есть 3570
на ней минимальная конфигурация, всего 3 влана
никаких ACL, pbr и т.п.
работает OSPF, получает десяток маршрутов.
при незначительной нагрузке потребляет проц более, чем на 50%
сейчас это выглядит так:
#sh proc cpu sort
CPU utilization for five seconds: 30%/8%; one minute: 33%; five minutes: 33%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
190 14255821 20359724 700 16.77% 19.80% 20.00% 0 IP Inputпрочитал всё что есть в инете по этому поводу, ничего применимо к моему случаю.
на всех вланах:
no ip redirects
no ip unreachables
no ip proxy-arpединственная зацепка в статистике по трафику
есть немного unknown protocol и чуток 51689 with options
всё оно идет через CPU.. цифры набежали эти за сутки.. мне кажется это маловато, чтобы так хавать процессор.
#sh ip traff
IP statistics:
Rcvd: 90426179 total, 90332871 local destination
9 format errors, 0 checksum errors, 52938 bad hop count
142941 unknown protocol, 2739 not a gateway
0 security failures, 0 bad options, 51689 with options
Opts: 0 end, 0 nop, 0 basic security, 0 loose source route
0 timestamp, 0 extended security, 0 record route
0 stream ID, 0 strict source route, 51689 alert, 0 cipso, 0 ump
0 other
Frags: 15 reassembled, 0 timeouts, 0 couldn't reassemble
0 fragmented, 0 couldn't fragment
Bcast: 338842 received, 357 sent
Mcast: 18229 received, 17392 sent
Sent: 1482353 generated, 131799866 forwarded
Drop: 27 encapsulation failed, 0 unresolved, 3 no adjacency
37 no route, 0 unicast RPF, 0 forced drop
0 options denied, 0 source IP address zeroICMP statistics:
Rcvd: 0 format errors, 0 checksum errors, 0 redirects, 44 unreachable
86 echo, 18 echo reply, 0 mask requests, 0 mask replies, 0 quench
0 parameter, 0 timestamp, 0 info request, 0 other
0 irdp solicitations, 0 irdp advertisements
Sent: 18474 redirects, 377400 unreachable, 30 echo, 86 echo reply
0 mask requests, 0 mask replies, 0 quench, 0 timestamp
0 info reply, 55 time exceeded, 0 parameter problem
0 irdp solicitations, 0 irdp advertisementsTCP statistics:
Rcvd: 1043918 total, 0 checksum errors, 8 no port
Sent: 1040288 totalUDP statistics:
Rcvd: 89127600 total, 0 checksum errors, 88967268 no port
Sent: 28616 total, 118943 forwarded broadcastsPIMv2 statistics: Sent/Received
Total: 0/0, 0 checksum errors, 0 format errors
Registers: 0/0 (0 non-rp, 0 non-sm-group), Register Stops: 0/0, Hellos: 0/0
Join/Prunes: 0/0, Asserts: 0/0, grafts: 0/0
Bootstraps: 0/0, Candidate_RP_Advertisements: 0/0
State-Refresh: 0/0IGMP statistics: Sent/Received
Total: 0/0, Format errors: 0/0, Checksum errors: 0/0
Host Queries: 0/0, Host Reports: 0/0, Host Leaves: 0/0
DVMRP: 0/0, PIM: 0/0BGP statistics:
Rcvd: 0 total, 0 opens, 0 notifications, 0 updates
0 keepalives, 0 route-refresh, 0 unrecognized
Sent: 0 total, 0 opens, 0 notifications, 0 updates
0 keepalives, 0 route-refreshEIGRP-IPv4 statistics:
Rcvd: 0 total
Sent: 0 total#show platform ip unicast statistics
Global Stats:
HWFwdLoc:100427668 HWFwdSec:31480938 UnRes:0 UnSup:0 NoAdj:3
EncapFail:0 CPUAdj:91324484 Null:0 Drop:0Prev Global Stats:
HWFwdLoc:100427668 HWFwdSec:31480938 UnRes:0 UnSup:0 NoAdj:3
EncapFail:0 CPUAdj:91324484 Null:0 Drop:0
тут видно, что какойто траф все время идет через CPU, но понять что не могу#sh ver
Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(46)SE, RELEASE SOFTWARE (fc2)#sh platform tcam utilization
CAM Utilization for ASIC# 0 Max Used
Masks/Values Masks/valuesUnicast mac addresses: 784/6272 42/259
IPv4 IGMP groups + multicast routes: 144/1152 7/30
IPv4 unicast directly-connected routes: 784/6272 42/259
IPv4 unicast indirectly-connected routes: 272/2176 16/67
IPv4 policy based routing aces: 0/0 0/0
IPv4 qos aces: 768/768 260/260
IPv4 security aces: 1024/1024 27/27Note: Allocation of TCAM entries per feature uses
a complex algorithm. The above information is meant
to provide an abstract view of the current TCAM utilization
#sh sdm prefer
The current template is "desktop default" template.TCAM не переполнен
CEF работает
есть ещё 2шт 3750 в стеке в другой сети, никаких проблем. целый год нагрузка на процессор 5%
>[оверквотинг удален]
> 27/27
> Note: Allocation of TCAM entries per feature uses
> a complex algorithm. The above information is meant
> to provide an abstract view of the current TCAM utilization
> #sh sdm prefer
> The current template is "desktop default" template.
> TCAM не переполнен
> CEF работает
> есть ещё 2шт 3750 в стеке в другой сети, никаких проблем. целый
> год нагрузка на процессор 5%700 16.77% 19.80% 20.00% 0 IP
> Input это есть ненормальнопроснифайте сеть, что-то от кого то летит, что заставляет 3750 слишком много думать )
возможно бродкасты или еще какой-нибудь мусор
>[оверквотинг удален]
>> The current template is "desktop default" template.
>> TCAM не переполнен
>> CEF работает
>> есть ещё 2шт 3750 в стеке в другой сети, никаких проблем. целый
>> год нагрузка на процессор 5%
> 700 16.77% 19.80% 20.00% 0 IP
>> Input это есть ненормально
> проснифайте сеть, что-то от кого то летит, что заставляет 3750 слишком много
> думать )
> возможно бродкасты или еще какой-нибудь мусорСпасибо, всё так и есть.
нашел порт, на котором была аномалия.
суть её в том, что одна машина в сети пуляла на адерс циско очень много трафика на 514 порт (syslog)
сзеркалировав порт я поснифал траф и увидел эту беду
12:13:59.329731 IP 172.31.16.2.1619 > 192.168.56.1.514: SYSLOG kernel.info, length: 179
12:13:59.329746 IP 172.31.16.2.1619 > 192.168.56.1.514: SYSLOG kernel.info, length: 174