소개
이 문서에서는 DLSw(Data-Link Switching)로 인한 높은 CPU 사용률 문제를 해결하는 방법에 대해 설명합니다.
높은 CPU 사용률 진단
DLSw가 CPU 사용률이 높은 원인인지 확인하려면 다음 단계를 완료하십시오.
- show proc cpu sort 명령을 입력합니다.
CISCO-2821-P1#show proc cpu sort
CPU utilization for five seconds: 98%/16%; one minute: 98%; five minutes: 98%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
366 40569376 27522064 1474 72.31% 74.57% 74.62% 0 DLSw msg proc
371 2099016 27845490 75 3.83% 3.93% 3.94% 0 HyBridge Input P
13 134172 1263 106232 2.15% 0.27% 0.18% 0 Licensing Auto U
367 779500 27475147 28 1.27% 1.35% 1.35% 0 CLS Background
이전 출력에서 DLSw 메시지 프로세스는 DLSw에 브리징된 트래픽의 종류를 나타내며 DLSw는 모든 피어로 전송하려고 시도합니다.이는 실제 SNA(Systems Network Architecture) 탐색기 트래픽, SNAP(Sub-Network Access Protocol) 프레임(SNA는 SAP(Service Access Point) 캡슐화), DECnet 또는 NetBIOS일 수 있습니다.피어로 전송되지 않더라도 DLSw 트래픽은 프로세스 전환 트래픽이므로 DLSw에서 처리되고 CPU 사용률을 가져옵니다.
하이브리지 입력은 이더넷 브리지 트래픽을 나타내기 때문에 힌트입니다.Cisco CLS(Link Services) 배경도 포함됩니다.
- CPU 사용률이 얼마나 높았는지 확인하려면 show proc cpu history 명령을 입력합니다.
- 피어의 트래픽도 보려면 show dlsw peer ssp-dlx 명령을 입력합니다.
CISCO-2821-P1#show dlsw peer ssp-dlx
Peer: 192.168.2.1 received transmitted
CUR_ex Can U Reach Explorers 0 3
DATA Data Frame 0 205842
--> DSAP: SNAP (0xAA) 0 205789
--> DSAP: Other 0 53
CAPX Capabilities Exchange 102 111
Total SSP Primatives 102 205956
DLX Peer Test Request 0 347
DLX Peer Test Response 347 0
Last SSP Sent: DATA
Total number of connected peers: 1
Total number of connections: 1
MAC 주소를 비트 스왑
이더넷 인터페이스의 브리지를 통해 학습된 MAC 주소에서 트래픽이 빠르게 증가할 수 있습니다.
Address Action Interface Age RX count TX count
90fb.a616.4e77 forward Gi0/0.1 0 1696 1968
54ee.7505.86b9 forward Gi0/0.1 0 1448758 0
0200.ae00.0080 forward DLSw Port0 0 306187 232570
54ee.7505.8705 forward Gi0/0.1 0 1448766 0
0011.258d.a82d forward Gi0/0.1 0 119501 184767
a820.6604.f332 forward Gi0/0.1 1 1294 0
이전 출력의 주소가 Rx 카운트와 Tx 카운트가 없는 것을 확인합니다.이것이 문제 주소입니다.
MAC 주소를 이더넷 주소로 비트 스왑 툴을 사용할 수 있습니다.
- DLSw의 MAC 0088.a4b1.15b4는 이더넷 주소 0011.258D.A82D입니다.
- DLSw의 MAC 09df.6568.72ee는 이더넷 주소 90FB.A616.4E77입니다.
- DLSw의 MAC 4000.7500.0001은 이더넷 주소 0200.ae00.0080입니다.
SNA 엔드포인트 확인
SNA 끝점을 구성하는 MAC 주소와 SAP를 알아야 합니다. 모든 항목이 온라인 상태이고 작동하는 경우 show dlsw circuit 명령을 사용하여 이를 확인할 수 있습니다.
CISCO-2821-P1#show dlsw cir
Index local addr(lsap) remote addr(dsap) state uptime
369099416 0088.a4b1.15b4(04) 4000.7500.0001(04) CONNECTED 1d02h
3607102105 09df.6568.72ee(04) 4000.7500.0001(04) CONNECTED 00:57:43
Total number of circuits connected: 2
이전 출력에서 로컬 MAC 주소는 MAC 주소의 비정규(토큰 링) 형식입니다.즉, 이더넷에 표시되는 MAC 주소를 보려면 비트 스와핑해야 합니다.괄호 안의 숫자(04)는 이 연결에 사용되는 SAP입니다.이전 출력의 모든 끝 스테이션은 0x04를 사용합니다. 따라서 사용되는 SAP는 0과 4입니다. SAP 0x0은 탐색기에 사용됩니다.
SAP에서 필터링
이제 SAP를 필터링할 수 있습니다.최소한 0과 4를 허용해야 합니다. 항상 0, 4, 8, C를 허용하는 것이 좋습니다.
자세한 내용은 DLSw+ SAP/MAC 필터링 기술을 참조하십시오.
다음과 같은 컨피그레이션이 있다고 가정합니다.
dlsw local-peer peer-id 192.168.1.1
dlsw remote-peer 0 tcp 192.168.2.1
dlsw bridge-group 15
!
interface GigabitEthernet0/0.1
description **Production LAN Segment**
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.0.0
bridge-group 15
!
bridge 1 protocol vlan-bridge
DLSw 피어 간에 전송되는 내용을 먼저 필터링해야 합니다. 이는 가장 큰 영향을 주기 때문입니다.SAPs AA(SNAP), E0(Novell NetWare) 및 F0(NetBIOS)을 차단할 수 있습니다. 이 컨피그레이션은 구현해도 안전합니다.
conf t
dlsw icannotreach saps AA E0 F0
exit
wr
고객이 어떤 SNA SAP를 사용하는지 그리고 목록이 작은 경우 필터의 허용 버전을 사용할 수 있습니다.예를 들면 다음과 같습니다.
conf t
dlsw icanreach saps 0 4 8 C
exit
wr
원치 않는 트래픽 필터링
이더넷 인터페이스의 bridge-group에서 원치 않는 트래픽을 필터링할 수 있습니다.
conf t
access-list 200 permit 0x0000 0x0D0D
access-list 201 deny 0x0000 0xFFFF
exit
wr
참고:이 예에서는 access-list 200을 사용하여 0, 4, 8 및 C를 고순서(명령/응답) 비트로 내보냅니다.이 예에서는 access-list 201을 사용하여 SNAP(Sub-Network Access Protocol) 및 기타 원치 않는 트래픽을 차단합니다.
이더넷 인터페이스에 필터를 적용합니다.
conf t
interface GigabitEthernet0/0.1
bridge-group 15 input-lsap-list 200
bridge-group 15 input-type-list 201
exit
wr
다음은 이더넷의 컨피그레이션 예입니다.
interface GigabitEthernet0/0.1
description **Production LAN Segment**
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.0.0
bridge-group 15
bridge-group 15 input-lsap-list 200
bridge-group 15 input-type-list 201
DLSw의 높은 CPU 사용률을 중단하려면 이 모든 것이 필요합니다.
SNA에 사용된 MAC 주소만 허용
SNA에 사용되는 MAC 주소만 브리징되지 않도록 하기 위해 수행할 수 있는 한 가지 단계가 더 있습니다.모든 SNA 디바이스가 온라인 상태인지 확인하고 다음 명령을 사용하여 전체 목록을 확인합니다.
CISCO-2821-P1#show dlsw cir
Index local addr(lsap) remote addr(dsap) state uptime
369099416 0088.a4b1.15b4(04) 4000.7500.0001(04) CONNECTED 1d02h
3607102105 09df.6568.72ee(04) 4000.7500.0001(04) CONNECTED 00:57:43
Total number of circuits connected: 2
MAC 0088.a4b1.15b4 in DLSw is ethernet address 0011.258D.A82D.
MAC 09df.6568.72ee in DLSw is ethernet address 90FB.A616.4E77.
access-list 701 permit 0011.258D.A82D 0000.0000.0000
access-list 701 permit 0FB.A616.4E77 0000.0000.0000
access-list 701 deny 0000.0000.0000 ffff.ffff.ffff
conf t
interface GigabitEthernet0/0.1
bridge-group 1 input-address-list 701
exit
wr
이 절차를 완료한 후에도 여전히 CPU 사용률이 높은 경우 Cisco TAC(Technical Assistance Center)에 문의하여 케이스를 에스컬레이션하십시오.