https://www.opennet.ru/openforum/vsluhforumID6/547.html Есть роутер cisco 2821.<br>Для уменьшения загрузки cpu следую этой статье<br>http://www.opennet.ru/base/cisco/cisco_mem.txt.html<br>Создал пустой route-map<br><br>route-map MAP-GLOBAL permit 10<br><br>Добавил в интерфейс <br>interface GigabitEthernet0/0.3<br> encapsulation dot1Q 3<br> ip address 192.168.3.254 255.255.255.0<br> ip broadcast-address 0.0.0.0<br> ip access-group 101 in<br> ip flow ingress<br> ip flow egress<br> ip nat inside<br> ip virtual-reassembly<br> ip policy route-map MAP-GLOBAL<br><br>Добавляю <br> ip route-cache cef<br> ip route-cache flow<br> ip route-cache policy<br> ip route-cache same-interfaces<br><br>Ни один не добавляется. И если при на первые 3 ругается, то последний предлагает добавить (автодонабором командной строки).<br>Что я делаю не так?<br>1. Создал пустой route-map MAP-GLOBAL permit 10<br>2. Добавил во внутренние интерфейсы (с серыми адресами (т.е. за nat) и с белыми тоже) строку <br> ip policy route-map MAP-GLOBAL<br>3. Добавляю ip route-cache same-interfaces на каждый интерфейс - не добавляется.<br><br>Нужно бы как-то снизи https://www.opennet.ru/openforum/vsluhforumID6/547.html#12 Tue, 19 Feb 2013 15:43:02 GMT &gt;&gt;&gt; Это говорит о том, что большая часть трафика вместо cef-а улетает в <br>&gt;&gt;&gt; процесс.<br>&gt;&gt;&gt; 1. накой ip broadcast 0.0.0.0 на интерфейсах?<br>&gt;&gt; Это я уберу.<br>&gt;&gt;&gt; 2. накой policy-map , которая заруливает на loop0 ?<br>&gt;&gt; Для того, чтобы считать по netflow входящий трафик на NAT клиентов.<br>&gt;&gt;&gt; каждая "нестандартная" фишка выводит трафик из довольно скоростного и ненапряжного cef-а <br>&gt;&gt;&gt; в довольно таки медленный и грузовой process...<br>&gt; Так у вас на каждом интерфейсе netflow висит.... зечем лишний раз напрягать <br>&gt; коммутатор заворачивая траф на лупбек?<br><br>Я не могу обьяснить ситуацию, но только с лупбека считает правильно. Попробую отключить, проверю еще раз.<br> https://www.opennet.ru/openforum/vsluhforumID6/547.html#11 Tue, 19 Feb 2013 11:27:07 GMT &gt;&gt; Это говорит о том, что большая часть трафика вместо cef-а улетает в <br>&gt;&gt; процесс.<br>&gt;&gt; 1. накой ip broadcast 0.0.0.0 на интерфейсах?<br>&gt; Это я уберу.<br>&gt;&gt; 2. накой policy-map , которая заруливает на loop0 ?<br>&gt; Для того, чтобы считать по netflow входящий трафик на NAT клиентов. <br>&gt;&gt; каждая "нестандартная" фишка выводит трафик из довольно скоростного и ненапряжного cef-а <br>&gt;&gt; в довольно таки медленный и грузовой process...<br><br>Так у вас на каждом интерфейсе netflow висит.... зечем лишний раз напрягать коммутатор заворачивая траф на лупбек?<br> https://www.opennet.ru/openforum/vsluhforumID6/547.html#10 Tue, 19 Feb 2013 07:56:18 GMT &gt; Это говорит о том, что большая часть трафика вместо cef-а улетает в <br>&gt; процесс.<br>&gt; 1. накой ip broadcast 0.0.0.0 на интерфейсах?<br><br>Это я уберу.<br>&gt; 2. накой policy-map , которая заруливает на loop0 ?<br><br>Для того, чтобы считать по netflow входящий трафик на NAT клиентов.<br>&gt; каждая "нестандартная" фишка выводит трафик из довольно скоростного и ненапряжного cef-а <br>&gt; в довольно таки медленный и грузовой process... https://www.opennet.ru/openforum/vsluhforumID6/547.html#9 Tue, 19 Feb 2013 06:23:30 GMT &gt;&gt;&gt;&gt; VFR Configuration Restriction <br>&gt;&gt;&gt; Да, и больше всего процессор грузит IP Input <br>&gt;&gt; Не удивительно. 83 сабинтерфейса. Может быть вынести сабинтерфейсы на коммутатор L3, а <br>&gt;&gt; для С2821 оставить только NAT и Netflow?<br>&gt; реально работающих сабинтерфейсов 20 штук. Остальные - раз в неделю проверяют почту. <br>&gt; Думаю, не в этом проблема. Но в чем - сказать не могу. <br>&gt; Да и 10 мегабит - не такой уж и трафик.<br><br>Это говорит о том, что большая часть трафика вместо cef-а улетает в процесс.<br>1. накой ip broadcast 0.0.0.0 на интерфейсах?<br>2. накой policy-map , которая заруливает на loop0 ?<br><br>каждая "нестандартная" фишка выводит трафик из довольно скоростного и ненапряжного cef-а в довольно таки медленный и грузовой process...<br> https://www.opennet.ru/openforum/vsluhforumID6/547.html#8 Tue, 19 Feb 2013 06:08:44 GMT &gt;&gt;&gt; VFR Configuration Restriction <br>&gt;&gt; Да, и больше всего процессор грузит IP Input <br>&gt; Не удивительно. 83 сабинтерфейса. Может быть вынести сабинтерфейсы на коммутатор L3, а <br>&gt; для С2821 оставить только NAT и Netflow?<br><br>реально работающих сабинтерфейсов 20 штук. Остальные - раз в неделю проверяют почту.<br>Думаю, не в этом проблема. Но в чем - сказать не могу. Да и 10 мегабит - не такой уж и трафик.<br> https://www.opennet.ru/openforum/vsluhforumID6/547.html#7 Tue, 19 Feb 2013 04:34:58 GMT <br>&gt;&gt; VFR Configuration Restriction <br>&gt; Да, и больше всего процессор грузит IP Input <br><br>Не удивительно. 83 сабинтерфейса. Может быть вынести сабинтерфейсы на коммутатор L3, а для С2821 оставить только NAT и Netflow?<br> https://www.opennet.ru/openforum/vsluhforumID6/547.html#6 Mon, 18 Feb 2013 17:02:06 GMT <br><br>&gt; VFR Configuration Restriction <br><br>Да, и больше всего процессор грузит IP Input<br> https://www.opennet.ru/openforum/vsluhforumID6/547.html#5 Mon, 18 Feb 2013 16:17:55 GMT <br>&gt; Не ясен смысл 101 АЦЛ-а...<br>&gt; access-list 101 permit ip any any <br><br>Этот acl подгружается по snmp с сервера, где формирует доступ для пользователей сторонняя программа. В настоящий момент он пустой, но будет в ближайшее время задействован.<br>По поводу ip virtual-reassembly сниму и попробую посмотреть - что получится.<br> https://www.opennet.ru/openforum/vsluhforumID6/547.html#4 Mon, 18 Feb 2013 14:10:18 GMT &gt;[оверквотинг удален]<br>&gt; login local <br>&gt; history size 100 <br>&gt; line vty 5 15 <br>&gt; logging synchronous <br>&gt; login local <br>&gt; history size 100 <br>&gt; !<br>&gt; scheduler allocate 20000 1000 <br>&gt; !<br>&gt; end <br><br>И по поводу ip virtual-reassembly<br><br> Performance Impact<br><br>VFR will cause a performance impact on the basis of functions such as packet copying, fragment validation, and fragment reorder. This performance impact will vary depending on the number of concurrent IP datagram that are being reassembled.<br><br>VFR Configuration Restriction<br><br>VFR should not be enabled on a router that is placed on an asymmetric path. The reassembly process requires all of the fragments within an IP datagram. Routers placed in the asymmetric path may not receive all of the fragments, so the fragment reassembly will fail. <br>