отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Ответы и победители Конкурса "Nexus 7000 – архитектура передачи данных"

Прежде всего хотел бы поблагодарить всех принявших участие в викторине.

И как обещано мы публикуем имена победителей. 

 

 

Наиболее точный ответ и способ решения был предложен 

Dmitry Maximov 

 

 

 

Поскольку наиболее правильный ответ был лишь один, мы не смогли не отметить двух других конкурсантов: 

Viktor Stepanenko

Dmytro Soloviov

                                         

 

А теперь собственно и правильный ответ:

Конечно же причиной появления syslog сообщений сгенерированных ASA файрволом на SUP Nexus 7000 стало отсутствие ARP записи для хоста 10.199.137.107. До возникновения проблем с электропитанием, этот хост выполнял роль syslog сервера. Теперь же, каждый пакет в направлении этого сервера это так называемый glean пакет, который направляется на SUP/CPU и принуждает шасси к посылке ARP запроса. 

 

В данном случае проблема мульти-симптома и многие несколько недооценили выводы hardware rate-limiter (WH RL). Напомню, что аппаратный rate-limiter программируется на все модулях в отдельности и отрабатывает еще до CoPP. Учитывая достаточно жесткие рамки – 100pps (пакетов в секунду) и крайнюю агрессивность ASA файрвола в отношении количества посылаемых syslog сообщений, можно сделать вывод, что HW RL начинает отбрасывать избыточный трафик. При этом, постепенно устаревают существующие/легитимные ARP записи. Логично предположить, что они должны быть изучены заново, как часть абсолютно нормального цикла. Вероятнее всего это произойдет, и ARP записи будут обновлены. Что же касается новых хостов или хостов, для которых не существует/удалена ARP запись, тот тут возникают проблемы. Пакеты в направлении таких хостов классифицируются как glean и подпадают под HW RL, который к этому времени уже “забит” syslog сообщениями ASA FW. 

 

И конечно же, наиболее правильным решением данной проблемы станет восстановление работоспособности сервера 10.199.137.107, в то время как наиболее эффективным следующее:

 

interface VlanABC

  ip arp 10.199.137.107 0000.DEAD.BEEF  

mac address-table static 0000.dead.beef vlan ABC drop 

 

Такой подход позволит вам оперативно снизить кол-во glean трафика и разгрузит HW RL…

 

Еще раз поздравляем победителей!

Спасибо за Ваше участие!

Приглашаем всех активно участвовать в нашем Сообществе.

История версий
Редакция №
1 из 1
Последнее обновление:
‎03-18-2015 02:22 AM
Автор обновления: