IBM テクノロジー : IBM ネットワーキング

DLSw が原因の高 CPU 使用率に対するフィルタ テクニック

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、Data-Link Switching(DLSw)に起因する高い CPU 使用率をトラブルシュートする方法を説明します。

著者:Cisco TAC エンジニア、Jim Hicks および Bill Douglas

高い CPU 使用率の診断

DLSw が高い CPU 使用率の原因であることを判断するには、次の手順を実行します。

  1. show proc cpu sort コマンドを入力します。

    CISCO-2821-P1#show proc cpu sort
    CPU utilization for five seconds: 98%/16%; one minute: 98%; five minutes: 98%
    PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
    366 40569376 27522064 1474 72.31% 74.57% 74.62% 0 DLSw msg proc
    371 2099016 27845490 75 3.83% 3.93% 3.94% 0 HyBridge Input P
    13 134172 1263 106232 2.15% 0.27% 0.18% 0 Licensing Auto U
    367 779500 27475147 28 1.27% 1.35% 1.35% 0 CLS Background


    以前の出力では、DLSw メッセージ プロセスにより、DLSw にブリッジされているトラフィックがあり、また DLSw がそのトラフィックをすべてのピアへ送信しようとしたことが示されています。 これは、実際の Systems Network Architecture(SNA; システム ネットワーク アーキテクチャ)エクスプローラ トラフィック、SNAP(Sub-Network Access Protocol)フレーム(SNA はカプセル化されたサービス アクセス ポイント(SAP))、DECnet、または NetBIOS である可能性があります。 DLSw トラフィックはプロセス スイッチングされるため、ピアに送信されない場合でも DLSw により処理され、CPU 使用率を上げます。

    Hybridge Input はイーサネットにブリッジされたトラフィックを示すため、手がかりとなります。 Cisco Link Services(CLS)Background も関係します。

  2. CPU 使用率が高い状態であった期間を確認するため、show proc cpu history コマンドを入力します。

  3. ピアのトラフィックを確認するため、show dlsw peer ssp-dlx コマンドも入力します。

    CISCO-2821-P1#show dlsw peer ssp-dlx
    Peer: 192.168.2.1 received transmitted
    CUR_ex Can U Reach Explorers 0 3
    DATA Data Frame 0 205842
    --> DSAP: SNAP (0xAA) 0 205789
    --> DSAP: Other 0 53
    CAPX Capabilities Exchange 102 111
    Total SSP Primatives 102 205956

    DLX Peer Test Request 0 347
    DLX Peer Test Response 347 0
    Last SSP Sent: DATA

    Total number of connected peers: 1
    Total number of connections: 1

MAC アドレスのビットスワップ

イーサネット インターフェイスのブリッジで学習された MAC アドレスで、トラフィックが急激に高くなることがあります。

Address          Action    Interface        Age   RX count   TX count
90fb.a616.4e77   forward   Gi0/0.1           0       1696       1968
54ee.7505.86b9   forward   Gi0/0.1           0    1448758          0
0200.ae00.0080   forward   DLSw Port0        0     306187     232570
54ee.7505.8705   forward   Gi0/0.1           0    1448766          0
0011.258d.a82d   forward   Gi0/0.1           0     119501     184767
a820.6604.f332   forward   Gi0/0.1           1       1294          0

上記の出力で、Rx カウントがあり Tx カウントがないアドレスに注意してください。 これらが問題のあるアドレスです。

ビットスワップ ツールを使用して MAC アドレスをイーサネット アドレスにビットスワップできます。

  • DLSw の MAC 0088.a4b1.15b4 は、イーサネット アドレス 0011.258D.A82D です。

  • DLSw の MAC 09df.6568.72ee は、イーサネット アドレス 90FB.A616.4E77 です。

  • DLSw の MAC 4000.7500.0001 は、イーサネット アドレス 0200.ae00.0080 です。

SNA エンドポイントの判別

SNA エンドポイントを構成している MAC アドレスと SAP を知っておく必要があります。 すべてがオンラインで稼働している場合は、show dlsw circuit コマンドでこれを判断できます。

CISCO-2821-P1#show dlsw cir
Index local addr(lsap) remote addr(dsap) state uptime
369099416 0088.a4b1.15b4(04) 4000.7500.0001(04) CONNECTED 1d02h
3607102105 09df.6568.72ee(04) 4000.7500.0001(04) CONNECTED 00:57:43
Total number of circuits connected: 2

上記の出力では、ローカル MAC アドレスは、MAC アドレスの非標(トークン リング)形式です。 つまり、イーサネットでのこの MAC アドレスを確認するには、このアドレスをビットスワップする必要があります。 カッコ内の番号(04)は、この接続で使用されている SAP です。 前述の出力では、すべてのエンド ステーションが 0x04 を使用しています。 したがって、使用されている SAP は 0 と 4 です。SAP 0x0 は、エクスプローラに使用されます。

SAP のフィルタリング

次に、SAP をフィルタリングします。 少なくとも 0 と 4 を許可する必要があります。 常に 0、4、8、および C を許可することが推奨されます。

詳細については、『 DLSw+ SAP/MAC フィルタリング テクニック』を参照してください。

次のような設定があるとします。

dlsw local-peer peer-id 192.168.1.1 
dlsw remote-peer 0 tcp 192.168.2.1 
dlsw bridge-group 15

!

interface GigabitEthernet0/0.1
 description **Production LAN Segment**
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.0.0
 bridge-group 15

!

bridge 1 protocol vlan-bridge

最初に、DLSw ピア間で送信されるものをフィルタリングする必要があります。最も大きな影響を及ぼすためです。 SAPs AA(SNAP)、E0(Novell NetWare)、および F0(NetBIOS)をブロックできます。 この設定は、実装しても安全です。

  conf t
  dlsw icannotreach saps AA E0 F0
  exit
  wr

顧客が使用する SNA SAP を知っており、リストが短い場合には、フィルタの permit バージョンを使用できます。 次に例を示します。

  conf t
  dlsw icanreach saps 0 4 8 C
  exit
  wr

不要なトラフィックのフィルタリング

イーサネット インターフェイスのブリッジ グループで不要なトラフィックをフィルタリングできます:

  conf t
  access-list 200 permit 0x0000 0x0D0D 

  access-list 201 deny 0x0000 0xFFFF

  exit
  wr

: この例では、access-list 200 を使用して、上位(コマンド/応答)ビットで 0、4、8、および C を許可しています。この例では、access-list 201 を使用して、SNAP(Sub-Network Access Protocol)とその他の不要なトラフィックをブロックしています。

イーサネット インターフェイスにフィルタを適用します。

  conf t
  interface GigabitEthernet0/0.1
  bridge-group 15 input-lsap-list 200
  bridge-group 15 input-type-list 201
  exit
  wr

イーサネットの設定の例を示します。

interface GigabitEthernet0/0.1
 description **Production LAN Segment**
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.0.0
 bridge-group 15
 bridge-group 15 input-lsap-list 200
 bridge-group 15 input-type-list 201

DLSw が原因の高い CPU 使用率を止める必要な操作は、これがすべてです。  

SNA に使用される MAC アドレスだけを許可

ブリッジングに、SNA に使用される MAC アドレスだけを許可するために実行できるステップがもう 1 つあります。 次のコマンドで完全なリストを取得するため、すべての SNA デバイスがオンラインで稼働していることを確認してください。

CISCO-2821-P1#show dlsw cir
Index local addr(lsap) remote addr(dsap) state uptime
369099416 0088.a4b1.15b4(04) 4000.7500.0001(04) CONNECTED 1d02h
3607102105 09df.6568.72ee(04) 4000.7500.0001(04) CONNECTED 00:57:43
Total number of circuits connected: 2

MAC 0088.a4b1.15b4  in DLSw is ethernet address 0011.258D.A82D.
MAC 09df.6568.72ee in DLSw is ethernet address 90FB.A616.4E77.

access-list 701 permit 0011.258D.A82D 0000.0000.0000

access-list 701 permit  0FB.A616.4E77 0000.0000.0000

access-list 701 deny 0000.0000.0000 ffff.ffff.ffff

conf t

interface GigabitEthernet0/0.1
bridge-group 1 input-address-list 701
exit
wr

この手順を完了しても高い CPU 使用率が解消しない場合は、Cisco Technical Assistance Center(TAC)に連絡し、ケースをエスカレートしてください。



Document ID: 117786