https://www.opennet.dev/openforum/vsluhforumID6/21541.html Уважаемые коллеги. Помогите найти источник проблемы! Сломал всю голову за последние две недели, но не могу найти где порылась собака.<br><br>Имеется c7206vxr NPE400<br>IOS (tm) 7200 Software (C7200-JK9S-M), Version 12.3(18), RELEASE SOFTWARE (fc3)<br><br>На ней крутится три IPSec туннеля, наттинг локалки и DMZ в инет и IPSec коннект к Firebox оборудованию удаленного офиса.<br>Периодически CPU на несколько секунд забивается процессом Encrypt Proc. <br>Забивается апериодично, но раз или два в час пики случаются.<br>По ту сторону тунелей суммарно 400 автономных терминальных хостов. Нагрузка по трафику никакая.<br>Возрастание нагрузки стало заметно при возрастании активности на Tunnel2. Но по тунелю работают всего 180 хостов. <br>Неужели 7206 не может справиться с этой пустяковой нагрузкой?<br>P.S. Tunnel1 и Tunnel2 смотрят на две разные аналогичные кошки с разными адресами, просто звездочками адреса забил, неочевидно стало что тунели в разные хосты.<br><br>вот что говорит в секунды лагов sh proc cpu sor:<br>CPU utilization for five second https://www.opennet.dev/openforum/vsluhforumID6/21541.html#5 Thu, 02 Sep 2010 12:35:11 GMT &gt;ну все равно канал не загружен и так и этак. есть у <br>&gt;меня подозрение что дело все таки в иосе. <br><br>в общем подозрения оправдались иос оказался багнутый. обновление до версии 124_21 проблему решило.<br> https://www.opennet.dev/openforum/vsluhforumID6/21541.html#4 Thu, 02 Sep 2010 10:17:17 GMT &gt;эти маршруты лишние <br><br>согласен. они все connected и есть по умолчанию. уберу.<br><br>&gt;эта policy-map настроена некорректно и работает только для nat, а с интрфейсов <br>&gt;ее можно убрать <br><br>А в чем некорректность?<br>у меня на тунельных интерфейсах она для того, чтобы удаленные точки за тунелями могли через мой канал в инет вылезти. по сему предположу, что линшяя она только на интерфейсе в дмз.<br>но сути это не меняет. настройки маршрутов и ната не трогались мной давным давно. я их поднимал года три назад, еще при "тех" понятиях о настройке. но глючить стало сравнительно недавно, по нарастающей месяца два назад. заметно стало недели полторы назад, когда загрузка процессора выросла настолько, что пакеты между сетями стали теряться.<br><br>&gt;bandwidth 2000 ничего не ограничивает, что просто информационный параметр <br><br>ну все равно канал не загружен и так и этак. есть у меня подозрение что дело все таки в иосе.<br> https://www.opennet.dev/openforum/vsluhforumID6/21541.html#3 Thu, 02 Sep 2010 08:08:51 GMT эти маршруты лишние<br><br>ip route 192.168.100.0 255.255.255.0 FastEthernet0/0<br>ip route 192.168.101.0 255.255.255.0 FastEthernet0/0<br>ip route 192.168.0.0 255.255.255.0 FastEthernet0/0<br>ip route 192.168.3.0 255.255.255.0 FastEthernet0/0<br>ip route 77.10*.72.0 255.255.255.240 FastEthernet0/1<br>ip route 77.10*.90.12* 255.255.255.192 FastEthernet0/1<br>ip route 87.24*.13*.16 255.255.255.240 FastEthernet0/1<br><br>эта policy-map настроена некорректно и работает только для nat, а с интрфейсов ее можно убрать<br><br>route-map comcor-map permit 20<br>match ip address permitinternet<br>match interface FastEthernet2/0<br>set default interface FastEthernet2/0<br><br><br>&gt;общий входящий канал 10 мегабит. ограничение в туннелях с обоих сторон по bandwidth 2000.<br><br>bandwidth 2000 ничего не ограничивает, что просто информационный параметр<br> https://www.opennet.dev/openforum/vsluhforumID6/21541.html#2 Thu, 02 Sep 2010 05:10:04 GMT &gt;А какая нагрузка по трафику на физических интерфейсах? - NPE400 максимум 215мбит <br>&gt;нешифрованного трафика может переварить... <br><br>общий входящий канал 10 мегабит. ограничение в туннелях с обоих сторон по bandwidth 2000.<br><br>вот что на интерфейсе смотрящем в интернет, куда собственно все туннели в конечном счете смотрят:<br> 5 minute input rate 384000 bits/sec, 306 packets/sec<br> 5 minute output rate 1271000 bits/sec, 323 packets/sec<br><br>а вот что на интерфейсах туннелей:<br> 5 minute input rate 24000 bits/sec, 25 packets/sec<br> 5 minute output rate 7000 bits/sec, 22 packets/sec<br><br> 5 minute input rate 17000 bits/sec, 21 packets/sec<br> 5 minute output rate 9000 bits/sec, 18 packets/sec<br><br>вот что на интерфейсах дмз и локалки:<br> 5 minute input rate 958000 bits/sec, 163 packets/sec<br> 5 minute output rate 192000 bits/sec, 144 packets/sec<br><br> 5 minute input rate 7000 bits/sec, 7 packets/sec<br> 5 minute output rate 38000 bits/sec, 4 packets/sec<br><br>тоесть нагрузка по трафику можно сказать никакая. <br>память кошки не https://www.opennet.dev/openforum/vsluhforumID6/21541.html#1 Wed, 01 Sep 2010 18:16:35 GMT А какая нагрузка по трафику на физических интерфейсах? - NPE400 максимум 215мбит нешифрованного трафика может переварить...<br>