DLSw로 인한 높은 CPU 사용률에 대한 필터 기술

소개

이 문서에서는 DLSw(Data-Link Switching)로 인한 높은 CPU 사용률 문제를 해결하는 방법에 대해 설명합니다.

높은 CPU 사용률 진단

DLSw가 CPU 사용률이 높은 원인인지 확인하려면 다음 단계를 완료하십시오.

1. show proc cpu sort 명령을 입력합니다.
   
   

   CISCO-2821-P1#show proc cpu sort
   CPU utilization for five seconds: 98%/16%; one minute: 98%; five minutes: 98%
    PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
    366    40569376    27522064       1474 72.31% 74.57% 74.62%   0 DLSw msg proc
    371     2099016    27845490         75  3.83%  3.93%  3.94%   0 HyBridge Input P
     13      134172        1263     106232  2.15%  0.27%  0.18%   0 Licensing Auto U
    367      779500    27475147         28  1.27%  1.35%  1.35%   0 CLS Background

   
   
   이전 출력에서 DLSw 메시지 프로세스는 DLSw에 브리징된 트래픽의 종류를 나타내며 DLSw는 모든 피어로 전송하려고 시도합니다.이는 실제 SNA(Systems Network Architecture) 탐색기 트래픽, SNAP(Sub-Network Access Protocol) 프레임(SNA는 SAP(Service Access Point) 캡슐화), DECnet 또는 NetBIOS일 수 있습니다.피어로 전송되지 않더라도 DLSw 트래픽은 프로세스 전환 트래픽이므로 DLSw에서 처리되고 CPU 사용률을 가져옵니다.
   
   하이브리지 입력은 이더넷 브리지 트래픽을 나타내기 때문에 힌트입니다.Cisco CLS(Link Services) 배경도 포함됩니다.
   
   
2. CPU 사용률이 얼마나 높았는지 확인하려면 show proc cpu history 명령을 입력합니다.
   
   
3. 피어의 트래픽도 보려면 show dlsw peer ssp-dlx 명령을 입력합니다.
   
   

   CISCO-2821-P1#show dlsw peer ssp-dlx
   Peer: 192.168.2.1                           received transmitted
       CUR_ex Can U Reach Explorers                   0           3
       DATA Data Frame                                0      205842
       --> DSAP: SNAP (0xAA)                          0      205789
       --> DSAP: Other                                0          53
       CAPX Capabilities Exchange                   102         111
       Total SSP Primatives                         102      205956
   
       DLX Peer Test Request                          0         347
       DLX Peer Test Response                       347           0
       Last SSP Sent:  DATA
   
   Total number of connected peers: 1
   Total number of connections:     1

MAC 주소를 비트 스왑

이더넷 인터페이스의 브리지를 통해 학습된 MAC 주소에서 트래픽이 빠르게 증가할 수 있습니다.

Address          Action    Interface        Age   RX count   TX count
90fb.a616.4e77   forward   Gi0/0.1           0       1696       1968
54ee.7505.86b9   forward   Gi0/0.1           0    1448758          0
0200.ae00.0080   forward   DLSw Port0        0     306187     232570
54ee.7505.8705   forward   Gi0/0.1           0    1448766          0
0011.258d.a82d   forward   Gi0/0.1           0     119501     184767
a820.6604.f332   forward   Gi0/0.1           1       1294          0

이전 출력의 주소가 Rx 카운트와 Tx 카운트가 없는 것을 확인합니다.이것이 문제 주소입니다.

MAC 주소를 이더넷 주소로 비트 스왑 툴을 사용할 수 있습니다.

• DLSw의 MAC 0088.a4b1.15b4는 이더넷 주소 0011.258D.A82D입니다.
  
  
• DLSw의 MAC 09df.6568.72ee는 이더넷 주소 90FB.A616.4E77입니다.
  
  
• DLSw의 MAC 4000.7500.0001은 이더넷 주소 0200.ae00.0080입니다.

SNA 엔드포인트 확인

SNA 끝점을 구성하는 MAC 주소와 SAP를 알아야 합니다. 모든 항목이 온라인 상태이고 작동하는 경우 show dlsw circuit 명령을 사용하여 이를 확인할 수 있습니다.

CISCO-2821-P1#show dlsw cir
Index           local addr(lsap)    remote addr(dsap)  state          uptime
369099416       0088.a4b1.15b4(04)  4000.7500.0001(04) CONNECTED         1d02h
3607102105      09df.6568.72ee(04)  4000.7500.0001(04) CONNECTED      00:57:43
Total number of circuits connected: 2

이전 출력에서 로컬 MAC 주소는 MAC 주소의 비정규(토큰 링) 형식입니다.즉, 이더넷에 표시되는 MAC 주소를 보려면 비트 스와핑해야 합니다.괄호 안의 숫자(04)는 이 연결에 사용되는 SAP입니다.이전 출력의 모든 끝 스테이션은 0x04를 사용합니다. 따라서 사용되는 SAP는 0과 4입니다. SAP 0x0은 탐색기에 사용됩니다.

SAP에서 필터링

이제 SAP를 필터링할 수 있습니다.최소한 0과 4를 허용해야 합니다. 항상 0, 4, 8, C를 허용하는 것이 좋습니다.

자세한 내용은 DLSw+ SAP/MAC 필터링 기술을 참조하십시오.

다음과 같은 컨피그레이션이 있다고 가정합니다.

dlsw local-peer peer-id 192.168.1.1 
dlsw remote-peer 0 tcp 192.168.2.1  
dlsw bridge-group 15

!

interface GigabitEthernet0/0.1
 description **Production LAN Segment**
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.0.0
 bridge-group 15

!

bridge 1 protocol vlan-bridge

DLSw 피어 간에 전송되는 내용을 먼저 필터링해야 합니다. 이는 가장 큰 영향을 주기 때문입니다.SAPs AA(SNAP), E0(Novell NetWare) 및 F0(NetBIOS)을 차단할 수 있습니다. 이 컨피그레이션은 구현해도 안전합니다.

  conf t
  dlsw icannotreach saps AA E0 F0
  exit
  wr

고객이 어떤 SNA SAP를 사용하는지 그리고 목록이 작은 경우 필터의 허용 버전을 사용할 수 있습니다.예를 들면 다음과 같습니다.

  conf t
  dlsw icanreach saps 0 4 8 C
  exit
  wr

원치 않는 트래픽 필터링

이더넷 인터페이스의 bridge-group에서 원치 않는 트래픽을 필터링할 수 있습니다.

  conf t
  access-list 200 permit 0x0000 0x0D0D  

  access-list 201 deny 0x0000 0xFFFF 

  exit
  wr

참고:이 예에서는 access-list 200을 사용하여 0, 4, 8 및 C를 고순서(명령/응답) 비트로 내보냅니다.이 예에서는 access-list 201을 사용하여 SNAP(Sub-Network Access Protocol) 및 기타 원치 않는 트래픽을 차단합니다.

이더넷 인터페이스에 필터를 적용합니다.

  conf t
  interface GigabitEthernet0/0.1
  bridge-group 15 input-lsap-list 200
  bridge-group 15 input-type-list 201
  exit
  wr

다음은 이더넷의 컨피그레이션 예입니다.

interface GigabitEthernet0/0.1
 description **Production LAN Segment**
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.0.0
 bridge-group 15
 bridge-group 15 input-lsap-list 200
 bridge-group 15 input-type-list 201

DLSw의 높은 CPU 사용률을 중단하려면 이 모든 것이 필요합니다.  

SNA에 사용된 MAC 주소만 허용

SNA에 사용되는 MAC 주소만 브리징되지 않도록 하기 위해 수행할 수 있는 한 가지 단계가 더 있습니다.모든 SNA 디바이스가 온라인 상태인지 확인하고 다음 명령을 사용하여 전체 목록을 확인합니다.

CISCO-2821-P1#show dlsw cir
Index           local addr(lsap)    remote addr(dsap)  state          uptime
369099416       0088.a4b1.15b4(04)  4000.7500.0001(04) CONNECTED         1d02h
3607102105      09df.6568.72ee(04)  4000.7500.0001(04) CONNECTED      00:57:43
Total number of circuits connected: 2

MAC 0088.a4b1.15b4  in DLSw is ethernet address 0011.258D.A82D.
MAC 09df.6568.72ee in DLSw is ethernet address 90FB.A616.4E77.

access-list 701 permit 0011.258D.A82D 0000.0000.0000

access-list 701 permit  0FB.A616.4E77 0000.0000.0000

access-list 701 deny 0000.0000.0000 ffff.ffff.ffff

conf t

interface GigabitEthernet0/0.1
bridge-group 1 input-address-list 701
exit
wr

이 절차를 완료한 후에도 여전히 CPU 사용률이 높은 경우 Cisco TAC(Technical Assistance Center)에 문의하여 케이스를 에스컬레이션하십시오.