Технологии IBM : Сетевые решения IBM

Способы фильтра для Высокой загрузки ЦП из-за DLSw

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как устранить неполадки высокой загрузки CPU utlitization из-за Коммутации соединения передачи данных (DLSw).

Внесенный Джимом Хиксом и Биллом Дугласом, специалистами службы технической поддержки Cisco.

Диагностируйте высокую загрузку ЦП

Выполните эти шаги, чтобы решить, что DLSw является причиной высокой загрузки ЦП.

  1. Введите команду вида ЦПУ show proc.

    CISCO-2821-P1#show proc cpu sort
    CPU utilization for five seconds: 98%/16%; one minute: 98%; five minutes: 98%
    PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
    366 40569376 27522064 1474 72.31% 74.57% 74.62% 0 DLSw msg proc
    371 2099016 27845490 75 3.83% 3.93% 3.94% 0 HyBridge Input P
    13 134172 1263 106232 2.15% 0.27% 0.18% 0 Licensing Auto U
    367 779500 27475147 28 1.27% 1.35% 1.35% 0 CLS Background


    В предыдущем выходе обработка сообщений DLSw указывает на некоторый трафик, который соединен в DLSw, и DLSw пытается передать его ко всем узлам. Это может быть Сетевой архитектурой реальных систем (SNA) трафик проводника, SNAP (Протокол доступа к подсети) кадры (SNA является инкапсулировавшая Точка доступа к сервису (SAP)), DECnet, или возможно NetBIOS. Даже если это не передается узлам, это обработано DLSw и берет загрузку ЦПУ, потому что трафик DLSw является процессной коммутацией.

    Процесс HyBridge Input является подсказкой, потому что это указывает на проходящего через мост трафик Ethernet. Общие сведения Сервисов соединения Cisco (CLS) также включены.

  2. Введите команду history ЦПУ show proc для определения, сколько времени загрузка ЦПУ была высока.

  3. Войдите show dlsw взаимодействуют с командой ssp-dlx для наблюдения трафика на узле также.

    CISCO-2821-P1#show dlsw peer ssp-dlx
    Peer: 192.168.2.1 received transmitted
    CUR_ex Can U Reach Explorers 0 3
    DATA Data Frame 0 205842
    --> DSAP: SNAP (0xAA) 0 205789
    --> DSAP: Other 0 53
    CAPX Capabilities Exchange 102 111
    Total SSP Primatives 102 205956

    DLX Peer Test Request 0 347
    DLX Peer Test Response 347 0
    Last SSP Sent: DATA

    Total number of connected peers: 1
    Total number of connections: 1

Перестановка битов MAC-адреса

Трафик мог бы инкрементно увеличиться быстро на MAC-адресах, изученных по мосту на Интерфейсе Ethernet.

Address         Action   Interface       Age  RX count  TX count
90fb.a616.4e77  forward  Gi0/0.1          0      1696      1968
54ee.7505.86b9  forward  Gi0/0.1          0   1448758         0
0200.ae00.0080  forward  DLSw Port0       0    306187    232570
54ee.7505.8705  forward  Gi0/0.1          0   1448766         0
0011.258d.a82d  forward  Gi0/0.1          0    119501    184767
a820.6604.f332  forward  Gi0/0.1          1      1294         0

Заметьте адреса в предыдущих выходных данных, которые имеют количество Rx и никакое количество Tx. Это проблемные адреса.

Можно использовать Программное средство Перестановки битов чтобы для перестановки битов MAC-адреса в Адреса Ethernet.

  • MAC 0088.a4b1.15b4 в DLSw является Адрес Ethernet 0011.258D.A82D.

  • MAC 09df.6568.72ee в DLSw является Адрес Ethernet 90FB.A616.4E77.

  • MAC 4000.7500.0001 в DLSw является Адрес Ethernet 0200.ae00.0080.

Определите оконечные точки SNA

Необходимо знать, какие MAC-адреса и SAP, включают оконечные точки SNA. Если все является онлайновым и работает, можно определить это с командой show dlsw circuit:

CISCO-2821-P1#show dlsw cir
Index local addr(lsap) remote addr(dsap) state uptime
369099416 0088.a4b1.15b4(04) 4000.7500.0001(04) CONNECTED 1d02h
3607102105 09df.6568.72ee(04) 4000.7500.0001(04) CONNECTED 00:57:43
Total number of circuits connected: 2

В предыдущих выходных данных локальный MAC - адрес является неканоническием (Token Ring) форма MAC-адреса. Это означает, что было бы neeed, чтобы быть с перестановкой бит в порядке для наблюдения MAC-адреса, как это появляется на Ethernet. Количеством в круглой скобке (04) является SAP, который используется этим соединением. Все конечные станции в предыдущих выходных данных используют 0x04. Таким образом, SAP, которые используются, 0 и 4. SAP 0x0 используется для анализаторов.

Фильтр на SAP

Теперь, можно фильтровать на SAP. Необходимо разрешить по крайней мере 0 и 4. Это - полезный прием, чтобы всегда разрешить 0, 4, 8, и C.

Для получения дополнительной информации обратитесь к Методам фильтрации SAP/MAC DLSw+.

Предположим, что у вас есть конфигурация как это:

dlsw local-peer peer-id 192.168.1.1 
dlsw remote-peer 0 tcp 192.168.2.1 
dlsw bridge-group 15

!

interface GigabitEthernet0/0.1
 description **Production LAN Segment**
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.0.0
 bridge-group 15

!

bridge 1 protocol vlan-bridge

Необходимо было бы фильтровать сначала, что передается между Узлами dlsw, потому что это оказывает самое большое влияние. Можно заблокироваться, SAP AA (SNAP), E0 (Операционная система Novell NetWare) и F0 (NetBIOS). Эту конфигурацию безопасно внедрить.

 conf t
 dlsw icannotreach saps AA E0 F0
 exit
 wr

Вы могли использовать версию разрешения фильтра, если вы знаете, какой SNA SAP использование клиента и если список является маленьким. Например:

 conf t
 dlsw icanreach saps 0 4 8 C
 exit
 wr

Нежелательный трафик фильтра

Можно фильтровать нежелательный трафик в bridge-group на Интерфейсе Ethernet:

 conf t
 access-list 200 permit 0x0000 0x0D0D 

 access-list 201 deny 0x0000 0xFFFF

 exit
 wr

Примечание: Данный пример использует access-list 200, чтобы к pemit 0, 4, 8, и C со старшим разрядом (команда/ответ) укусил. Данный пример использует access-list 201 для блокирования SNAP (Протокол доступа к подсети) и другой нежелательный трафик.

Примените фильтры на Интерфейс Ethernet:

 conf t
 interface GigabitEthernet0/0.1
 bridge-group 15 input-lsap-list 200
 bridge-group 15 input-type-list 201
 exit
 wr

Вот пример конфигурации на Ethernet:

interface GigabitEthernet0/0.1
 description **Production LAN Segment**
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.0.0
 bridge-group 15
 bridge-group 15 input-lsap-list 200
 bridge-group 15 input-type-list 201

Это должно быть всем, что необходимо для остановки высокой загрузки ЦП DLSw.  

Разрешите только MAC-адреса, используемые для SNA

Существует еще один шаг, который можно выполнить для разрешения только MAC-адресов, которые используются для SNA от того, чтобы быть соединенным. Гарантируйте, что все устройства SNA являются онлайновыми и работают для получения полного списка с этой командой:

CISCO-2821-P1#show dlsw cir
Index local addr(lsap) remote addr(dsap) state uptime
369099416 0088.a4b1.15b4(04) 4000.7500.0001(04) CONNECTED 1d02h
3607102105 09df.6568.72ee(04) 4000.7500.0001(04) CONNECTED 00:57:43
Total number of circuits connected: 2

MAC 0088.a4b1.15b4 in DLSw is ethernet address 0011.258D.A82D.
MAC 09df.6568.72ee in DLSw is ethernet address 90FB.A616.4E77.

access-list 701 permit 0011.258D.A82D 0000.0000.0000

access-list 701 permit 0FB.A616.4E77 0000.0000.0000

access-list 701 deny 0000.0000.0000 ffff.ffff.ffff

conf t

interface GigabitEthernet0/0.1
bridge-group 1 input-address-list 701
exit
wr

Если у вас все еще есть высокая загрузка ЦП после завершения этой процедуры свяжитесь с Центром технической поддержки Cisco (TAC) для эскалации случая.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 117786