Подскажите, в чём может быть проблема.
Маршрутизатор по команде show proc cpu показывает загрузку процессора до 95%, при этом большая часть занята прерываниями. Выглядит это примерно так:
CPU utilization for five seconds: 80%/74%; one minute: 68%; five minutes: 64%Трафик есть, но не такой большой, на какой мы рассчитывали. То есть сетевые приложения работают не так быстро, как нам бы хотелось. Всё-таки Cisco 2811. А средняя скорость судя по Netflow Analizer составляет только ок. 9 мегабит суммарно (in/out). И больше не растёт, потому как упирается в загрузку процессора прерываниями. Трафик у нас в основном VPN. Предельную загрузку показывает центральная циска, на которой стоят сервера. Клиенты находятся в двух других локациях. Там тоже Cisco2811, которые показывают загрузку процессора в сумме ровно такую же, как и на одной центральной циске. И тоже в основном за счёт прерываний (interrupts). То есть если на центральной
CPU utilization for five seconds: 82%/81%; one minute: 78%; five minutes: 75%
то на периферийных
CPU utilization for five seconds: 48%/47%; one minute: 40%; five minutes: 42%
CPU utilization for five seconds: 32%/24%; one minute: 33%; five minutes: 29%IOS везде одинаковый 2800 Software (C2800NM-ADVSECURITYK9-M), Version 12.4(15)T7, RELEASE SOFTWARE (fc3)
Приведу также частичный конфиг центральной циски
crypto isakmp policy 100
encr aes
authentication pre-share
group 2
crypto isakmp policy 120
authentication pre-sharecrypto isakmp key p@ssword address 0.0.0.0 0.0.0.0
crypto ipsec transform-set VPN esp-aes esp-sha-hmac
crypto map S2S-MAP 130 ipsec-isakmp
description Tunnel to Extreme
set peer <peer address1>
set transform-set VPN
match address S2S-VPN_Larek-Extreme_Traffic
crypto map S2S-MAP 140 ipsec-isakmp
description Tunnel to Shodnya
set peer <peer address2>
set transform-set VPN
match address S2S-VPN_Larek-Shodnya_Trafficinterface FastEthernet0/0
description Internal Larek
ip address 172.20.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description External Telekor
ip address <IPADDRESS> 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map S2S-MAPip nat source static tcp 172.20.0.1 1521 <IPADDRESS> 1521 extendable
ip nat inside source route-map Telekor interface FastEthernet0/1 overload
ip nat inside source static tcp 172.20.0.1 1521 <IPADDRESS> 1521 extendable
ip nat inside source static tcp 172.20.0.1 3389 <IPADDRESS> 2115 extendable
ip nat inside source static tcp 172.20.0.10 3389 <IPADDRESS> 2117 extendable
ip nat inside source static tcp 172.20.0.3 3389 <IPADDRESS> 3389 extendableip access-list extended RMAP_Access_List
remark Access List for route map
deny ip 172.20.0.0 0.0.0.255 172.17.0.0 0.0.255.255
deny ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.31.255
permit tcp host 172.20.0.1 host <...> eq 1521
permit tcp host 172.20.0.1 host <...> eq pop3
permit tcp host 172.20.0.1 host <...> eq smtp
permit tcp host 172.20.0.3 host <...> eq www
permit tcp 172.20.0.0 0.0.0.255 host <...> eq 1688
permit tcp host 172.20.0.15 any eq smtp
permit tcp host 172.20.0.2 host <...> eq domain
permit udp host 172.20.0.2 host <...> eq domain
permit tcp host 172.20.0.2 host <...> eq domain
permit udp host 172.20.0.2 host <...> eq domain
ip access-list extended S2S-VPN_Larek-Extreme_Traffic
permit ip 172.20.0.0 0.0.0.255 192.168.0.0 0.0.0.255
ip access-list extended S2S-VPN_Larek-Shodnya_Traffic
permit ip 172.20.0.0 0.0.0.255 172.17.0.0 0.0.255.255route-map Telekor permit 1
match ip address RMAP_Access_List
С конфигурацией-то вроде всё нормально. Всё работает, что настроено. Проверять её не надо. Это я на всякий случай выложил, если вдруг там будет информация, дополняющая картину.Также может показаться интересной статистика трафика за последний час:
Last Hour Report
Category Total Max Min Avg 95th Percentile
IN 3.05 GB 87.71 Mbps 432.97 Kbps 6.67 Mbps 24.68 Mbps
OUT 1.67 GB 33.61 Mbps 76.15 Kbps 3.65 Mbps 25.58 MbpsКак только заканчивается рабочий день, прекращается и трафик, и загрузка процессора.
Жду ваших советов, как установить конкретную причину имеющейся проблемы и устранить её. Может ли это быть вирус, который шлёт такой неприятный для циски трафик. Или же это баг IOS. Как определить?
Спасибо.
ip cef надо добавить в конфиг.
>ip cef надо добавить в конфиг.ip cef есть, я просто не весь конфиг постил
А средняя скорость судя по Netflow Analizer составляет только
>ок. 9 мегабит суммарно (in/out). И больше не растёт, потому как
>упирается в загрузку процессора прерываниями.
>Также может показаться интересной статистика трафика за последний час:
>Last Hour ReportЭто откуда статистика?
>Category Total Max Min Avg 95th Percentile
>
> IN 3.05 GB 87.71 Mbps 432.97 Kbps 6.67 Mbps 24.68 Mbps
>
> OUT 1.67 GB 33.61 Mbps 76.15 Kbps 3.65 Mbps 25.58 MbpsТак вот, 2811 переваривает, вроде, мегабит 70-90.....Не могу найти таблицу...
покажите
sh ip traffic
>покажите
>sh ip trafficLarek#sh ip traffic
IP statistics:
Rcvd: 206005698 total, 127251 local destination
0 format errors, 139 checksum errors, 0 bad hop count
11 unknown protocol, 0 not a gateway
0 security failures, 0 bad options, 0 with options
Opts: 0 end, 0 nop, 0 basic security, 0 loose source route
0 timestamp, 0 extended security, 0 record route
0 stream ID, 0 strict source route, 0 alert, 0 cipso, 0 ump
0 other
Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble
5 fragmented, 10 fragments, 0 couldn't fragment
Bcast: 86585 received, 0 sent
Mcast: 0 received, 15556 sent
Sent: 48272 generated, 80929384 forwarded
Drop: 9810 encapsulation failed, 0 unresolved, 0 no adjacency
86 no route, 38 unicast RPF, 0 forced drop
0 options denied
Drop: 0 packets with source IP address zero
Drop: 0 packets with internal loop back IP address
1 physical broadcastICMP statistics:
Rcvd: 0 format errors, 0 checksum errors, 0 redirects, 0 unreachable
32414 echo, 0 echo reply, 0 mask requests, 0 mask replies, 0 quench
0 parameter, 0 timestamp, 0 timestamp replies, 0 info request, 0 other
0 irdp solicitations, 0 irdp advertisements
Sent: 0 redirects, 0 unreachable, 5 echo, 32414 echo reply
0 mask requests, 0 mask replies, 0 quench, 0 timestamp, 0 timestamp replies
0 info reply, 0 time exceeded, 0 parameter problem
0 irdp solicitations, 0 irdp advertisementsTCP statistics:
Rcvd: 7942 total, 54 checksum errors, 29 no port
Sent: 7920 totalBGP statistics:
Rcvd: 0 total, 0 opens, 0 notifications, 0 updates
0 keepalives, 0 route-refresh, 0 unrecognized
Sent: 0 total, 0 opens, 0 notifications, 0 updates
0 keepalives, 0 route-refreshIP-EIGRP statistics:
Rcvd: 0 total
Sent: 0 totalPIMv2 statistics: Sent/Received
Total: 0/0, 0 checksum errors, 0 format errors
Registers: 0/0 (0 non-rp, 0 non-sm-group), Register Stops: 0/0, Hellos: 0/0
Join/Prunes: 0/0, Asserts: 0/0, grafts: 0/0
Bootstraps: 0/0, Candidate_RP_Advertisements: 0/0
Queue drops: 0
State-Refresh: 0/0IGMP statistics: Sent/Received
Total: 0/0, Format errors: 0/0, Checksum errors: 0/0
Host Queries: 0/0, Host Reports: 0/0, Host Leaves: 0/0
DVMRP: 0/0, PIM: 0/0
Queue drops: 0UDP statistics:
Rcvd: 86832 total, 0 checksum errors, 33795 no port
Sent: 163 total, 0 forwarded broadcastsOSPF statistics:
Rcvd: 0 total, 0 checksum errors
0 hello, 0 database desc, 0 link state req
0 link state updates, 0 link state acksSent: 7778 total
15556 hello, 0 database desc, 0 link state req
0 link state updates, 0 link state acksARP statistics:
Rcvd: 461694 requests, 30 replies, 322 reverse, 0 other
Sent: 1206 requests, 5988 replies (0 proxy), 0 reverse
Drop due to input queue full: 0