forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проблема с прерываниями процессора. Cisco2811."
Отправлено vnn, 10-Дек-09 15:37

Подскажите, в чём может быть проблема.
Маршрутизатор по команде show proc cpu показывает загрузку процессора до 95%, при этом большая часть занята прерываниями. Выглядит это примерно так:
CPU utilization for five seconds: 80%/74%; one minute: 68%; five minutes: 64%
Трафик есть, но не такой большой, на какой мы рассчитывали. То есть сетевые приложения работают не так быстро, как нам бы хотелось. Всё-таки Cisco 2811. А средняя скорость судя по Netflow Analizer составляет только ок. 9 мегабит суммарно (in/out). И больше не растёт, потому как упирается в загрузку процессора прерываниями. Трафик у нас в основном VPN. Предельную загрузку показывает центральная циска, на которой стоят сервера. Клиенты находятся в двух других локациях. Там тоже Cisco2811, которые показывают загрузку процессора в сумме ровно такую же, как и на одной центральной циске. И тоже в основном за счёт прерываний (interrupts). То есть если на центральной
CPU utilization for five seconds: 82%/81%; one minute: 78%; five minutes: 75%
то на периферийных
CPU utilization for five seconds: 48%/47%; one minute: 40%; five minutes: 42%
CPU utilization for five seconds: 32%/24%; one minute: 33%; five minutes: 29%
IOS везде одинаковый 2800 Software (C2800NM-ADVSECURITYK9-M), Version 12.4(15)T7, RELEASE SOFTWARE (fc3)
Приведу также частичный конфиг центральной циски
crypto isakmp policy 100
encr aes
authentication pre-share
group 2
crypto isakmp policy 120
authentication pre-share
crypto isakmp key p@ssword address 0.0.0.0 0.0.0.0
crypto ipsec transform-set VPN esp-aes esp-sha-hmac
crypto map S2S-MAP 130 ipsec-isakmp
description Tunnel to Extreme
set peer <peer address1>
set transform-set VPN
match address S2S-VPN_Larek-Extreme_Traffic
crypto map S2S-MAP 140 ipsec-isakmp
description Tunnel to Shodnya
set peer <peer address2>
set transform-set VPN
match address S2S-VPN_Larek-Shodnya_Traffic
interface FastEthernet0/0
description Internal Larek
ip address 172.20.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description External Telekor
ip address <IPADDRESS> 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map S2S-MAP
ip nat source static tcp 172.20.0.1 1521 <IPADDRESS> 1521 extendable
ip nat inside source route-map Telekor interface FastEthernet0/1 overload
ip nat inside source static tcp 172.20.0.1 1521 <IPADDRESS> 1521 extendable
ip nat inside source static tcp 172.20.0.1 3389 <IPADDRESS> 2115 extendable
ip nat inside source static tcp 172.20.0.10 3389 <IPADDRESS> 2117 extendable
ip nat inside source static tcp 172.20.0.3 3389 <IPADDRESS> 3389 extendable
ip access-list extended RMAP_Access_List
remark Access List for route map
deny   ip 172.20.0.0 0.0.0.255 172.17.0.0 0.0.255.255
deny   ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.31.255
permit tcp host 172.20.0.1 host <...> eq 1521
permit tcp host 172.20.0.1 host <...> eq pop3
permit tcp host 172.20.0.1 host <...> eq smtp
permit tcp host 172.20.0.3 host <...> eq www
permit tcp 172.20.0.0 0.0.0.255 host <...> eq 1688
permit tcp host 172.20.0.15 any eq smtp
permit tcp host 172.20.0.2 host <...> eq domain
permit udp host 172.20.0.2 host <...> eq domain
permit tcp host 172.20.0.2 host <...> eq domain
permit udp host 172.20.0.2 host <...> eq domain
ip access-list extended S2S-VPN_Larek-Extreme_Traffic
permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.0.255
ip access-list extended S2S-VPN_Larek-Shodnya_Traffic
permit ip 172.20.0.0 0.0.0.255 172.17.0.0 0.0.255.255
route-map Telekor permit 1
match ip address RMAP_Access_List

С конфигурацией-то вроде всё нормально. Всё работает, что настроено. Проверять её не надо. Это я на всякий случай выложил, если вдруг там будет информация, дополняющая картину.
Также может показаться интересной статистика трафика за последний час:
Last Hour Report
Category    Total         Max            Min            Avg       95th Percentile

IN         3.05 GB    87.71 Mbps     432.97 Kbps    6.67 Mbps    24.68 Mbps

OUT        1.67 GB    33.61 Mbps     76.15 Kbps     3.65 Mbps    25.58 Mbps
Как только заканчивается рабочий день, прекращается и трафик, и загрузка процессора.
Жду ваших советов, как установить конкретную причину имеющейся проблемы и устранить её. Может ли это быть вирус, который шлёт такой неприятный для циски трафик. Или же это баг IOS. Как определить?
Спасибо.

Исходное сообщение
"Проблема с прерываниями процессора. Cisco2811." Отправлено vnn, 10-Дек-09 15:37
Подскажите, в чём может быть проблема. Маршрутизатор по команде show proc cpu показывает загрузку процессора до 95%, при этом большая часть занята прерываниями. Выглядит это примерно так: CPU utilization for five seconds: 80%/74%; one minute: 68%; five minutes: 64% Трафик есть, но не такой большой, на какой мы рассчитывали. То есть сетевые приложения работают не так быстро, как нам бы хотелось. Всё-таки Cisco 2811. А средняя скорость судя по Netflow Analizer составляет только ок. 9 мегабит суммарно (in/out). И больше не растёт, потому как упирается в загрузку процессора прерываниями. Трафик у нас в основном VPN. Предельную загрузку показывает центральная циска, на которой стоят сервера. Клиенты находятся в двух других локациях. Там тоже Cisco2811, которые показывают загрузку процессора в сумме ровно такую же, как и на одной центральной циске. И тоже в основном за счёт прерываний (interrupts). То есть если на центральной CPU utilization for five seconds: 82%/81%; one minute: 78%; five minutes: 75% то на периферийных CPU utilization for five seconds: 48%/47%; one minute: 40%; five minutes: 42% CPU utilization for five seconds: 32%/24%; one minute: 33%; five minutes: 29% IOS везде одинаковый 2800 Software (C2800NM-ADVSECURITYK9-M), Version 12.4(15)T7, RELEASE SOFTWARE (fc3) Приведу также частичный конфиг центральной циски crypto isakmp policy 100 encr aes authentication pre-share group 2 crypto isakmp policy 120 authentication pre-share crypto isakmp key p@ssword address 0.0.0.0 0.0.0.0 crypto ipsec transform-set VPN esp-aes esp-sha-hmac crypto map S2S-MAP 130 ipsec-isakmp description Tunnel to Extreme set peer <peer address1> set transform-set VPN match address S2S-VPN_Larek-Extreme_Traffic crypto map S2S-MAP 140 ipsec-isakmp description Tunnel to Shodnya set peer <peer address2> set transform-set VPN match address S2S-VPN_Larek-Shodnya_Traffic interface FastEthernet0/0 description Internal Larek ip address 172.20.0.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nbar protocol-discovery ip flow ingress ip flow egress ip nat inside ip virtual-reassembly duplex auto speed auto no mop enabled ! interface FastEthernet0/1 description External Telekor ip address <IPADDRESS> 255.255.255.0 ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nbar protocol-discovery ip flow ingress ip flow egress ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable no mop enabled crypto map S2S-MAP ip nat source static tcp 172.20.0.1 1521 <IPADDRESS> 1521 extendable ip nat inside source route-map Telekor interface FastEthernet0/1 overload ip nat inside source static tcp 172.20.0.1 1521 <IPADDRESS> 1521 extendable ip nat inside source static tcp 172.20.0.1 3389 <IPADDRESS> 2115 extendable ip nat inside source static tcp 172.20.0.10 3389 <IPADDRESS> 2117 extendable ip nat inside source static tcp 172.20.0.3 3389 <IPADDRESS> 3389 extendable ip access-list extended RMAP_Access_List remark Access List for route map deny ip 172.20.0.0 0.0.0.255 172.17.0.0 0.0.255.255 deny ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.31.255 permit tcp host 172.20.0.1 host <...> eq 1521 permit tcp host 172.20.0.1 host <...> eq pop3 permit tcp host 172.20.0.1 host <...> eq smtp permit tcp host 172.20.0.3 host <...> eq www permit tcp 172.20.0.0 0.0.0.255 host <...> eq 1688 permit tcp host 172.20.0.15 any eq smtp permit tcp host 172.20.0.2 host <...> eq domain permit udp host 172.20.0.2 host <...> eq domain permit tcp host 172.20.0.2 host <...> eq domain permit udp host 172.20.0.2 host <...> eq domain ip access-list extended S2S-VPN_Larek-Extreme_Traffic permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.0.255 ip access-list extended S2S-VPN_Larek-Shodnya_Traffic permit ip 172.20.0.0 0.0.0.255 172.17.0.0 0.0.255.255 route-map Telekor permit 1 match ip address RMAP_Access_List С конфигурацией-то вроде всё нормально. Всё работает, что настроено. Проверять её не надо. Это я на всякий случай выложил, если вдруг там будет информация, дополняющая картину. Также может показаться интересной статистика трафика за последний час: Last Hour Report Category Total Max Min Avg 95th Percentile IN 3.05 GB 87.71 Mbps 432.97 Kbps 6.67 Mbps 24.68 Mbps OUT 1.67 GB 33.61 Mbps 76.15 Kbps 3.65 Mbps 25.58 Mbps Как только заканчивается рабочий день, прекращается и трафик, и загрузка процессора. Жду ваших советов, как установить конкретную причину имеющейся проблемы и устранить её. Может ли это быть вирус, который шлёт такой неприятный для циски трафик. Или же это баг IOS. Как определить? Спасибо.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Подскажите, в чём может быть проблема. > Маршрутизатор по команде show proc cpu показывает загрузку процессора до 95%, при > этом большая часть занята прерываниями. Выглядит это примерно так: > CPU utilization for five seconds: 80%/74%; one minute: 68%; five minutes: 64% > Трафик есть, но не такой большой, на какой мы рассчитывали. То есть > сетевые приложения работают не так быстро, как нам бы хотелось. Всё-таки > Cisco 2811. А средняя скорость судя по Netflow Analizer составляет только > ок. 9 мегабит суммарно (in/out). И больше не растёт, потому как > упирается в загрузку процессора прерываниями. Трафик у нас в основном VPN. > Предельную загрузку показывает центральная циска, на которой стоят сервера. Клиенты находятся > в двух других локациях. Там тоже Cisco2811, которые показывают загрузку процессора > в сумме ровно такую же, как и на одной центральной циске. > И тоже в основном за счёт прерываний (interrupts). То есть если > на центральной > CPU utilization for five seconds: 82%/81%; one minute: 78%; five minutes: 75% > то на периферийных > CPU utilization for five seconds: 48%/47%; one minute: 40%; five minutes: 42% > CPU utilization for five seconds: 32%/24%; one minute: 33%; five minutes: 29% > IOS везде одинаковый 2800 Software (C2800NM-ADVSECURITYK9-M), Version 12.4(15)T7, RELEASE > SOFTWARE (fc3) > Приведу также частичный конфиг центральной циски > crypto isakmp policy 100 > encr aes > authentication pre-share > group 2 > crypto isakmp policy 120 > authentication pre-share > crypto isakmp key p@ssword address 0.0.0.0 0.0.0.0 > crypto ipsec transform-set VPN esp-aes esp-sha-hmac > crypto map S2S-MAP 130 ipsec-isakmp > description Tunnel to Extreme > set peer <peer address1> > set transform-set VPN > match address S2S-VPN_Larek-Extreme_Traffic > crypto map S2S-MAP 140 ipsec-isakmp > description Tunnel to Shodnya > set peer <peer address2> > set transform-set VPN > match address S2S-VPN_Larek-Shodnya_Traffic > interface FastEthernet0/0 > description Internal Larek > ip address 172.20.0.254 255.255.255.0 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nbar protocol-discovery > ip flow ingress > ip flow egress > ip nat inside > ip virtual-reassembly > duplex auto > speed auto > no mop enabled > ! > interface FastEthernet0/1 > description External Telekor > ip address <IPADDRESS> 255.255.255.0 > ip verify unicast reverse-path > no ip redirects > no ip unreachables > no ip proxy-arp > ip nbar protocol-discovery > ip flow ingress > ip flow egress > ip nat outside > ip virtual-reassembly > duplex auto > speed auto > no cdp enable > no mop enabled > crypto map S2S-MAP > ip nat source static tcp 172.20.0.1 1521 <IPADDRESS> 1521 extendable > ip nat inside source route-map Telekor interface FastEthernet0/1 overload > ip nat inside source static tcp 172.20.0.1 1521 <IPADDRESS> 1521 extendable > ip nat inside source static tcp 172.20.0.1 3389 <IPADDRESS> 2115 extendable > ip nat inside source static tcp 172.20.0.10 3389 <IPADDRESS> 2117 extendable > ip nat inside source static tcp 172.20.0.3 3389 <IPADDRESS> 3389 extendable > ip access-list extended RMAP_Access_List > remark Access List for route map > deny ip 172.20.0.0 0.0.0.255 172.17.0.0 0.0.255.255 > deny ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.31.255 > permit tcp host 172.20.0.1 host <...> eq 1521 > permit tcp host 172.20.0.1 host <...> eq pop3 > permit tcp host 172.20.0.1 host <...> eq smtp > permit tcp host 172.20.0.3 host <...> eq www > permit tcp 172.20.0.0 0.0.0.255 host <...> eq 1688 > permit tcp host 172.20.0.15 any eq smtp > permit tcp host 172.20.0.2 host <...> eq domain > permit udp host 172.20.0.2 host <...> eq domain > permit tcp host 172.20.0.2 host <...> eq domain > permit udp host 172.20.0.2 host <...> eq domain > ip access-list extended S2S-VPN_Larek-Extreme_Traffic > permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.0.255 > ip access-list extended S2S-VPN_Larek-Shodnya_Traffic > permit ip 172.20.0.0 0.0.0.255 172.17.0.0 0.0.255.255 > route-map Telekor permit 1 > match ip address RMAP_Access_List > С конфигурацией-то вроде всё нормально. Всё работает, что настроено. Проверять её не > надо. Это я на всякий случай выложил, если вдруг там будет > информация, дополняющая картину. > Также может показаться интересной статистика трафика за последний час: > Last Hour Report > Category Total > Max > Min > Avg 95th > Percentile > IN 3.05 GB > 87.71 Mbps 432.97 Kbps > 6.67 Mbps 24.68 Mbps > OUT 1.67 GB > 33.61 Mbps 76.15 Kbps > 3.65 Mbps 25.58 Mbps > Как только заканчивается рабочий день, прекращается и трафик, и загрузка процессора. > Жду ваших советов, как установить конкретную причину имеющейся проблемы и устранить её. > Может ли это быть вирус, который шлёт такой неприятный для циски > трафик. Или же это баг IOS. Как определить? > Спасибо.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру