Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Cisco Employee

Спросить эксперта: "Средства траблшутинга предачи трафика на ASR1k и ISR4400"

с Олегом Типисовым

 

Read the bio

Во время сессии "Спросить Эксперта" инженер Cisco TAC Олег Типисов ответит на вопросы  об особенностях аппаратной архитектуры платформ ASR1k и ISR4400/ISR4300 и диагностических средствах IOS-XE, используемых для траблшутинга передачи трафика.

 

Олег Типисов работает с различными решениями и продуктами Cisco в области безопасности, такими как межсетевые экраны Cisco PIX и Cisco ASA, системы обнаружения атак IPS 4200, виртуальные частные сети (VPN), построенные с использованием маршрутизаторов Cisco и Cisco ASA, на протяжении более чем десяти лет и с продуктами Cisco в целом - более тринадцати лет. В течение последних пяти лет он является инженером Cisco TAC и занимается поддержкой российских и зарубежных клиентов. Олег имеет сертификацию CCIE #18059 по направлению маршрутизация и коммутация (RS), а также является сертифицированным инструктором Cisco (CCSI).

 

Пожалуйста, не забывайте оценивать ответы Олега, чтобы он знал, что Вы получили совет, который Вам помог. Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия продлится до 8 мая.

 

Хотите узнать больше информации об этом событии?

 

      Contest-green-button-russian.jpg    

12 ОТВЕТ.
Community Member

Здравствуйте!Есть у нас

Здравствуйте!

Есть у нас ASR1004 RP2, используется в качестве BRAS.

Внутри IOS загрузка CPU 50-60% (командой sh proc cpu)

Причем около 20% загрузки - это процесс AAA Per-User. От версии софта загрузка AAA Per-User не зависит, пробовали разные, везде примерно одинаково (текущая версия 13.1).

Судя по дебагу (debug aaa per-user) под этот процесс попадают только per-user ACL, которые мы навешиваем из радиуса.

TCAM почти пустой за счет использования template ACL:

Total tcam used cell entries        : 4982
Total tcam free cell entries        : 519306

Причем есть еще Cisco 10008. На ней AAA per-user меньше 1%, кол-во абонентов на железках примерно одинаковое, до 19К.

Что можно предпринять для уменьшения загрузки CPU этим процессом? 

Спасибо.

Cisco Employee

Добрый день,

Добрый день,

Я посмотрел по кейсам и не вижу, чтобы были какие-то жалобы на то, что именно на платформе ASR1k этот процесс вызывает высокую нагрузку. Есть кейсы про C10K, где загрузка доходила до 20%.

Процесс AAA Per-User действительно отвечает за применение ACL, "debug aaa per-user" должен показывать, что он делает.

Как это связано с использованием template ACLs - сказать трудно. Программный код для поддержки template ACLs на ASR1k совершенно другой, по ср. с C10K. Насколько я понял из внутренней документации, за преобразование RADIUS ACL в "template ACL" отвечает IOSd shim layer, т.е. именно он "определяет похожесть" пользовательских ACL, а это операция ресурсоемкая. К сожалению, на уровне процессов IOS не расписано, кто что делает. Интересно конечно было бы сравнить текущую нагрузку и нагрузку при "no access-list template", но в TCAM тогда все это может не поместиться.

Попробуйте снять 10 "show stack <PID>" для процесса AAA Per-User, но для декодирования мне также нужен будет trace-ключ. Его можно получить так:

term mon
conf t
service log backtrace
exit
conf t
no service log backtrace

При exit на экран выдастся syslog-сообщение, которое мне и нужно. Только сначала проверьте, что система не сыпет в syslog, как из пулемета.

 

Community Member

Добрый день,  во время

Добрый день,

  во время выполнения  Embedded Packet Capture   куда собирается информация, на hd или ОЗУ?

 и насколько  это грузит RP? 

 

Cisco Employee

В datapath создается копия

В datapath создается копия пакета и передается через механизм punt в IOSd, где пакет записывается в буфер в оперативной памяти RP. Нагрузка на RP зависит от pps, а это значение лимитируется per cause punt policer до 40K pps по умолчанию.

 

Community Member

Здравствуйте!Спасибо за ответ

Здравствуйте!

Спасибо за ответ.

Вот вывод команд, которые вы просили.

 Process 3:  AAA Per-User
  Stack segment 0x7F21A7E39000 - 0x7F21A7E44B80
        PC: 0x7F22DB9F1B91, RSP: 0x7F21A7E44AF0
        PC: 0x7F22D7FC62DB, RSP: 0x7F21A7E44B70

 

service log backtrace выдал такое:

-Traceback= 1#8acb5ac16480343f2aeb05bdbefb6b03  :7F22D131C000+6D9CDDF :7F22D131C000+6D90B74 :7F22D131C000+6D8FC1D :7F22D131C000+6D8DF0A :7F22D131C000+B567459 :7F22D131C000+6DAB820

 

Если попробовать описать все необходимые пользовательские ACL в конфиге маршрутизатора и навешивать их на пользователей через радиус целиком, то загрузка может снизиться?

Cisco Employee

Декодирование вот такое:%

Декодирование вот такое:

% 0x7f22db9f1b91 : __be_suspend
% 0x7f22d7fc62db : __be_per_user_process

т.е. оно ничего не дало. Чтобы поймать с помощью "show stack <PID>" момент, когда процесс что-то делает, нужно очень много раз выполнить эту команду. CPU profiling в IOS-XE для процессов IOSd, к сожалению, не поддерживается.

Когда обсуждались аналогичные проблемы на 10K, то одним из предложений было использовать IETF Filter-Id, вместо RADIUS Attribute 242 или VSA cisco-avpair: ip:inacl. Тогда template ACLs не будут использоваться, загрузка CPU может понизиться, но при этом может не хватить TCAM.

 

Cisco Employee

ВОПРОС С ВЕБКАСТА:Почему при

ВОПРОС С ВЕБКАСТА:
Почему при одинаковой нагрузке процесс AAA per-user на ASR1000 потребляет 20% CPU, а на Cisco10008 меньше 1%(от версии софта на ASR1000 не зависит), и как это можно траблшутить?

Cisco Employee

Это обсуждается чуть ниже по

Это обсуждается чуть ниже по ветке.

Cisco Employee

ВОПРОС С ВЕБКАСТА:Когда

ВОПРОС С ВЕБКАСТА:

Когда добавят commit команду как в IOS-XR?

Cisco Employee

По-моему пока не планируется.

По-моему пока не планируется.

Cisco Employee

ВОПРОС С ВЕБКАСТА:В связи с

ВОПРОС С ВЕБКАСТА:

В связи с использованием памяти и нагрузки не всё так просто. Может есть рекомендации, что действительно имеет смысл мониторить по snmp и строить графики для понимания динамики как по нагрузке так и ram.

Cisco Employee

На эту тему есть целая книжка

На эту тему есть целая книжка:

http://www.cisco.com/c/en/us/td/docs/routers/asr1000/mib/guide/asr1kmib.html

Плюс:

http://tools.cisco.com/Support/SNMP/do/MIBSupport.do?local=en&step=3

455
Просмотры
0
Полезный материал
12
Ответы
СоздатьДля создания публикации, пожалуйста в систему