المقدمة
يصف هذا المستند الاستخدام العالي لوحدة المعالجة المركزية (CPU) على محولات Cisco Catalyst 9000 Series Switches الناجم عن عملية ميزات الأمان المدمجة للمحول.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الفهم الأساسي لتقنية تحويل شبكات LAN
- معرفة المحولات Cisco Catalyst 9000 Series Switches
- التشابه مع cisco IOS® XE أمر خط قارن (CLI)
- التعرف على ميزة تعقب الجهاز
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- المحولات Cisco Catalyst 9000 Series Switches
- إصدار البرامج: جميع الإصدارات
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
ميزات الأمان المتكاملة للمحول (ISF) هي إطار عمل تم تطويره لتحسين الأمان في مجالات الطبقة 2. فهو يدمج وظيفة تعقب أجهزة IP (IPDT) وبعض وظائف أمان الخطوة الأولى IPv6 (FHS)، لتبسيط الترحيل من مكدس IPv4 إلى IPv6 أو مكدس ثنائي.
يقدم هذا القسم نظرة عامة على مشكلة إستخدام وحدة المعالجة المركزية (CPU) العالية التي تمت ملاحظتها على محولات Cisco Catalyst 9000 Series Switches التي تتسبب فيها عملية ISF. يتم تحديد المشكلة من خلال أوامر CLI المحددة وترتبط بتتبع الجهاز على واجهات خطوط الاتصال.
المشكلة
يتم بث تحقيق Keepalive الذي تم إرساله بواسطة المحول من جميع المنافذ عند تمكين ISF هو برمجيا. تقوم المحولات المرفقة في مجال L2 نفسه بإرسال هذه البث إلى الأجهزة المضيفة الخاصة بها مما يؤدي إلى قيام المحول الأصلي بإضافة أجهزة مضيفة عن بعد إلى قاعدة بيانات تعقب الجهاز الخاص به. تؤدي إدخالات المضيف الإضافية إلى زيادة إستخدام الذاكرة على الجهاز، كما تزيد عملية إضافة الأجهزة المضيفة البعيدة من إستخدام وحدة المعالجة المركزية (CPU) الخاصة بالجهاز.
يوصى بنطاق السياسة البرنامجية من خلال تكوين سياسة على اتصال بالمحولات المرفقة لتعريف المنفذ كمنفذ موثوق به ومرفق بمحول ما.
المشكلة التي يتم معالجتها في هذا المستند هي إستخدام وحدة المعالجة المركزية (CPU) العالي على محولات Cisco Catalyst 9000 Series Switches التي تتسبب فيها عملية ISF.
ملاحظة: كن على علم بأن المميزات التابعة ل ISF مثل التطفل على بروتوكول DHCP تمكن ISF، والتي يمكن أن تؤدي إلى هذه المشكلة.
الخطوة 1: التحقق من إستخدام وحدة المعالجة المركزية
لتحديد إستخدام وحدة المعالجة المركزية (CPU) العالي، أستخدم هذا الأمر:
device# show processes cpu sorted
CPU utilization for five seconds: 93%/6%; one minute: 91%; five minutes: 87%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
439 3560284 554004 6426 54.81% 52.37% 47.39% 0 SISF Main Thread
438 2325444 675817 3440 22.67% 25.17% 26.15% 0 SISF Switcher Th
104 548861 84846 6468 10.76% 8.17% 7.51% 0 Crimson flush tr
119 104155 671081 155 1.21% 1.27% 1.26% 0 IOSXE-RP Punt Se
<SNIP>
الخطوة 2: فحص قاعدة بيانات تعقب الجهاز
أستخدم هذا الأمر للتحقق من قاعدة بيانات تعقب الجهاز:
device# show device-tracking database
Binding Table has 2188 entries, 2188 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match 0002:Orig trunk 0004:Orig access
0008:Orig trusted trunk 0010:Orig trusted access 0020:DHCP assigned
0040:Cga authenticated 0080:Cert authenticated 0100:Statically assigned
Network Layer Address Link Layer Address Interface vlan prlvl age state Time left
ARP 192.168.187.204 c815.4ef1.d457 Po1 602 0005 546mn STALE try 0 57706 s
ARP 192.168.186.161 4c49.6c7b.6722 Po1 602 0005 171mn STALE try 0 79457 s
ARP 192.168.186.117 4c5f.702b.61eb Po1 602 0005 459mn STALE try 0 61752 s
ARP 192.168.185.254 20c1.9bac.5765 Po1 602 0005 546mn STALE try 0 54630 s
ARP 192.168.184.157 c815.4eeb.3d04 Po1 602 0005 3mn REACHABLE 132 s
ARP 192.168.1.2 0004.76e0.cff8 Gi1/0/19 901 0005 234mn STALE try 0 73991 s
ARP 192.168.152.97 001c.7f3c.fd08 Po1 620 0005 54s REACHABLE 252 s
ARP 169.254.242.184 1893.4125.9c57 Po1 602 0005 209mn STALE try 0 75738 s
ARP 169.254.239.56 4c5f.702b.61ff Po1 602 0005 1427mn STALE try 0 2780 s
ARP 169.254.239.4 8c17.59c8.fff0 Po1 602 0005 223mn STALE try 0 74083 s
ARP 169.254.230.139 70d8.235f.2a08 Po1 600 0005 6mn STALE try 0 89655 s
ARP 169.254.229.77 4c5f.7028.4231 Po1 602 0005 107mn STALE try 0 84743 s
<SNIP>
من الواضح أن هناك عناوين MAC متعددة تم تعقبها في واجهة Po1. ولا يكون هذا متوقعا إذا كان هذا الجهاز يعمل كمحول وصول وكان هناك جهاز طرفي متصل بالواجهة.
أنت يستطيع فحصت الأعضاء من الميناء قناة يستعمل هذا أمر:
الخطوة 3: تحقق من EtherChannels
device# show etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
M - not in use, minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
A - formed by Auto LAG
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Te1/1/1(P) Te2/1/1(P)
الخطوة 3: تحقق من جار CDP
أستخدم هذا الأمر للتحقق من جار CDP:
device# show cdp neighbor
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID
C9500 Ten 2/1/1 132 R S C9500-48Y Twe 2/0/16
C9500 Ten 1/1/1 165 R S C9500-48Y Twe 1/0/16
مادة حفازة 9500 ربطت مفتاح بشكل مرئي على الجانب الآخر. وقد يكون هذا الأمر بمثابة أجهزة وصول أخرى في تكوين سلسلة متشعبة أو محول توزيع/أساسي. على أي حال، لا يمكن أن يكون هذا الجهاز يتتبع عناوين MAC على واجهات خط الاتصال.
الحل
تحدث مشكلة إستخدام وحدة المعالجة المركزية (CPU) العالية بسبب تعقب الجهاز. قم بتعطيل تعقب الجهاز على واجهات خطوط الاتصال.
للقيام بذلك، قم بإنشاء نهج تعقب جهاز وألصقه بواجهات خطوط الاتصال:
الخطوة 1: تكوين نهج تعقب الأجهزة
إنشاء سياسة تعقب جهاز لمعالجة واجهات خطوط الاتصال كمنافذ موثوق بها:
device#configure terminal
device(config)#device-tracking policy DT_trunk_policy
device(config-device-tracking)#trusted-port
device(config-device-tracking)#device-role switch
device(config-device-tracking)#end
الخطوة 2: إرفاق النهج بواجهة خط الاتصال
device#cconfigure terminal
device(config)#interface Po1
device(config-if)#device-tracking attach-policy DT_trunk_policy
device(config-if)#end
- تساعدك خيارات المنافذ الموثوق بها لدور الجهاز على تصميم منطقة آمنة تتسم بالفعالية وقابلية التطوير. عند إستخدام هذين المعلمتين معا، يساعدانك على تحقيق توزيع فعال لإنشاء الإدخالات في جدول الربط. يؤدي ذلك إلى إبقاء حجم جداول الربط تحت التحكم.
- خيار المنفذ الموثوق به: تعطيل وظيفة الواقي على الأهداف المكونة. تفضيل الروابط التي تم التعرف عليها من خلال منفذ موثوق به على الروابط التي تم التعرف عليها من خلال أي منفذ آخر. يعطى ميناء موثوق أيضا تفضيل في حالة حدوث تصادم أثناء عمل مدخل في الجدول.
- الجهاز-خيار: يشير إلى نوع الجهاز الذي يواجه المنفذ والذي يمكن أن يكون عقدة أو محول. للسماح بإنشاء إدخالات الربط لمنفذ ما، قم بتكوين الجهاز كعقدة. لإيقاف إنشاء إدخالات الربط، قم بتكوين الجهاز كمحول.
يعد تكوين الجهاز كمحول مناسبا للعديد من عمليات إعداد المحولات، حيث تكون إمكانية وجود جداول تتبع أجهزة كبيرة كبيرة كبيرة كبيرة جدا. هنا، ميناء يواجه أداة (توصيل شنطة ميناء) يستطيع كنت شكلت أن يتوقف يخلق مدخل ملزم، وحركة المرور الواردة إلى هذا ميناء يستطيع كنت وثقت، لأن المفتاح على الجانب الآخر من الشنطة ميناء يتلقى أداة تعقب يمكن وهو فحصت صحة الربط مدخل.
ملاحظة: بينما هناك سيناريوهات حيث يمكن أن يكون تكوين أحد هذين الخيارين فقط مناسبا، فإن حالة الاستخدام الأكثر شيوعا هي لكل من خيارات محول المنفذ الموثوق به ودور الجهاز التي سيتم تكوينها على المنفذ.
معلومات ذات صلة