 загрузка процессора"  +/
Сообщение от ogiss on 11-Янв-18, 09:34 
Portable Product Sheets – Routing Performance
             PPS     Mbps
ISR G2 2901 327,000 167.42
ISR G2 2911 353,000 180.73
ISR G2 2921 480,000 245.76
ISR G2 2951 580,000 296.96


Numbers are given with 64 byte packet size, IP only, and are only an indication of raw switching performance.
These are testing numbers, usually with FE to FE, GigE to GigE or POS to POS, no services enabled. As you add ACL's,
encryption, compression, etc - performance will decline significantly from the given numbers, unless it is a hardware-assisted
platform, such as the ASR 1000, 7600 or 12000, which process QoS, ACL's, and other features in hardware (or when a hardware
assist is installed, for instance an AIM-VPN in a 3745 will offload the encryption from the CPU).
Every situation is different - please simulate the true environment to get applicable performance
values.
Knowing the performance for a specific router platform is not a good indication of how well a specific feature will
perform. If a feature is supported in the CEF path, for instance, and we know the feature-free CEF throughput in a
specific configuration, then we only know the platform's "never-to-exceed" performance but we do not know the
actual performance of any given feature, which will always be less.
All numbers are for IP packets only - no IPX/AT/DEC, etc. - Mbps calculated by pps * 64bytes * 8bits/byte; except
for 12000 (Engines 0, 1, 2, 3 & 5) where these numbers represent the maximum mbps forwarding rates when packets are
greater than 64 bytes. Please see inserted comments in this field.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "cisco 2911 загрузка процессора"  +/
Сообщение от fantom (??) on 11-Янв-18, 10:22 
>[оверквотинг удален]
> В планах – соединить туннелями все наши региональные отделения.
> Это порядка 15-20 туннелей.
> Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование
> процессор задействует.
> Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между
> подсетями, отдельно под туннели.
> Но это все весьма накладно.
> Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или
> нет?
> Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

Производительность маршрутизатора меряется в пакетах,
От количества сетей де-факто не зависит, зависит от правил обработки трафика.
Например, допустим маршрутизатор способен обрабатывать 200 000 пакетов/секунда.
Хотите НАТ? - это двойная нагрузка, более 100 000 вы не увидите.
Хотите PBR? - делим еще на 2.
Хотите ZBF? - делим еще на 2.
Хотите "плюшкофишки"? - смело вычитаете 15-30%...
Хотите IPSec? - он в зависимости от характера трафика может дать прирост от 2 до 10 раз.... хотя тут можно криптомодули + лицензия соответствующая.

Кстати, у вас лицензия на IPSec установлена? а криптомодуль? а скорости по ipsec какие?

В ipsec важно не столько количество тунелей, сколько количество трафика по ним "бегающего" и используемые алгоритмы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 11-Янв-18, 10:34 
>[оверквотинг удален]
> Хотите PBR? - делим еще на 2.
> Хотите ZBF? - делим еще на 2.
> Хотите "плюшкофишки"? - смело вычитаете 15-30%...
> Хотите IPSec? - он в зависимости от характера трафика может дать прирост
> от 2 до 10 раз.... хотя тут можно криптомодули + лицензия
> соответствующая.
> Кстати, у вас лицензия на IPSec установлена? а криптомодуль? а скорости по
> ipsec какие?
> В ipsec важно не столько количество тунелей, сколько количество трафика по ним
> "бегающего" и используемые алгоритмы.

Лицензия на IPSec установлена. Что значит "криптомодуль"?
Скорости - два канала, по 10 Мбит максимум (скорость доступа в интернет в этих офисах 10 Мбит, скорость в канале не ограничена).
Алгоритм используется esp-aes esp-sha-hmac с private-key.
Бегают - dns, smb, rdp, различный служебный трафик.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "cisco 2911 загрузка процессора"  +/
Сообщение от fantom (??) on 11-Янв-18, 12:56 
>[оверквотинг удален]
>> соответствующая.
>> Кстати, у вас лицензия на IPSec установлена? а криптомодуль? а скорости по
>> ipsec какие?
>> В ipsec важно не столько количество тунелей, сколько количество трафика по ним
>> "бегающего" и используемые алгоритмы.
> Лицензия на IPSec установлена. Что значит "криптомодуль"?
> Скорости - два канала, по 10 Мбит максимум (скорость доступа в интернет
> в этих офисах 10 Мбит, скорость в канале не ограничена).
> Алгоритм используется esp-aes esp-sha-hmac с private-key.
> Бегают - dns, smb, rdp, различный служебный трафик.

Cisco в очередной раз перекроила свой сайт...

Вот например для VPN и IPSec:
ISM-VPN-29 -> VPN Internal Service Module for support on 2901,2911,2921 and 2951 platforms

The Cisco 2900 Series Module (ISM-VPN-29) can provide hardware-based IPSec encryption services of 145 and 550 Mbps in the Cisco 2901, 150 and 600 Mbps in the Cisco 2911, 220 and 700 Mbps in the Cisco 2921, and 385 and 900 Mbps in the Cisco 2951 (IPSec IMIX and 1400-byte packets).

Собственно попробуйте погасить IPSec на какое-то время и получите представление сколько IPSec дает нагрузки в вашей конфигурации.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "cisco 2911 загрузка процессора"  +/
Сообщение от fantom (??) on 11-Янв-18, 13:03 
>[оверквотинг удален]
>> соответствующая.
>> Кстати, у вас лицензия на IPSec установлена? а криптомодуль? а скорости по
>> ipsec какие?
>> В ipsec важно не столько количество тунелей, сколько количество трафика по ним
>> "бегающего" и используемые алгоритмы.
> Лицензия на IPSec установлена. Что значит "криптомодуль"?
> Скорости - два канала, по 10 Мбит максимум (скорость доступа в интернет
> в этих офисах 10 Мбит, скорость в канале не ограничена).
> Алгоритм используется esp-aes esp-sha-hmac с private-key.
> Бегают - dns, smb, rdp, различный служебный трафик.

Ага, в этой линейке шифрование в хардваре сразу есть.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "cisco 2911 загрузка процессора"  +/
Сообщение от eek (ok) on 11-Янв-18, 17:55 
Вот эту бумажку посмотрите насчет того, что сама Cisco думает по поводу своих железок:

https://supportforums.cisco.com/legacyfs/online/legacy/7/1/5...

Там в конце есть красивая табличка с примерной скоростью подключения.

По моей практике эта бумажка соответсвует действительности.

Для случаев когда много inspect, crypto, nat и кто-нибудь от большого ума еще включил nbar (match protocol) - бумажка даже слишком оптимистична.

2911 если включить все что нужно, кое-как тянет 30 мегабит. Причем 30 мегабит - это не 30 туда и обратно, это 30 мегабит в одном направлении.


Что касается утверждения о том, что производительность меряется в пакетах. Это утверждение совершенно верное, только для тех случаев когда маршрутизатор ничего кроме маршрутизации не делает. И к вашему случаю когда "все в одном" никакого отношения не имеет.

Если нужны варианты решения проблемы - пишите в личку.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 12-Янв-18, 10:03 
>[оверквотинг удален]
> Для случаев когда много inspect, crypto, nat и кто-нибудь от большого ума
> еще включил nbar (match protocol) - бумажка даже слишком оптимистична.
> 2911 если включить все что нужно, кое-как тянет 30 мегабит. Причем 30
> мегабит - это не 30 туда и обратно, это 30 мегабит
> в одном направлении.
> Что касается утверждения о том, что производительность меряется в пакетах. Это утверждение
> совершенно верное, только для тех случаев когда маршрутизатор ничего кроме маршрутизации
> не делает. И к вашему случаю когда "все в одном" никакого
> отношения не имеет.
> Если нужны варианты решения проблемы - пишите в личку.

Хорошая, красивая бумажка, изучу, спасибо.
Вот мне тоже кажется, что очень неплохо было бы маршрутизацию между vlan вынести на одну железку, фаерволл и нат - на другую, туннели - на третью.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "cisco 2911 загрузка процессора"  +/
Сообщение от eek (ok) on 12-Янв-18, 11:01 
> Хорошая, красивая бумажка, изучу, спасибо.
> Вот мне тоже кажется, что очень неплохо было бы маршрутизацию между vlan
> вынести на одну железку, фаерволл и нат - на другую, туннели
> - на третью.

Очень неплохо сначала делать проект, а потом под него закупать железо.

Все что вы написали это возможный вариант развития событий, коих может быть множество.

Исполнимые варианты развития событий определяются вашими реальными условиями.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

7. "cisco 2911 загрузка процессора"  +/
Сообщение от Serb on 11-Янв-18, 21:10 
>[оверквотинг удален]
> В планах – соединить туннелями все наши региональные отделения.
> Это порядка 15-20 туннелей.
> Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование
> процессор задействует.
> Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между
> подсетями, отдельно под туннели.
> Но это все весьма накладно.
> Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или
> нет?
> Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

убрать логирование на ACL если есть  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 12-Янв-18, 10:04 
>[оверквотинг удален]
>> Это порядка 15-20 туннелей.
>> Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование
>> процессор задействует.
>> Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между
>> подсетями, отдельно под туннели.
>> Но это все весьма накладно.
>> Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или
>> нет?
>> Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?
> убрать логирование на ACL если есть

Логирование выключено.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "cisco 2911 загрузка процессора"  +/
Сообщение от ShyLion (??) on 12-Янв-18, 10:39 
> #sho proc cpu sort
> CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90%

Еще бы показать при этом


show int | inc thernet.* is .*, line | rate

Для роутинга между виланами всяко надо L3 свитч. Для ваших скоростей за глаза хватит б/у 3750 нужной комплектации интерфейсов. Нормальные продавцы могут за % от цены дать гарантию.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "cisco 2911 загрузка процессора"  +/
Сообщение от shwedd (ok) on 12-Янв-18, 11:41 
>> #sho proc cpu sort
>> CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90%
> Еще бы показать при этом
>
 
> show int | inc thernet.* is .*, line | rate
>

> Для роутинга между виланами всяко надо L3 свитч. Для ваших скоростей за
> глаза хватит б/у 3750 нужной комплектации интерфейсов. Нормальные продавцы могут за
> % от цены дать гарантию.

При
sho proc cpu sort
CPU utilization for five seconds: 92%/89%; one minute: 92%; five minutes: 90%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
173   492650984   316593683       1556  1.11%  1.50%  1.60%   0 IP Input
195     8455232  1072506519          7  0.39%  0.35%  0.34%   0 Ethernet Msec Ti
   6    24279312     1847810      13139  0.31%  0.10%  0.11%   0 Check heaps
413    20278208   105423638        192  0.23%  0.25%  0.24%   0 IP RACL Ager

Вывод
show int | inc thernet.* is .*, line | rate
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
GigabitEthernet0/0 is up, line protocol is up
  5 minute input rate 70128000 bits/sec, 13135 packets/sec
  5 minute output rate 90315000 bits/sec, 13136 packets/sec
GigabitEthernet0/0.1 is up, line protocol is up
GigabitEthernet0/0.4 is up, line protocol is up
GigabitEthernet0/0.5 is up, line protocol is up
GigabitEthernet0/0.6 is up, line protocol is up
GigabitEthernet0/0.8 is up, line protocol is up
GigabitEthernet0/0.99 is up, line protocol is up
GigabitEthernet0/0.101 is up, line protocol is up
GigabitEthernet0/0.102 is up, line protocol is up
GigabitEthernet0/0.103 is up, line protocol is up
GigabitEthernet0/0.104 is up, line protocol is up
GigabitEthernet0/0.105 is up, line protocol is up
GigabitEthernet0/0.107 is up, line protocol is up
GigabitEthernet0/0.110 is up, line protocol is up
GigabitEthernet0/0.112 is up, line protocol is up
GigabitEthernet0/0.114 is up, line protocol is up
GigabitEthernet0/0.115 is up, line protocol is up
GigabitEthernet0/0.116 is up, line protocol is up
GigabitEthernet0/0.117 is up, line protocol is up
GigabitEthernet0/0.160 is up, line protocol is up
GigabitEthernet0/0.199 is up, line protocol is up
GigabitEthernet0/1 is up, line protocol is up
  5 minute input rate 34311000 bits/sec, 4523 packets/sec
  5 minute output rate 13955000 bits/sec, 4457 packets/sec
GigabitEthernet0/2 is administratively down, line protocol is down
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  5 minute input rate 39000 bits/sec, 24 packets/sec
  5 minute output rate 100000 bits/sec, 23 packets/sec
  5 minute input rate 546000 bits/sec, 346 packets/sec
  5 minute output rate 4614000 bits/sec, 509 packets/sec

GigabitEthernet0/0 - физический интерфейс, смотрит в локальную сеть.
На нем куча виртуальных интерфейсов.
GigabitEthernet0/1 - физический интерфейс, смотрит в интернет.

Мне тоже идея установки полноценного L3 свича кажется не лишенной смысла.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor