Приветствую всех спецов Opennet'a.
Решили в нашей славной кампании переезжать на Циски в связи с усложнением топологии сети и растущим количеством удаленных офисов.
Купили для теста cisco877-k9, после настроек и пробросов туннелей, в работе выяснилось что при выходе пользователей в инет через нат загрузка ЦП становится на 100 %, при условии что выходит только один хост (прокся), советы в стиле ip nat translation max-entries all-hosts я сделал но эффекта просто ноль... Вопрос в следующем это у всей серии такое? Или есть хитрость в настройках которую мне не удалось найти у гугля, возможно это просто особенность одной такой что то вроде брака... ??? Подскажите кто работал с этой моделью. Вопрос важный, покупать их дальше? Или поискать другого вендора...
Тут телепатов целый форум - может конфиг покажите?
>Тут телепатов целый форум - может конфиг покажите?прошу прощения, но мне казалось что вопрос мало касается конфига. но раз настаиваете
Current configuration : 4217 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname krasnoyarsk
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-----------
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-----------
revocation-check none
rsakeypair TP-self-signed-----------
!
!
crypto pki certificate chain TP-self-signed-----------
certificate self-signed 01
-------- -------- -------- -------- -------- -------- -------- --------
-------- -------- -------- -------- -------- -------- -------- --------
quit
dot11 syslog
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address ***.***.2.1
ip dhcp excluded-address ***.***.2.222
ip dhcp excluded-address ***.***.2.250
ip dhcp excluded-address ***.***.2.20
ip dhcp excluded-address ***.***.2.10
!
ip dhcp pool karsnoyarsk.local
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 192.168.0.2
netbios-name-server 192.168.0.2
lease 7
!
!
ip domain name svel.ru
ip name-server **.***.***.145
ip name-server **.***.***.126
!
!
!
username prazdnick privilege 15 secret 5 ******************************
!
!
archive
log config
hidekeys
!
!
!
!
!
interface Tunnel100
ip unnumbered Vlan1
tunnel source Vlan2
tunnel destination ***.***.253.180
tunnel mode ipip
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 2
!
interface Vlan1
description local.network
ip address ***.***.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
description sovintel.internet
ip address **.***.139.201 255.255.255.252
ip nat outside
ip virtual-reassembly
!
ip default-gateway **.***.139.202
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 **.***.139.202
ip route ***.***.0.0 255.255.255.0 ***.***.253.180
ip route ***.***.0.0 255.255.255.0 Tunnel100
ip route ***.***.1.0 255.255.255.0 Tunnel100
ip route ***.***.3.0 255.255.255.0 Tunnel100
ip route ***.***.4.0 255.255.255.0 Tunnel100
ip route ***.***.8.0 255.255.255.0 Tunnel100
ip route ***.***.11.0 255.255.255.0 Tunnel100
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip dns view-list covintel
ip nat translation max-entries all-host 100
ip nat inside source list 22 interface Vlan2 overload
!
access-list 22 permit ***.***.2.222
access-list 23 permit any
no cdp run
!
!
!
control-plane
!
banner exec ^C Ok, Let's do some job ^C
banner login ^C Hi! I'm Krasnoyarsk router, please name yourself... ^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
сори за задержку итак давайте попробуем. Выдержка с этого же форума
>ip nat translation timeout 300
>ip nat translation tcp-timeout 600
>ip nat translation max-entries 25000
>
>Остальное по дефолту.
>
>Для разгрузки проца логичней наверное уменьшать таймуат, чтобы таблица быстрее циской самостоятельно
>подчищалась? Или наоборот - частая подчистка таблицы будет отнимать больше процессорных
>ресурсов, чем обработка и поиск в большой таблице НАТа?Может кто-то пояснить эту тонкость?
Эксперименты показывают, что если значение "ip nat translation tcp-timeout" ставить небольшое (например 600), то память циски не забивается таблицей трансляций (таблица не разрастается), проц не прогружается, но сам НАТ субъективно (со стороны пользователей) совершенно четко подтормаживает. Увеличивая это значение, увеличиваем все: размер таблицы, размер используемой памяти, загрузку проца, но НАТ начинает работать шустрее. Осталось понять где та грань, при которой все работает оптимально.
Экспериментально же установлено: если это значение оставить по дефолту (86400 кажется), то даже при 40-50 пользователях за НАТом и скорости порядка 1,5 Мбит/сек таблица трансляций довольно быстро разрастается до параметра, заданного в "ip nat translation max-entries " и проц прогружается практически на 100%.
Эксперименты - хорошо, но может кто-то пояснит методику подбора этих параметров, а также других параметров тайм-аутов НАТа?1. уберите ip nat translation max-entries all-host 100 вообще - пусть железка колбасит сама на свой вкус.
2. С inside и outside уберите ip virtual-reassembly - на практике у меня из за неё 871 часто подвисали забивалась память и проц загружен был.
3. Обязательно отпишитесь :) помогло или нет
>[оверквотинг удален]
>та грань, при которой все работает оптимально.
>Экспериментально же установлено: если это значение оставить по дефолту (86400 кажется), то
>даже при 40-50 пользователях за НАТом и скорости порядка 1,5 Мбит/сек
> таблица трансляций довольно быстро разрастается до параметра, заданного в "ip
>nat translation max-entries " и проц прогружается практически на 100%.
>Эксперименты - хорошо, но может кто-то пояснит методику подбора этих параметров, а
>также других параметров тайм-аутов НАТа?
>
>1. уберите ip nat translation max-entries all-host 100 вообще - пусть железка
>колбасит сама на свой вкус.Это я сделал, вообще довольно логично выход то только для одного хоста
>2. С inside и outside уберите ip virtual-reassembly - на практике у
>меня из за неё 871 часто подвисали забивалась память и проц
>загружен был.так?
!
interface Vlan1
description local.network
ip address 192.168.2.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
!
interface Vlan2
description sovintel.internet
ip address 80.255.139.201 255.255.255.252
ip nat outside
no ip virtual-reassembly
!
>3. Обязательно отпишитесь :) помогло или нетНеа... я пока пошел распечатывать еще одну испытаю в серверной на каком нибудь белом IP *скрестил пальцы*
ps а скажи именно с моей моделью не встречались? CISCO877-K9
pps а может выставить >ip nat translation timeout 300 >ip nat translation tcp-timeout 600 ???
Не успел я сделать задуманное как мне стали жаловаться что сеть жутко тормозит, подцепиться я просто не смог т.к. после ввода пароль и баннера все висло. послал я добровольца в серверную перегрузить циску как после этого все заработало!!!!!!!!!!!!!!!!!
т.е. теперь
krasnoyarsk#sh proc cpu hiskrasnoyarsk 10:00:27 PM Friday Mar 1 2002 UTC
555555333332222222222222222222222222222223333322222222222222
100
90
80
70
60
50
40
30
20
10 ******
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
CPU% per second (last 60 seconds)
1 111111 114551 11 5 1 11111111 1118
098012223899026731901995889818985068888884414333473449
100
90 *
80 *
70 *
60 * * *
50 *** * *
40 *** * *
30 *** * *
20 *** * *
10 *****####*##**###*#****#**** ************###########*#
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
CPU% per minute (last 60 minutes)
* = maximum CPU% # = average CPU%
100
90
80
70
60
50
40
30
20
10
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
0 5 0 5 0 5 0 5 0 5 0 5 0
CPU% per hour (last 72 hours)
* = maximum CPU% # = average CPU%процесс скачивания альбома какого то попсового певца из инета... никакой загрузки причем конфиг на ней старый (см выше)
Уважаемые может кто подскажет что это было?
>[оверквотинг удален]
>топологии сети и растущим количеством удаленных офисов.
>Купили для теста cisco877-k9, после настроек и пробросов туннелей, в работе выяснилось
>что при выходе пользователей в инет через нат загрузка ЦП становится
>на 100 %, при условии что выходит только один хост (прокся),
>советы в стиле ip nat translation max-entries all-hosts я сделал но
>эффекта просто ноль... Вопрос в следующем это у всей серии
>такое? Или есть хитрость в настройках которую мне не удалось найти
>у гугля, возможно это просто особенность одной такой что то вроде
>брака... ??? Подскажите кто работал с этой моделью. Вопрос важный, покупать
>их дальше? Или поискать другого вендора...Подробней, что за сеть, сколько хостов, тунелей и т.д. Каков трафик, при котором она уходит в 100? Нат динамический с overload?
>[оверквотинг удален]
>>на 100 %, при условии что выходит только один хост (прокся),
>>советы в стиле ip nat translation max-entries all-hosts я сделал но
>>эффекта просто ноль... Вопрос в следующем это у всей серии
>>такое? Или есть хитрость в настройках которую мне не удалось найти
>>у гугля, возможно это просто особенность одной такой что то вроде
>>брака... ??? Подскажите кто работал с этой моделью. Вопрос важный, покупать
>>их дальше? Или поискать другого вендора...
>
>Подробней, что за сеть, сколько хостов, тунелей и т.д. Каков трафик, при
>котором она уходит в 100? Нат динамический с overload?сеть пока маленькая, всего 5 хостов + IPGW АТС. туннель пока один. трафик любой, если выходит хотя бы один пользователь в инет через нат (ip nat inside source list 22 interface Vlan2 overload) загрузка цп на 100%
>[оверквотинг удален]
>>на 100 %, при условии что выходит только один хост (прокся),
>>советы в стиле ip nat translation max-entries all-hosts я сделал но
>>эффекта просто ноль... Вопрос в следующем это у всей серии
>>такое? Или есть хитрость в настройках которую мне не удалось найти
>>у гугля, возможно это просто особенность одной такой что то вроде
>>брака... ??? Подскажите кто работал с этой моделью. Вопрос важный, покупать
>>их дальше? Или поискать другого вендора...
>
>Подробней, что за сеть, сколько хостов, тунелей и т.д. Каков трафик, при
>котором она уходит в 100? Нат динамический с overload?99 9999998799899 2
988878886868333885466891992277656985587888748888888899588888
100 **** **
90 ** *#***** *****
80 ** *#*********#*
70 ** *#**##*****#*
60 ** ##**##*****##
50 ** ##**##*****##
40 *# ##*####****##
30 *# ##*####*#**## *
20 ## #######*##*## *
10 ************ ##***#############************ ****************
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
CPU% per minute (last 60 minutes)
* = maximum CPU% # = average CPU%
вот как так??? всего один пользователь сидел в интернет просто открыв www.yandex.ru...
>[оверквотинг удален]
> 5 0 5
> 0 5
>0 5 0
>
> CPU% per minute (last 60 minutes)
>
> * = maximum CPU% # = average
>CPU%
>вот как так??? всего один пользователь сидел в интернет просто открыв www.yandex.ru...
>Странно что-то, покажите в момент загрузки
sh proc cpu sorted
Вообще странно очень...
Ради интереса можно с mtu поиграться - понизить на входном интерфейсе и компах.
Хотя вряд ли в этом дело..
Странно))
>[оверквотинг удален]
>>
>> CPU% per minute (last 60 minutes)
>>
>> * = maximum CPU% # = average
>>CPU%
>>вот как так??? всего один пользователь сидел в интернет просто открыв www.yandex.ru...
>>
>
>Странно что-то, покажите в момент загрузки
> sh proc cpu sortedмега странно .... (((((
куда делось всё время цпу???krasnoyarsk#sh proc cpu sort
CPU utilization for five seconds: 95%/94%; one minute: 41%; five minutes: 20%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
44 234748 908705 258 0.57% 0.30% 0.20% 0 COLLECT STAT COU
30 8760 182419 48 0.19% 0.05% 0.01% 0 TTY Background
2 48144 36592 1315 0.09% 0.01% 0.00% 0 Load Meter
16 21336 25001 853 0.09% 0.05% 0.04% 0 EEM ED Syslog
86 544 710861 0 0.09% 0.00% 0.00% 0 SSS Feature Time
1 60 232 258 0.00% 0.00% 0.00% 0 Chunk Manager
3 14600 1631 8951 0.00% 1.32% 1.79% 2 SSH Process
4 1469940 79069 18590 0.00% 0.63% 0.73% 0 Check heaps
5 84 115 730 0.00% 0.00% 0.00% 0 Pool Manager
6 0 2 0 0.00% 0.00% 0.00% 0 Timers
7 0 1 0 0.00% 0.00% 0.00% 0 Crash writer
8 272 867 313 0.00% 0.00% 0.00% 0 ARP Input
9 372 190275 1 0.00% 0.00% 0.00% 0 ARP Background
10 4 2 2000 0.00% 0.00% 0.00% 0 ATM Idle Timer
11 0 2 0 0.00% 0.00% 0.00% 0 AAA high-capacit
12 0 1 0 0.00% 0.00% 0.00% 0 AAA_SERVER_DEADT
13 0 1 0 0.00% 0.00% 0.00% 0 Policy Manager
14 0 2 0 0.00% 0.00% 0.00% 0 DDR Timers
15 4 2 2000 0.00% 0.00% 0.00% 0 Entity MIB API
17 72 18549 3 0.00% 0.00% 0.00% 0 HC Counter Timer
18 0 2 0 0.00% 0.00% 0.00% 0 Serial Backgroun
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
19 0 1 0 0.00% 0.00% 0.00% 0 RO Notify Timers
20 0 1 0 0.00% 0.00% 0.00% 0 RMI RM Notify Wa
21 0 2 0 0.00% 0.00% 0.00% 0 SMART
22 116 182865 0 0.00% 0.00% 0.00% 0 GraphIt
23 0 2 0 0.00% 0.00% 0.00% 0 Dialer event
24 0 1 0 0.00% 0.00% 0.00% 0 SERIAL A'detect
25 0 1 0 0.00% 0.00% 0.00% 0 Inode Table Dest
26 0 1 0 0.00% 0.00% 0.00% 0 Critical Bkgnd
27 652 65396 9 0.00% 0.00% 0.00% 0 Net Background
28 0 2 0 0.00% 0.00% 0.00% 0 IDB Work
29 16716 8005 2088 0.00% 0.00% 0.00% 0 Logger
31 784 182887 4 0.00% 0.01% 0.00% 0 Per-Second Jobs
32 4 1527 2 0.00% 0.00% 0.00% 0 DHCPD Timer
33 0 2 0 0.00% 0.00% 0.00% 0 AggMgr Process
34 0 1 0 0.00% 0.00% 0.00% 0 Token Daemon
35 0 2 0 0.00% 0.00% 0.00% 0 LED Timers
36 444 1209799 0 0.00% 0.00% 0.00% 0 WLAN LED Timers
37 0 2 0 0.00% 0.00% 0.00% 0 AUX
38 72 6 12000 0.00% 0.00% 0.00% 0 ESWPPM
39 0 2 0 0.00% 0.00% 0.00% 0 Eswilp Storm Con
40 2788 35986 77 0.00% 0.00% 0.00% 0 Net Input
41 400 36598 10 0.00% 0.00% 0.00% 0 Compute load avg
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
42 49188 3099 15872 0.00% 0.02% 0.00% 0 Per-minute Jobs
43 28 42 666 0.00% 0.00% 0.00% 0 Switch Link Moni
45 8 51 156 0.00% 0.00% 0.00% 0 IGMP Snooping Pr
46 8 53 150 0.00% 0.00% 0.00% 0 IGMP Snooping Re
47 76 182869 0 0.00% 0.00% 0.00% 0 Crypto Device Up
48 0 2 0 0.00% 0.00% 0.00% 0 Multi-ISA Event
49 0 1 0 0.00% 0.00% 0.00% 0 Multi-ISA Cleanu
50 80 11 7272 0.00% 0.00% 0.00% 0 crypto engine pr
51 0 2 0 0.00% 0.00% 0.00% 0 SEC BATCH
52 24 18527 1 0.00% 0.00% 0.00% 0 ATM Periodic
53 0 1 0 0.00% 0.00% 0.00% 0 ATM ARP INPUT
54 0 2 0 0.00% 0.00% 0.00% 0 ATM OAM Input
55 0 2 0 0.00% 0.00% 0.00% 0 ATM OAM TIMER
56 0 5 0 0.00% 0.00% 0.00% 0 LED Timers
57 844 731450 1 0.00% 0.00% 0.00% 0 DSL State Machin
58 0 1 0 0.00% 0.00% 0.00% 0 AC Switch
59 76 182424 0 0.00% 0.00% 0.00% 0 PI MATM Aging Pr
60 0 2 0 0.00% 0.00% 0.00% 0 DTP Protocol
61 0 2 0 0.00% 0.00% 0.00% 0 Dot1x Mgr Proces
62 0 1 0 0.00% 0.00% 0.00% 0 MAB Framework
63 0 1 0 0.00% 0.00% 0.00% 0 EAP Framework
64 92 182425 0 0.00% 0.00% 0.00% 0 linktest
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
65 4 2 2000 0.00% 0.00% 0.00% 0 Dot11 Mgmt & Ass
66 0 2 0 0.00% 0.00% 0.00% 0 Dot11 aaa proces
67 0 3054 0 0.00% 0.00% 0.00% 0 pmkid
68 0 2 0 0.00% 0.00% 0.00% 0 Dot11 auth Dot1x
69 0 1 0 0.00% 0.00% 0.00% 0 Dot11 Mac Auth
70 0 2 0 0.00% 0.00% 0.00% 0 AAA Dictionary R
71 64 930 68 0.00% 0.00% 0.00% 0 AAA Server
72 0 1 0 0.00% 0.00% 0.00% 0 AAA ACCT Proc
73 1232 5629469 0 0.00% 0.00% 0.00% 0 ACCT Periodic Pr
74 24 4 6000 0.00% 0.00% 0.00% 0 EAPoUDP Process
75 0 2 0 0.00% 0.00% 0.00% 0 IP Host Track Pr
77 0 20 0 0.00% 0.00% 0.00% 0 IP ARP Adjacency
78 6420 5629469 1 0.00% 0.00% 0.00% 0 IP ARP Retry Age
79 169556 33504 5060 0.00% 0.17% 0.55% 0 IP Input
80 0 1 0 0.00% 0.00% 0.00% 0 ICMP event handl
81 0 3 0 0.00% 0.00% 0.00% 0 PPP Hooks
83 0 1 0 0.00% 0.00% 0.00% 0 SSS Manager
84 28 24395 1 0.00% 0.00% 0.00% 0 SSS Test Client
85 0 1 0 0.00% 0.00% 0.00% 0 SSS Feature Mana
87 19728 273656 72 0.00% 0.01% 0.00% 0 Spanning Tree
88 0 2 0 0.00% 0.00% 0.00% 0 SSM connection m
89 88 3455 25 0.00% 0.00% 0.00% 0 IP Background
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
90 4 3064 1 0.00% 0.00% 0.00% 0 IP RIB Update
91 0 2 0 0.00% 0.00% 0.00% 0 PPP IP Route
92 0 2 0 0.00% 0.00% 0.00% 0 PPP IPCP
93 0 1 0 0.00% 0.00% 0.00% 0 L2X Data Daemon
94 1036 284688 3 0.00% 0.00% 0.00% 0 CEF process
95 0 2 0 0.00% 0.00% 0.00% 0 Dot1x Supplicant
96 0 2 0 0.00% 0.00% 0.00% 0 Dot1x Supplicant
97 0 2 0 0.00% 0.00% 0.00% 0 Dot1x Supplicant
98 12 16 750 0.00% 0.00% 0.00% 0 L2MM
99 0 1 0 0.00% 0.00% 0.00% 0 MRD
100 20 52 384 0.00% 0.00% 0.00% 0 IGMPSN
101 928 364859 2 0.00% 0.00% 0.00% 0 DHCPD Receive
102 0 1 0 0.00% 0.00% 0.00% 0 SNMP Timers
103 0 2 0 0.00% 0.00% 0.00% 0 ILMI Input
104 0 2 0 0.00% 0.00% 0.00% 0 ILMI Request
105 4 2 2000 0.00% 0.00% 0.00% 0 ILMI Response
106 0 1 0 0.00% 0.00% 0.00% 0 ILMI Timer Proce
107 0 2 0 0.00% 0.00% 0.00% 0 ATM PVC Discover
108 160 355219 0 0.00% 0.00% 0.00% 0 Inspect process
109 0 3059 0 0.00% 0.00% 0.00% 0 DHCPD Database
110 0 611 0 0.00% 0.00% 0.00% 0 Authentication P
111 0 1 0 0.00% 0.00% 0.00% 0 Auth-proxy AAA B
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
112 112 182423 0 0.00% 0.00% 0.00% 0 Socket Timers
113 0 2 0 0.00% 0.00% 0.00% 0 Dialer Forwarder
114 32 3056 10 0.00% 0.00% 0.00% 0 Adj Manager
115 0 3 0 0.00% 0.00% 0.00% 0 Flow Exporter Ti
116 376 10157 37 0.00% 0.00% 0.00% 0 TCP Timer
117 5408 11653 464 0.00% 0.00% 0.00% 0 TCP Protocols
118 68 697 97 0.00% 0.00% 0.00% 0 HTTP CORE
119 0 1 0 0.00% 0.00% 0.00% 0 IP Traceroute
120 248 3052 81 0.00% 0.00% 0.00% 0 IP Cache Ager
121 0 1 0 0.00% 0.00% 0.00% 0 RARP Input
122 56 25381 2 0.00% 0.00% 0.00% 0 Transport Port A
123 0 2 0 0.00% 0.00% 0.00% 0 PPP Bind
124 0 2 0 0.00% 0.00% 0.00% 0 PPP SSS
125 0 1 0 0.00% 0.00% 0.00% 0 MQC Flow Event B
126 0 2 0 0.00% 0.00% 0.00% 0 SCTP Main Proces
127 0 2 0 0.00% 0.00% 0.00% 0 URL filter proc
128 0 1 0 0.00% 0.00% 0.00% 0 VPDN call manage
129 0 1 0 0.00% 0.00% 0.00% 0 Select Timers
130 36 2 18000 0.00% 0.00% 0.00% 0 HTTP Process
131 0 2 0 0.00% 0.00% 0.00% 0 CIFS API Process
132 0 2 0 0.00% 0.00% 0.00% 0 CIFS Proxy Proce
133 0 3 0 0.00% 0.00% 0.00% 0 Crypto HW Proc
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
135 0 2 0 0.00% 0.00% 0.00% 0 ENABLE AAA
136 0 1 0 0.00% 0.00% 0.00% 0 EM Background Pr
137 0 1 0 0.00% 0.00% 0.00% 0 Key chain liveke
138 0 2 0 0.00% 0.00% 0.00% 0 LINE AAA
139 360 2379 151 0.00% 0.00% 0.00% 0 LOCAL AAA
140 0 2 0 0.00% 0.00% 0.00% 0 TPLUS
141 0 2 0 0.00% 0.00% 0.00% 0 AAA Cached Serve
142 0 3 0 0.00% 0.00% 0.00% 0 Crypto WUI
143 0 2 0 0.00% 0.00% 0.00% 0 Crypto Support
144 0 1 0 0.00% 0.00% 0.00% 0 EPM MAIN PROCESS
145 0 1 0 0.00% 0.00% 0.00% 0 Crypto INT
146 0 3 0 0.00% 0.00% 0.00% 0 Crypto IKE Dispa
147 0 3 0 0.00% 0.00% 0.00% 0 Crypto IKMP
148 20 1 20000 0.00% 0.00% 0.00% 0 Crypto IKEv2
149 0 1 0 0.00% 0.00% 0.00% 0 IPSEC manual key
150 116 9153 12 0.00% 0.00% 0.00% 0 IPSEC key engine
151 0 1 0 0.00% 0.00% 0.00% 0 CRYPTO QoS proce
152 0 4 0 0.00% 0.00% 0.00% 0 Crypto ACL
153 0 1 0 0.00% 0.00% 0.00% 0 Crypto PAS Proc
154 0 4 0 0.00% 0.00% 0.00% 0 Crypto CA
155 0 1 0 0.00% 0.00% 0.00% 0 Crypto PKI-CRL
156 0 1 0 0.00% 0.00% 0.00% 0 Crypto SSL
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
157 0 1 0 0.00% 0.00% 0.00% 0 encrypt proc
158 0 2 0 0.00% 0.00% 0.00% 0 Key Proc
159 0 1 0 0.00% 0.00% 0.00% 0 GDOI GM Process
160 0 1 0 0.00% 0.00% 0.00% 0 UNICAST REKEY
161 0 1 0 0.00% 0.00% 0.00% 0 UNICAST REKEY AC
162 100 98415 1 0.00% 0.00% 0.00% 0 PM Callback
163 0 2 0 0.00% 0.00% 0.00% 0 Control-plane ho
164 0 2 0 0.00% 0.00% 0.00% 0 AAA SEND STOP EV
165 0 2 0 0.00% 0.00% 0.00% 0 EEM ED Resource
166 4 3 1333 0.00% 0.00% 0.00% 0 EEM ED Track
167 4 18294 0 0.00% 0.00% 0.00% 0 RMON Recycle Pro
168 4 2 2000 0.00% 0.00% 0.00% 0 RMON Deferred Se
169 0 1 0 0.00% 0.00% 0.00% 0 Syslog Traps
170 0 1 0 0.00% 0.00% 0.00% 0 Crypto cTCP proc
171 16 2 8000 0.00% 0.00% 0.00% 0 VLAN Manager
173 8 34 235 0.00% 0.00% 0.00% 0 EEM Server
174 0 3 0 0.00% 0.00% 0.00% 0 EEM ED CLI
175 0 3 0 0.00% 0.00% 0.00% 0 EEM ED Counter
176 4 3 1333 0.00% 0.00% 0.00% 0 EEM ED Interface
177 0 3 0 0.00% 0.00% 0.00% 0 EEM ED IOSWD
178 0 3 0 0.00% 0.00% 0.00% 0 EEM ED None
179 0 3 0 0.00% 0.00% 0.00% 0 EEM ED OIR
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
180 4 3 1333 0.00% 0.00% 0.00% 0 EEM ED SNMP
181 4 4598 0 0.00% 0.00% 0.00% 0 EEM ED Timer
182 0 2 0 0.00% 0.00% 0.00% 0 EEM Policy Direc
183 1296 337 3845 0.00% 0.00% 0.00% 0 Syslog
184 0 1 0 0.00% 0.00% 0.00% 0 VPDN Test
185 4 6350 0 0.00% 0.00% 0.00% 0 CEF Scanner
188 4 103 38 0.00% 0.00% 0.00% 0 SSH Event handle
189 328328 355295 924 0.00% 0.00% 0.47% 0 IP NAT Ager
190 0 1 0 0.00% 0.00% 0.00% 0 IP NAT WLAN
191 4 184 21 0.00% 0.00% 0.00% 0 IP VFR proc
192 84896 6465 13131 0.00% 0.00% 0.00% 0 crypto sw pk pro
ip nat inside source list 22 pool NATPOOL overload
ip nat Pool NATPOOL 80.255.139.201 80.255.139.201 netmask 255.255.255.252
>[оверквотинг удален]
> 0 0.00%
> 0.00% 0.00% 0 IP NAT WLAN
> 191
>4 184
> 21 0.00% 0.00%
>0.00% 0 IP VFR proc
> 192 84896
> 6465 13131 0.00%
> 0.00% 0.00% 0 crypto sw pk pro
>
Все время цпу ушло на коммутацию.
Ради интереса, сделайте acl asd:
deny tcp any any eq 135
deny tcp any any eq 137
deny tcp any any eq 139
deny udp any any eq 135
deny udp any any eq netbios-ns
deny udp any any eq netbios-ss
и повесть его на vlan1
ip access-group asd in