forum.opennet.ru

Составление сообщения

Исходное сообщение

"cisco 2911 загрузка процессора"
Отправлено shwedd, 10-Янв-18 14:20

Хочется понять, какова предельная нагрузка на маршрутизатор 2911.
В моем случае не считаю, что сетевая нагрузка какая-то дикая, но тем не менее, CPU периодически вешается.
Подробнее.
Сеть построена примерно так:
CISCO 2911 – nat, acl, маршрутизация между vlan, ipsec/gre туннели.
CISCO 2960X – центральный коммутатор, в который втыкаются коммутаторы уровня доступа.
Конечно, в идеале, я бы маршрутизацию между vlan настроил на центральном коммутаторе, не загружая этим маршрутизатор, ответственный за выход в интернет.
Но 2960X хоть и умеет работать на уровне L3, но в редакции ip-lite, у меня же lan-base:
#show license
Index 1 Feature: lanlite
        Period left: 0  minute  0  second
Index 2 Feature: lanbase
        Period left: Life time
        License Type: Permanent
        License State: Active, In Use
        License Priority: Medium
        License Count: Non-Counted
Да и даже в ip-lite количество маршрутизируемых vlan, насколько я помню, не более 16. Но это не точно, надо смотреть.
Количество имеющихся сейчас vlan – порядка 20. В перспективе будет больше.
В целом, 2960X загружена не сильно.
А вот 2911 периодически проседает. Нагрузка на процессор в такие моменты становится примерно такой:
#sho proc cpu sort
CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
173   487432236   311190728       1566  1.27%  1.38%  1.47%   0 IP Input
298      403124        7244      55649  0.79%  0.06%  0.01%   0 NIST rng proc
195     8230908  1051460881          7  0.31%  0.31%  0.31%   0 Ethernet Msec Ti
413    19792556   103308426        191  0.31%  0.23%  0.23%   0 IP RACL Ager
   2     1625124     1738063        935  0.15%  0.08%  0.08%   0 Load Meter
248    12952456    47841351        270  0.15%  0.11%  0.10%   0 ADJ resolve proc
Видно, что основная нагрузка на процессор – это прерывания.
Что подтверждается, если отключить nat – нагрузка сразу падает примерно до 50%/45%.
При этом у меня большинство узлов в сети ограничено количеством 300 nat-трансляций.
Среднее значение на маршрутизаторе – от 4000 до 8000 трансляций.
ACL активно не используется. Только на входящем из интернета интерфейсе висит более-менее большой список. Но и то, пара десятков строк примерно. В планах – переход на ZBF.
В итоге, страдает взаимодействие между подсетями. При обращении от узлов в одном офисе к серверам в центральном – тупит. Пинги ходят бешеные даже до адреса маршрутизатора в своем же vlan.
Я не знаю, может надо тюнинговать дальше маршрутизатор, все же у нас не такие большие значения по сетевой загрузке.
Также настроено два ipsec/gre туннеля.
В планах – соединить туннелями все наши региональные отделения.
Это порядка 15-20 туннелей.
Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование процессор задействует.
Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между подсетями, отдельно под туннели.
Но это все весьма накладно.
Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или нет?
Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

Исходное сообщение
"cisco 2911 загрузка процессора" Отправлено shwedd, 10-Янв-18 14:20
Хочется понять, какова предельная нагрузка на маршрутизатор 2911. В моем случае не считаю, что сетевая нагрузка какая-то дикая, но тем не менее, CPU периодически вешается. Подробнее. Сеть построена примерно так: CISCO 2911 – nat, acl, маршрутизация между vlan, ipsec/gre туннели. CISCO 2960X – центральный коммутатор, в который втыкаются коммутаторы уровня доступа. Конечно, в идеале, я бы маршрутизацию между vlan настроил на центральном коммутаторе, не загружая этим маршрутизатор, ответственный за выход в интернет. Но 2960X хоть и умеет работать на уровне L3, но в редакции ip-lite, у меня же lan-base: #show license Index 1 Feature: lanlite Period left: 0 minute 0 second Index 2 Feature: lanbase Period left: Life time License Type: Permanent License State: Active, In Use License Priority: Medium License Count: Non-Counted Да и даже в ip-lite количество маршрутизируемых vlan, насколько я помню, не более 16. Но это не точно, надо смотреть. Количество имеющихся сейчас vlan – порядка 20. В перспективе будет больше. В целом, 2960X загружена не сильно. А вот 2911 периодически проседает. Нагрузка на процессор в такие моменты становится примерно такой: #sho proc cpu sort CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 173 487432236 311190728 1566 1.27% 1.38% 1.47% 0 IP Input 298 403124 7244 55649 0.79% 0.06% 0.01% 0 NIST rng proc 195 8230908 1051460881 7 0.31% 0.31% 0.31% 0 Ethernet Msec Ti 413 19792556 103308426 191 0.31% 0.23% 0.23% 0 IP RACL Ager 2 1625124 1738063 935 0.15% 0.08% 0.08% 0 Load Meter 248 12952456 47841351 270 0.15% 0.11% 0.10% 0 ADJ resolve proc Видно, что основная нагрузка на процессор – это прерывания. Что подтверждается, если отключить nat – нагрузка сразу падает примерно до 50%/45%. При этом у меня большинство узлов в сети ограничено количеством 300 nat-трансляций. Среднее значение на маршрутизаторе – от 4000 до 8000 трансляций. ACL активно не используется. Только на входящем из интернета интерфейсе висит более-менее большой список. Но и то, пара десятков строк примерно. В планах – переход на ZBF. В итоге, страдает взаимодействие между подсетями. При обращении от узлов в одном офисе к серверам в центральном – тупит. Пинги ходят бешеные даже до адреса маршрутизатора в своем же vlan. Я не знаю, может надо тюнинговать дальше маршрутизатор, все же у нас не такие большие значения по сетевой загрузке. Также настроено два ipsec/gre туннеля. В планах – соединить туннелями все наши региональные отделения. Это порядка 15-20 туннелей. Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование процессор задействует. Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между подсетями, отдельно под туннели. Но это все весьма накладно. Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или нет? Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Хочется понять, какова предельная нагрузка на маршрутизатор 2911.
> В моем случае не считаю, что сетевая нагрузка какая-то дикая, но тем 
> не менее, CPU периодически вешается.
> Подробнее.
> Сеть построена примерно так: 
> CISCO 2911 – nat, acl, маршрутизация между vlan, ipsec/gre туннели.
> CISCO 2960X – центральный коммутатор, в который втыкаются коммутаторы уровня доступа. 
 
> Конечно, в идеале, я бы маршрутизацию между vlan настроил на центральном коммутаторе, 
> не загружая этим маршрутизатор, ответственный за выход в интернет.
> Но 2960X хоть и умеет работать на уровне L3, но в редакции 
> ip-lite, у меня же lan-base: 
> #show license 
> Index 1 Feature: lanlite 
>         Period left: 0  
> minute  0  second 
> Index 2 Feature: lanbase 
>         Period left: Life time 
 
>         License Type: Permanent 
>         License State: Active, In 
> Use 
>         License Priority: Medium 
>         License Count: Non-Counted 
> Да и даже в ip-lite количество маршрутизируемых vlan, насколько я помню, не 
> более 16. Но это не точно, надо смотреть.
> Количество имеющихся сейчас vlan – порядка 20. В перспективе будет больше.
> В целом, 2960X загружена не сильно.
> А вот 2911 периодически проседает. Нагрузка на процессор в такие моменты становится 
> примерно такой: 
> #sho proc cpu sort 
> CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90% 
 
> PID Runtime(ms)     Invoked      
> uSecs   5Sec   1Min   5Min TTY 
> Process 
> 173   487432236   311190728      
>  1566  1.27%  1.38%  1.47%   0 
> IP Input 
> 298      403124      
>   7244      55649  0.79% 
>  0.06%  0.01%   0 NIST rng proc 
> 195     8230908  1051460881     
>      7  0.31%  0.31%  
> 0.31%   0 Ethernet Msec Ti 
> 413    19792556   103308426     
>    191  0.31%  0.23%  0.23%  
>  0 IP RACL Ager 
>    2     1625124    
>  1738063        935  
> 0.15%  0.08%  0.08%   0 Load Meter 
> 248    12952456    47841351    
>     270  0.15%  0.11%  0.10% 
>   0 ADJ resolve proc

> Видно, что основная нагрузка на процессор – это прерывания.
> Что подтверждается, если отключить nat – нагрузка сразу падает примерно до 50%/45%. 
 
> При этом у меня большинство узлов в сети ограничено количеством 300 nat-трансляций. 
 
> Среднее значение на маршрутизаторе – от 4000 до 8000 трансляций.
> ACL активно не используется. Только на входящем из интернета интерфейсе висит более-менее 
> большой список. Но и то, пара десятков строк примерно. В планах 
> – переход на ZBF.
> В итоге, страдает взаимодействие между подсетями. При обращении от узлов в одном 
> офисе к серверам в центральном – тупит. Пинги ходят бешеные даже 
> до адреса маршрутизатора в своем же vlan.
> Я не знаю, может надо тюнинговать дальше маршрутизатор, все же у нас 
> не такие большие значения по сетевой загрузке.
> Также настроено два ipsec/gre туннеля.
> В планах – соединить туннелями все наши региональные отделения.
> Это порядка 15-20 туннелей.
> Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование 
> процессор задействует.
> Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между 
> подсетями, отдельно под туннели.
> Но это все весьма накладно.
> Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или 
> нет?
> Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру