Dit document beschrijft oorzaken van hoog CPU-gebruik op Cisco Catalyst 6500/6000 Series Switches en op Virtual Switching System (VSS) 1440 gebaseerde systemen. Net als Cisco-routers gebruiken switches de opdracht cpu van showprocessen om CPU-gebruik voor de processor van de switch Supervisor Engine te tonen. Wegens de verschillen in architectuur en verzendmechanismen tussen Cisco-routers en -switches verschilt de standaarduitvoer van de cpu-opdracht van showprocessen aanzienlijk. Ook de betekenis van de output verschilt. Dit document verduidelijkt deze verschillen en beschrijft CPU-gebruik op de switches en hoe de cpu-opdrachtoutput van showprocessen moet worden geïnterpreteerd.
Opmerking: in dit document verwijzen de woorden "switch" en "switches" naar Catalyst 6500/6000 Switches.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de software- en hardwareversies voor Catalyst 6500/6000 Switches en op Virtual Switching System (VSS) 1440 gebaseerde systemen.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Opmerking: de ondersteunde software voor op Virtual Switching System (VSS) 1440 gebaseerde systemen is Cisco IOS®-softwarerelease 12.2(33)SXH1 of hoger.
Catalyst 2960OS (CatOS) op de Supervisor Engine en Cisco IOS®-software op de functiekaart voor meerlaagse Switch (MSFC) (hybride): U kunt een CatOS-afbeelding gebruiken als systeemsoftware om de supervisor-engine te draaien op Catalyst 6500/6000-Switches. Als de optionele MSFC is geïnstalleerd, wordt een afzonderlijke image van de Cisco IOS-software gebruikt om de MSFC te runnen.
Cisco IOS-software op zowel de Supervisor Engine als de MSFC (native): U kunt één Cisco IOS-softwareafbeelding als de systeemsoftware gebruiken om zowel de supervisor-engine als MSFC op Catalyst 6500/6000 Switches uit te voeren.
Opmerking: Raadpleeg Comparison of the Cisco Catalyst and Cisco IOS Operating Systems for the Cisco Catalyst 6500 Series Switch (Vergelijking van de Cisco Catalyst- en Cisco IOS-besturingssystemen voor Cisco Catalyst 6500 Series switches) voor meer informatie.
Op software gebaseerde Cisco-routers gebruiken software om pakketten te verwerken en te routeren. CPU-gebruik op een Cisco-router neemt toe naarmate de router meer pakketverwerking en -routing uitvoert. Daarom kan de cpu van showprocessen bevel een vrij nauwkeurige aanwijzing van de lading van de verkeersverwerking op de router verstrekken.
Catalyst 6500/6000 Switches gebruiken de CPU niet op dezelfde manier. Deze switches maken doorsturen van beslissingen in de hardware, niet in de software. Daarom wanneer de switches het het door:sturen of het schakelen besluit voor de meeste kaders maken die door de switch overgaan, impliceert het proces niet de supervisor motor CPU.
Op Catalyst 6500/6000 Switches zijn er twee CPU’s. Eén CPU is de supervisor engine-CPU, die de Network Management Processor (NMP) of Switch Processor (SP) wordt genoemd. De andere CPU is Layer 3 Routing Engine CPU, die MSFC of Routeprocessor (RP) wordt genoemd.
De SP CPU voert functies uit zoals:
Helpt bij het leren van MAC-adressen en veroudering
Opmerking: MAC-adresleren wordt ook padinstelling genoemd.
Voert protocollen en processen uit die netwerkcontrole bieden
Voorbeelden zijn Spanning Tree Protocol (STP), Cisco Discovery Protocol (CDP), VLAN Trunk Protocol (VTP), Dynamic Trunking Protocol (DTP) en Port Aggregation Protocol (PAgP).
Verwerkt netwerkbeheerverkeer dat is bestemd voor de CPU van de switch
Tot de voorbeelden behoren Telnet, HTTP en Simple Network Management Protocol (SNMP)-verkeer.
De RP CPU voert functies uit zoals:
Biedt en werkt de Layer 3-tabellen voor routing en adresresolutie (ARP) bij
Genereert de Cisco Express Forwarding (CEF) Forwarding Information Base (FIB) en nabijheidstabellen en downloadt de tabellen in de Policy Feature Card (PFC)
Verwerkt netwerkbeheerverkeer dat bestemd is voor de RP
Voorbeelden zijn Telnet-, HTTP- en SNMP-verkeer.
Elk pakket dat bestemd is voor de switch gaat naar de software. Dergelijke pakketten omvatten:
Bedieningspakketten
Control-pakketten worden ontvangen voor STP, CDP, VTP, Hot Standby Router Protocol (HSRP), PAgP, Link Aggregation Control Protocol (LACP) en UniDirectional Link Detection (UDLD).
Routing-protocolupdates
De voorbeelden van deze protocollen zijn Routing Information Protocol (RIP), Enhanced Interior Gateway Routing Protocol (EIGRP), border Gateway Protocol (BGP) en Open Shortest Path First Protocol (OSPF-protocol).
SNMP-verkeer dat bestemd is voor de switch
Telnet en Secure Shell Protocol (SSH) verkeer naar de switch.
Hoge CPU-ultilisatie als gevolg van SSH wordt gezien als:
00:30:50.793 SGT Tue Mar 20 2012 CPU utilization for five seconds: 83%/11%; one minute: 15%; five minutes: 8% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 3 6468 8568 754 69.30% 7.90% 1.68% 1 SSH Process
Voeg deze opdrachten in het EEM-script toe om het aantal SSH-sessies te verifiëren dat is ingesteld wanneer de CPU hoog oploopt:
ARP-antwoorden op ARP-verzoeken
Deze lijst bevat specifieke pakkettypen en -voorwaarden waarmee pakketten in software moeten worden verwerkt:
Pakketten met IP-opties, een verlopen Time-to-Live (TTL) of niet-geavanceerde insluiting van Research Projects Agency (ARPA)
Pakketten met speciale behandeling, zoals tunneling
IP-fragmentatie
Pakketten waarvoor ICMP-berichten (Internet Control Message Protocol) vanuit de RP of de SP nodig zijn
Max. storing in transmissie-eenheid (MTU)
Pakketten met IP-fouten, waaronder IP-controlesom en lengtefouten
Als de invoerpakketten een bitfout (zoals de single-bit fout (SBE)) retourneren, worden de pakketten naar de CPU gestuurd voor softwareverwerking en worden ze gecorrigeerd. Het systeem wijst er een buffer voor toe en gebruikt de CPU-bron om deze te corrigeren.
Wanneer PBR en de reflexieve toegangslijst in de weg van een verkeersstroom zijn, is het pakket software switched, die een extra cyclus van CPU vereist.
Adjacency zelfde interface
Pakketten die falen bij het doorsturen van omgekeerde paden (RPF)-controle-rpf-fout
Glean/ontvang
Glean verwijst naar pakketten die ARP-resolutie vereisen en die ontvangen verwijst naar pakketten die in de ontvangstcase vallen.
Internetwork Packet Exchange (IPX)-verkeer dat softwaregeschakeld is op Supervisor Engine 720 in zowel Cisco IOS-software als CatOS
IPX-verkeer is ook softwaregeschakeld op de Supervisor Engine 2/Cisco IOS-software, maar het verkeer is hardware-switched op de Supervisor Engine 2/CatOS. IPX-verkeer is hardware-switched op de Supervisor Engine 1A voor beide besturingssystemen.
AppleTalk-verkeer
Hardware resources volledige voorwaarden
Deze middelen omvatten FIB, inhoud-adresseerbaar geheugen (CAM), en ternaire CAM (TCAM).
Toegangscontrolelijst (ACL) - geweigerd verkeer met de functie ICMP onbereikbaar ingeschakeld
Opmerking: dit is de standaardinstelling.
Sommige ACL-ontkende pakketten worden naar de MSFC gelekt als IP-onbereikbaar is ingeschakeld. Pakketten die ICMP-onbereikbare bestanden vereisen, worden uitgelekt tegen een door de gebruiker instelbare snelheid. Standaard is de snelheid 500 pakketten per seconde (pps).
IPX-filtering op basis van niet-ondersteunde parameters, zoals bronhost
Op Supervisor Engine 720 is het proces van Layer 3 IPX-verkeer altijd in software.
Toegangscontrolevermeldingen (ACE’s) waarvoor vastlegging is vereist, met het sleutelwoord log
Dit is van toepassing op de logfuncties van ACL-log en VLAN ACL-log (VACL). ACE's in dezelfde ACL die niet vereisen dat de logboekregistratie nog steeds in hardware verwerkt. De Supervisor Engine 720 met PFC3 ondersteunt de snelheidslimiet van pakketten die worden omgeleid naar de MSFC voor vastlegging van ACL en VACL. Supervisor Engine 2 ondersteunt de snelheidslimiet van pakketten die worden omgeleid naar de MSFC voor VACL-vastlegging. Ondersteuning voor ACL-vastlegging in Supervisor Engine 2 is gepland voor de Cisco IOS-softwarerelease 12.2S-tak.
Beleids-routeringsverkeer, met gebruik van overeenkomende lengte, ingestelde ip-voorrang, of andere niet-ondersteunde parameters
De ingestelde interface parameter heeft ondersteuning in software. De ingestelde interface null 0 parameter is echter een uitzondering. Dit verkeer wordt verwerkt in hardware op Supervisor Engine 2 met PFC2 en Supervisor Engine 720 met PFC3.
Niet-IP en niet-IPX router-ACL’s (RACL’s)
Non-IP RACL’s zijn van toepassing op alle supervisor-motoren. Niet-IPX RACL’s zijn alleen van toepassing op de Supervisor Engine 1a met PFC en de Supervisor Engine 2 met PFC2.
Uitzendverkeer dat in een RACL wordt ontkend
Verkeer dat wordt ontkend in een unicast RPF (uRPF)-controle, ACL ACE
Deze uRPF-controle is van toepassing op Supervisor Engine 2 met PFC2 en Supervisor Engine 720 met PFC3.
Verificatieproxy
Het verkeer dat aan authentificatievolmacht onderworpen is kan op Supervisor Engine 720 tarief-beperkt zijn.
Cisco IOS-softwarerelease IP-beveiliging (IPsec)
Het verkeer dat aan Cisco IOS-encryptie is onderworpen, kan op Supervisor Engine 720 met een beperkt aantal snelheden worden beperkt.
De op NetFlow gebaseerde functies die in deze sectie worden beschreven, zijn alleen van toepassing op Supervisor Engine 2 en Supervisor Engine 720.
Op NetFlow gebaseerde functies moeten altijd het eerste pakket van een flow in software zien. Zodra het eerste pakket van de stroom software bereikt, worden volgende pakketten voor dezelfde stroom hardware-switched.
Deze stroomregeling is van toepassing op reflexieve ACL’s, Web Cache Communication Protocol (WCCP) en Cisco IOS-taakverdeling voor servers (SLB).
Opmerking: op de Supervisor Engine 1 vertrouwen reflexieve ACL’s op dynamische TCAM-vermeldingen om hardwaresneltoetsen voor een bepaalde stroom te maken. Het principe is hetzelfde: het eerste pakket van een stroom gaat naar software. Verdere pakketten voor die stroom zijn hardware-switched.
Met de functie TCP Intercept worden de handdruk en sessiesluiting in drie richtingen in software verwerkt. De rest van het verkeer wordt verwerkt in hardware.
Opmerking: Synchronize (SYN), SYN acknowledged (SYN ACK), en ACK pakketten bestaan uit de drieweg handshake. Session close vindt plaats met finish (FIN) of reset (RST).
Met Network Address Translation (NAT) wordt verkeer op deze manier verwerkt:
Op Supervisor Engine 720:
Het verkeer dat NAT vereist, wordt in de hardware verwerkt na de eerste vertaling. De omzetting van het eerste pakket van een stroom gebeurt in software, en de verdere pakketten voor die stroom zijn hardware-switched. Voor TCP-pakketten wordt na voltooiing van de TCP-handshake met drie richtingen een hardwaresnelweg gemaakt in de NetFlow-tabel.
Op Supervisor Engine 2 en Supervisor Engine 1:
Al verkeer dat NAT vereist, is softwaregeschakeld.
Op context gebaseerde toegangscontrole (CBAC) gebruikt NetFlow-sneltoetsen om verkeer te classificeren waarvoor inspectie nodig is. Dan, CBAC verzendt slechts dit verkeer naar software. CBAC is een softwarefunctie; verkeer dat aan inspectie wordt onderworpen is niet hardware-switched.
Opmerking: verkeer dat wordt geïnspecteerd, kan worden beperkt op de Supervisor Engine 720.
PIM-snooping (Protocol Independent Multicast)
Internet Group Management Protocol (IGMP)-snooping (TTL = 1)
Dit verkeer is inderdaad bestemd voor de router.
Snooping voor multicastdetectie (MLD) (TTL = 1)
Dit verkeer is inderdaad bestemd voor de router.
FIB-juffrouw
Multicastpakketten voor registratie die een directe verbinding met de multicast-bron hebben
Deze multicast pakketten worden een tunnel gegraven naar het rendez-vous point.
IP, versie 6 (IPv6), multicast
Netwerkgebaseerde toepassingsherkenning (NBAR)
ARP-inspectie, alleen met CatOS
Poortbeveiliging, alleen met CatOS
DHCP-controle
Pakketten met een hop-by-hop optieheader
Pakketten met hetzelfde IPv6-adres als dat van routers
Pakketten die niet voldoen aan de controle van de afdwinging van bereik
Pakketten die MTU van de uitvoerlink overschrijden
Pakketten met een TTL van 1 of minder
Pakketten met een ingangsVLAN dat gelijk is aan de uitvoer VLAN
IPv6-routermodule
Software voert deze uRPF uit voor alle pakketten.
IPv6-reflexieve ACL’s
Software verwerkt deze reflexieve ACL’s.
6to4 prefixes voor IPv6 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)-tunnels
Software verwerkt deze tunneling. Al het andere verkeer dat een ISATAP-tunnel binnengaat, is via hardware switched.
In een Kaart voor gedistribueerd doorsturen (DFC) is het lcp-proces dat op een hoge CPU wordt uitgevoerd geen probleem en levert dit geen probleem op voor de werking. Het LCP-schema maakt deel uit van de firmware-code. Op alle modules die geen DFC vereisen, draait de firmware op een specifieke processor, de LCP (Line Card Processor). Deze processor wordt gebruikt om de ASIC hardware te programmeren en te communiceren met de Central Supervisor Module.
Wanneer het lcp schema wordt geïnitieerd, maakt het gebruik van alle beschikbare procestijd. Maar wanneer een nieuw proces processortijd nodig heeft, maakt lcp plannular procestijd vrij voor het nieuwe proces. De prestaties van het systeem worden niet beïnvloed door dit hoge CPU-gebruik. Het proces voegt simpelweg alle ongebruikte CPU-cycli in, zolang er geen hogere prioriteit voor nodig is.
DFC#show process cpu PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 22 0 1 0 0.00% 0.00% 0.00% 0 SCP ChilisLC Lis 23 0 1 0 0.00% 0.00% 0.00% 0 IPC RTTYC Messag 24 0 9 0 0.00% 0.00% 0.00% 0 ICC Slave LC Req 25 0 1 0 0.00% 0.00% 0.00% 0 ICC Async mcast 26 0 2 0 0.00% 0.00% 0.00% 0 RPC Sync 27 0 1 0 0.00% 0.00% 0.00% 0 RPC rpc-master 28 0 1 0 0.00% 0.00% 0.00% 0 Net Input 29 0 2 0 0.00% 0.00% 0.00% 0 Protocol Filteri 30 8 105 76 0.00% 0.00% 0.00% 0 Remote Console P 31 40 1530 26 0.00% 0.00% 0.00% 0 L2 Control Task 32 72 986 73 0.00% 0.02% 0.00% 0 L2 Aging Task 33 4 21 190 0.00% 0.00% 0.00% 0 L3 Control Task 34 12 652 18 0.00% 0.00% 0.00% 0 FIB Control Task 35 9148 165 55442 1.22% 1.22% 1.15% 0 Statistics Task 36 4 413 9 0.00% 0.00% 0.00% 0 PFIB Table Manag 37 655016 64690036 10 75.33% 77.87% 71.10% 0 lcp schedular 38 0 762 0 0.00% 0.00% 0.00% 0 Constellation SP
Wanneer een toegangsgroep een pakket ontkent, verstuurt MSFC onbereikbare ICMP-berichten. Deze actie wordt standaard uitgevoerd.
Met de standaardinstelling van de opdracht IP unreach ables laat de supervisor-engine de meeste ontkende pakketten in hardware vallen. Vervolgens verstuurt de supervisor engine slechts een klein aantal pakketten, een maximum van 10 pps, naar de MSFC voor de drop. Deze actie genereert ICMP-onbereikbare berichten.
De daling van ontkende pakketten en generatie van ICMP-onbereikbare berichten legt een lading op MSFC CPU op. Om de lading te elimineren, kunt u het bevel van de nrp unreach interfaceconfiguratie uitgeven. Met deze opdracht worden ICMP-onbereikbare berichten uitgeschakeld. Hierdoor kan de hardware van alle toegangsgroepen worden gewist.
ICMP-onbereikbare berichten worden niet verzonden als een VACL een pakket ontkent.
NAT maakt gebruik van zowel hardware- als software-doorsturen. De initiële oprichting van de NAT vertalingen moet in software worden gedaan en het verdere door:sturen wordt gedaan met hardware. NAT maakt ook gebruik van de NetFlow-tabel (maximaal 128 KB). Daarom als de NetFlow-tabel vol is, zal de switch ook NAT-doorsturen via software gaan toepassen. Dit gebeurt normaal gesproken met grote verkeersuitbarstingen en veroorzaakt een toename van de CPU van 6500.
Supervisor Engine 1 heeft een Flow Cache Table die 128.000 vermeldingen ondersteunt. Echter, op basis van de efficiëntie van het hashingalgoritme, variëren deze ingangen van 32.000 tot 120.000. Op Supervisor Engine 2 wordt de FIB-tabel gegenereerd en geprogrammeerd in de PFC. De tabel bevat maar liefst 256.000 lemma's. De Supervisor Engine 720 met PFC3-BXL ondersteunt maximaal 1.000.000 vermeldingen. Zodra deze ruimte wordt overschreden, worden de pakketten geschakeld in software. Dit kan een hoog CPU-gebruik op de RP veroorzaken. Gebruik de volgende opdrachten om het aantal routes in de CEF FIB-tabel te controleren:
Router#show processes cpu CPU utilization for five seconds: 99.26% one minute: 100.00% five minutes: 100.00% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process --- ----------- ---------- -------- ------- ------- ------- --- --------------- 1 0 0 0 0.74% 0.00% 0.00% -2 Kernel and Idle 2 2 245 1000 0.00% 0.00% 0.00% -2 Flash MIB Updat 3 0 1 0 0.00% 0.00% 0.00% -2 L2L3IntHdlr 4 0 1 0 0.00% 0.00% 0.00% -2 L2L3PatchRev 5 653 11737 1000 0.00% 0.00% 0.00% -2 SynDi !--- Output is suppressed. 26 10576 615970 1000 0.00% 0.00% 0.00% 0 L3Aging 27 47432 51696 8000 0.02% 0.00% 0.00% 0 NetFlow 28 6758259 1060831 501000 96.62% 96.00% 96.00% 0 Fib 29 0 1 0 0.00% 0.00% 0.00% -2 Fib_bg_task !--- Output is suppressed. CATOS% show mls cef Total L3 packets switched: 124893998234 Total L3 octets switched: 53019378962495 Total route entries: 112579 IP route entries: 112578 IPX route entries: 1 IPM route entries: 0 IP load sharing entries: 295 IPX load sharing entries: 0 Forwarding entries: 112521 Bridge entries: 56 Drop entries: 2 IOS% show ip cef summary IP Distributed CEF with switching (Table Version 86771423), flags=0x0 112564 routes, 1 reresolve, 0 unresolved (0 old, 0 new) 112567 leaves, 6888 nodes, 21156688 bytes, 86771426 inserts, 86658859 invalidations 295 load sharing elements, 96760 bytes, 112359 references universal per-destination load sharing algorithm, id 8ADDA64A 2 CEF resets, 2306608 revisions of existing leaves refcounts: 1981829 leaf, 1763584 node !--- You see these messages if the TCAM space is exceeded: %MLSCEF-SP-7-FIB_EXCEPTION: FIB TCAM exception, Some entries will be software switched %MLSCEF-SP-7-END_FIB_EXCEPTION: FIB TCAM exception cleared, all CEF entries will be hardware switched
Voor Supervisor Engine 2 wordt het aantal FIB-vermeldingen verlaagd tot de helft als u RPF-controle op de interfaces hebt geconfigureerd. Deze configuratie kan leiden tot de software-switch van meer pakketten en dus tot een hoog CPU-gebruik.
Om het hoge CPU-gebruiksprobleem op te lossen, dient u routesamenvatting in te schakelen. Routesamenvatting kan de latentie in een complex netwerk minimaliseren door processorwerkbelasting, geheugenvereisten en bandbreedtevraag te verminderen.
Raadpleeg Inzicht in ACL op Catalyst 6500 Series Switches voor aanvullende informatie over TCAM-gebruik en -optimalisatie.
Geoptimaliseerde ACL-vastlegging (OAL) biedt hardwareondersteuning voor ACL-vastlegging. Tenzij u OAL configureert, vindt het proces van pakketten die vastlegging vereisen volledig in software op MSFC3 plaats. OAL laat of laat pakketten in hardware op PFC3 vallen. OAL gebruikt een geoptimaliseerde routine om informatie naar MSFC3 te verzenden om de logboekberichten te genereren.
N.B.: Raadpleeg voor informatie over OAL het Geoptimaliseerde ACL-vastlegging met een PFC3-sectie Inzicht in Cisco IOS ACL-ondersteuning.
Op de Supervisor Engine 720 kunnen snelheidsbegrenzers de snelheid bepalen waarmee pakketten naar software kunnen gaan. Deze snelheidscontrole helpt denial-of-service-aanvallen te voorkomen. U kunt ook een paar van deze snelheidsbegrenzers gebruiken op Supervisor Engine 2:
Router#show mls rate-limit Rate Limiter Type Status Packets/s Burst --------------------- ---------- --------- ----- MCAST NON RPF Off - - MCAST DFLT ADJ On 100000 100 MCAST DIRECT CON Off - - ACL BRIDGED IN Off - - ACL BRIDGED OUT Off - - IP FEATURES Off - - ACL VACL LOG On 2000 1 CEF RECEIVE Off - - CEF GLEAN Off - - MCAST PARTIAL SC On 100000 100 IP RPF FAILURE On 500 10 TTL FAILURE Off - - ICMP UNREAC. NO-ROUTE On 500 10 ICMP UNREAC. ACL-DROP On 500 10 ICMP REDIRECT Off - - MTU FAILURE Off - - LAYER_2 PDU Off - - LAYER_2 PT Off - - IP ERRORS On 500 10 CAPTURE PKT Off - - MCAST IGMP Off - - Router(config)#mls rate-limit ? all Rate Limiting for both Unicast and Multicast packets layer2 layer2 protocol cases multicast Rate limiting for Multicast packets unicast Rate limiting for Unicast packets
Hierna volgt een voorbeeld:
Router(config)#mls rate-limit layer2 l2pt 3000
Om alle CEF-gepunte pakketten aan MSFC te beoordelen, geef het bevel uit dat in dit voorbeeld is:
Router(config)#mls ip cef rate-limit 50000
Om het aantal pakketten te verminderen dat aan CPU toe te schrijven aan TTL=1 wordt gestraft, geef dit bevel uit:
Router(config)#mls rate-limit all ttl-failure 15
!--- where 15 is the number of packets per second with TTL=1. !--- The valid range is from 10 to 1000000 pps.
Dit is bijvoorbeeld de uitvoer van de netdr-opname, waaruit blijkt dat IPv4 TTL 1 is:
Source mac 00.00.50.02.10.01 3644 Dest mac AC.A0.16.0A.B0.C0 4092 Protocol 0800 4094 Interface Gi1/8 3644 Source vlan 0x3FD(1021) 3644 Source index 0x7(7) 3644 Dest index 0x380(896) 3654 L3 ipv4 source 211.204.66.117 762 ipv4 dest 223.175.252.49 3815 ipv4 ttl 1 3656 ipv6 source - 0 ipv6 dest - 0 ipv6 hoplt - 0 ipv6 flow - 0 ipv6 nexthdr - 0
Hoge CPU kan ook te wijten zijn aan pakketten met TTL=1 die aan de CPU worden uitgelekt. Om het aantal pakketten te beperken dat naar de CPU is gelekt, moet u een hardwaresnelheidsbegrenzer configureren. Snelheidsbegrenzers kunnen pakketten met snelheden beperken die van het hardwaregegevenspad naar het softwaredatapad zijn gelekt. Snelheidsbegrenzers beschermen het pad voor de softwarecontrole tegen congestie door het verkeer dat de ingestelde snelheid overschrijdt te laten vallen. De snelheidslimiet is ingesteld met behulp van de mls rate-limit all-fail opdracht.
Een hoog CPU-gebruik kan ook resulteren uit de samenvoeging van twee of meer VLAN’s als gevolg van onjuiste bekabeling. Als STP is uitgeschakeld op de poorten waar de VLAN-fusie plaatsvindt, kan ook een hoog CPU-gebruik optreden.
Om dit probleem op te lossen, identificeer de aanleg van kabelnettenfouten en verbeter hen. Als uw behoefte toestaat, kunt u STP op die poorten ook inschakelen.
Een LAN uitzendingsonweer komt voor wanneer de uitzending of multicast pakketten LAN overstromen, die tot bovenmatig verkeer leiden en netwerkprestaties verminderen. De fouten in de protocol-stapel implementatie of in de netwerkconfiguratie kunnen een uitzendingsonweer veroorzaken.
Vanwege het architecturale ontwerp van het Catalyst 6500 Series platform worden de uitzendpakketten alleen en altijd op softwareniveau weergegeven.
Broadcast-onderdrukking voorkomt de verstoring van LAN-interfaces door een uitzendingsonweer. Bij broadcast-onderdrukking wordt gebruik gemaakt van filtering die de uitzendactiviteit op een LAN gedurende een periode van 1 seconde meet. De meting wordt vervolgens vergeleken met een vooraf gedefinieerde drempelwaarde. Als de drempel wordt bereikt, wordt verdere uitzendactiviteit voor de duur van een gespecificeerde tijdspanne onderdrukt. Broadcast-onderdrukking is standaard uitgeschakeld.
Opmerking: VRRP flappen van back-up naar master veroorzaakt door broadcast stormen kan hoge CPU-gebruik veroorzaken.
Om te begrijpen hoe broadcast-onderdrukking werkt en om de functie in te schakelen, raadpleegt u:
Uitzendonderdrukking configureren (Cisco IOS-systeemsoftware)
Uitzendonderdrukking configureren (CatOS-systeemsoftware)
Het proces van de Scanner BGP loopt de BGP- lijst en bevestigt bereikbaarheid van de volgende hop. Dit proces controleert ook voorwaardelijke advertenties om te bepalen of BGP conditievoorvoegsels moet adverteren en/of routedemping moet uitvoeren. Standaard wordt elke 60 seconden gescand.
U kunt een hoog CPU-gebruik verwachten voor korte periodes vanwege het BGP-scanproces op een router die een grote internetrouteringstabel bevat. Eenmaal per minuut voert de BGP-scanner de BGP Routing Information Base (RIB)-tabel uit en voert hij belangrijke onderhoudstaken uit. Deze taken omvatten:
Een controle van de volgende hop die in de router BGP-tabel van verwijzingen wordt voorzien
Verificatie dat de volgende-hop apparaten kunnen worden bereikt
Zo duurt een grote BGP-tabel een equivalente grote hoeveelheid tijd om te lopen en gevalideerd te worden. Het proces van de Scanner BGP bekijkt de BGP- lijst om het even welke gegevensstructuren bij te werken en loopt de routeringstabel voor de doeleinden van de routeherdistributie. Beide tabellen worden afzonderlijk opgeslagen in het routergeheugen. Beide tabellen kunnen zeer groot zijn en verbruiken dus CPU-cycli.
Raadpleeg voor meer informatie over CPU-gebruik door het BGP-routerproces de Hoge CPU, vanwege het gedeelte BGP-scanner van het Problemen oplossen van hoge CPU’s veroorzaakt door de BGP-scanner of het BGP-routerproces.
Zie BGP-ondersteuning voor adrestracering van volgende hop voor meer informatie over de functie BGP-adrestracering voor volgende hop en de procedure om de scaninterval in/uit te schakelen of aan te passen.
Multicast-routing (in tegenstelling tot unicast-routing) is alleen van belang voor de bron van een bepaalde multicast gegevensstroom. Dat wil zeggen, het IP-adres van het apparaat dat het multicast-verkeer genereert. Het basisprincipe is dat het bronapparaat de stroom "duwt" naar een onbepaald aantal ontvangers (binnen zijn multicast groep). Alle multicast routers maken distributiebomen, die het pad controleren dat multicast verkeer door het netwerk neemt om verkeer aan alle ontvangers te leveren. De twee basistypes van multicast distributiebomen zijn bron bomen en gedeelde bomen. RPF is een belangrijk concept in multicast doorsturen. Het laat routers toe om multicast verkeer onderaan de distributieboom correct door:sturen. RPF maakt gebruik van de bestaande unicast-routertabel om de upstream en downstream buren te bepalen. Een router door:sturen een multicast pakket slechts als het op de stroomopwaartse interface wordt ontvangen. Deze RPF-controle helpt te garanderen dat de distributieboom lusvrij is.
Multicastverkeer is altijd zichtbaar door elke router op een overbrugd (Layer 2) LAN, volgens de IEEE 802.3 CSMA/CD-specificatie. In de 802.3 standaard wordt bit 0 van het eerste octet gebruikt om een broadcast- en/of multicastframe aan te geven en elke Layer 2-frame met dit adres wordt overspoeld. Dit is ook het geval als CGMP- of IGMP-controle is geconfigureerd. Dit is omdat multicast routers het multicast verkeer moeten zien, als zij worden verwacht om een juist het door:sturen besluit te maken. Als meerdere multicast routers elk interfaces op een gemeenschappelijke LAN hebben, dan stuurt slechts één router de gegevens door (gekozen door een verkiezingsproces). Vanwege de overstroming van LAN’s ontvangt de redundante router (router die het multicast-verkeer niet doorstuurt) deze gegevens op de uitgaande interface voor dat LAN. De overtollige router laat dit verkeer normaal vallen, omdat het op de verkeerde interface is aangekomen en daarom de controle RPF ontbreekt. Dit verkeer dat de PDF-controle mislukt, wordt niet-RPF-verkeer of RPF-storingspakketten genoemd, omdat ze achterwaarts zijn verzonden tegen de stroom uit de bron.
Catalyst 6500 met een MSFC geïnstalleerd, kan worden geconfigureerd om als volledige multicast router te fungeren. Door gebruik te maken van Multicast Multi-Layer Switching (MLS) wordt RPF-verkeer meestal doorgestuurd door de hardware binnen de switch. De ASIC's krijgen informatie van de multicast-routerstatus (*, G) en (S, G) bijvoorbeeld), zodat een hardwaresneltoets in de NetFlow- en/of FIB-tabel kan worden geprogrammeerd. Dit niet-RPF-verkeer is in sommige gevallen nog steeds nodig en wordt vereist door de MSFC CPU (op procesniveau) voor het PIM Assert mechanisme. Anders wordt de software automatisch uitgeschakeld door het pad van de snel-switching (ervan uitgaande dat de snel-switching van de software niet uitgeschakeld is op de RPF-interface).
Catalyst 6500 die redundantie gebruikt, kan niet-RPF-verkeer in bepaalde topologieën efficiënt verwerken. Voor niet-RPF-verkeer is er gewoonlijk geen (*,G) of (S,G) status in de redundante router, en daarom kunnen er geen hardware- of softwaresneltoetsen worden gemaakt om het pakket te laten vallen. Elk multicast pakket moet afzonderlijk door de MSFC routeprocessor worden onderzocht, en dit wordt vaak aangeduid als CPU Interrupt verkeer. Met Layer 3-hardwareschakeling en meerdere interfaces/VLAN’s die dezelfde set routers verbinden, wordt het niet-RPF-verkeer dat de CPU van de redundante MSFC raakt, vergroot "N" maal de oorspronkelijke bronsnelheid (waarbij "N" het aantal LAN’s is waarmee de router redundant is verbonden). Als de snelheid van het niet-RPF-verkeer de pakketverlopende capaciteit van het systeem overtreft, kan dit leiden tot een hoog CPU-gebruik, bufferoverstromen en algemene netwerkinstabiliteit.
Met Catalyst 6500 is er een toegangslijst-engine die het filteren mogelijk maakt op basis van de draadsnelheid. Deze functie kan worden gebruikt om in bepaalde situaties niet-RPF-verkeer voor Sparse Mode-groepen efficiënt te verwerken. U kunt alleen de op ACL gebaseerde methode gebruiken binnen de 'stub-netwerken' met kleine modi, waar geen downstream multicast routers (en bijbehorende ontvangers) zijn. Bovendien, wegens het pakket het door:sturen ontwerp van Catalyst 6500, kan intern overtollige MSFCs deze implementatie niet gebruiken. Dit wordt aangegeven in de Cisco bug-id CSCdr74908 (alleen geregistreerde klanten). Voor dense-mode groepen, moeten de niet-RPF pakketten op de router voor het mechanisme van de PIM Assert worden gezien om behoorlijk te functioneren. Verschillende oplossingen, zoals op CEF of NetFlow gebaseerde snelheidsbeperking en QoS worden gebruikt om RPF-storingen in dichte-mode netwerken en spaarstand-transitnetwerken te beheersen.
Op Catalyst 6500 is er een toegangslijst engine die het filteren mogelijk maakt op basis van de wirespeed. Deze functie kan worden gebruikt om niet-RPF-verkeer voor Sparse Mode-groepen efficiënt te verwerken. Om deze oplossing te implementeren, plaatst u een toegangslijst op de inkomende interface van het 'stub-netwerk' om multicast-verkeer te filteren dat niet afkomstig is van het 'stub-netwerk'. De toegangslijst is naar de hardware in de switch verplaatst. Deze toegangslijst voorkomt dat de CPU het pakket ooit ziet en laat de hardware het niet-RPF-verkeer vallen.
Opmerking: Plaats deze toegangslijst niet op een transitinterface. Het is alleen bedoeld voor stub-netwerken (netwerken met alleen hosts).
Raadpleeg deze documenten voor meer informatie:
Het gebruik van cpu wanneer u een show bevel uitgeeft is altijd bijna 100%. Het is normaal om hoog CPU-gebruik te hebben wanneer u een show opdracht geeft en blijft normaal slechts een paar seconden.
Het is bijvoorbeeld normaal dat het Virtual Exec-proces hoog gaat wanneer u een opdracht voor show tech-support uitgeeft omdat deze uitvoer een onderbrekingsgestuurde uitvoer is. Uw enige zorg is het hebben van een hoge CPU in andere processen dan toon opdrachten.
De show cef niet-cef-switched opdracht toont waarom pakketten worden gepunteerd op de MSFC (ontvang, ip optie, geen nabijheid, etc) en hoeveel. Voorbeeld:
Switch#show cef not-cef-switched CEF Packets passed on to next switching layer Slot No_adj No_encap Unsupp'ted Redirect Receive Options Access Frag RP 6222 0 136 0 60122 0 0 0 5 0 0 0 0 0 0 0 0 IPv6 CEF Packets passed on to next switching layer Slot No_adj No_encap Unsupp'ted Redirect Receive Options Access MTU RP 0 0 0 0 0 0 0 0
De opdrachten show ibc en show ibc short tonen de CPU-wachtrij en kunnen worden gebruikt wanneer u de CPU-status controleert.
Het Exec-proces in Cisco IOS-software is verantwoordelijk voor communicatie op de TTY-lijnen (console, hulpmodules, asynchrone verbindingen) van de router. Het Virtual Exec-proces is verantwoordelijk voor de VTY-lijnen (Telnet-sessies). De Exec- en Virtual Exec-processen zijn processen met een gemiddelde prioriteit. Als er dus andere processen zijn met een hogere prioriteit (Hoog of Kritiek), krijgen de processen met een hogere prioriteit de CPU-bronnen.
Als er veel gegevens worden overgebracht door deze sessies, neemt het CPU-gebruik voor het Exec-proces toe. Dit is omdat wanneer de router een eenvoudig karakter door deze lijnen wil verzenden, de router sommige middelen van cpu gebruikt:
Voor de console (Exec), gebruikt de router één onderbreking per teken.
Voor de VTY-lijn (Virtual Exec) moet de Telnet-sessie één TCP-pakket per teken maken.
Deze lijst beschrijft een aantal mogelijke redenen voor een hoog CPU-gebruik in het Exec-proces:
Er worden te veel gegevens verzonden via de consolepoort.
Controleer of er debugs zijn gestart op de router met de show debugging opdracht.
Schakel console-logboekregistratie op de router uit met de no form van de opdracht logboekconsole.
Controleer of een lange uitvoer op de console is afgedrukt. Bijvoorbeeld, show tech-support of een show memory opdracht.
Het exec-commando is geconfigureerd voor asynchrone en aanvullende lijnen.
Als een lijn alleen uitgaand verkeer heeft, schakelt u het Exec-proces voor deze lijn uit. Dit komt doordat als het apparaat (bijvoorbeeld een modem) dat op deze regel is aangesloten, ongevraagde gegevens verstuurt, het Exec-proces op deze regel wordt gestart.
Als de router wordt gebruikt als een terminalserver (voor omgekeerd Telnet naar andere apparaatconsoles), wordt aanbevolen om de opdracht noexec te configureren op de lijnen die zijn aangesloten op de console van de andere apparaten. Gegevens die terugkomen van de console kunnen anders een Exec-proces starten, waarbij CPU-bronnen worden gebruikt.
Een mogelijke reden voor het hoge CPU-gebruik in het Virtual Exec-proces is:
Er worden te veel gegevens verzonden over de Telnet-sessies.
De meest voorkomende reden voor een hoog CPU-gebruik in het Virtual Exec-proces is dat er te veel gegevens worden overgebracht van de router naar de Telnet-sessie. Dit kan gebeuren wanneer opdrachten met lange uitgangen zoals show tech-support, show memory, etc. worden uitgevoerd vanaf de Telnet-sessie. De hoeveelheid gegevens die door elke VTY-sessie worden overgebracht kan worden geverifieerd met de show tcp vty <line number>-opdracht.
Wanneer het L3 verouderingsproces een groot aantal indexwaarden exporteert met NetFlow Data Export (NDE), kan het CPU-gebruik 100% raken.
Als u dit probleem ondervindt, controleert u of deze twee opdrachten zijn ingeschakeld:
set mls nde destination-ifindex enable
set mls nde source-ifindex enable
Als u deze opdrachten inschakelt, moet het proces alle bestemmings- en bronindexwaarden exporteren met behulp van NDE. Het L3 verouderingsproces gebruik gaat hoog aangezien het FIB lookup voor alle bestemming en bron index waarden moet uitvoeren. Hierdoor wordt de tabel vol, gaat het verouderingsproces van de L3 hoog en bereikt het CPU-gebruik 100%.
Schakel deze opdrachten uit om dit probleem op te lossen:
set mls nde destination-ifindex disable
set mls nde source-ifindex disable
Gebruik deze opdrachten om de waarden te controleren:
Spanning Tree onderhoudt een lusvrije Layer 2-omgeving in redundant switched en bruggen netwerken. Zonder STP, frames loop en/of vermenigvuldig oneindig. Deze gebeurtenis veroorzaakt een netwerkmeltdown omdat het hoge verkeer alle apparaten in het uitzendingsdomein onderbreekt.
In sommige opzichten is STP een vroeg protocol dat aanvankelijk was ontwikkeld voor langzame op software gebaseerde brugspecificaties (IEEE 802.1D), maar STP kan worden gecompliceerd om het met succes te implementeren in grote switched netwerken die deze functies hebben:
Veel VLAN’s
Veel switches in een STP-domein
Ondersteuning voor meerdere leveranciers
Verbeteringen in nieuwere IEEE
Als het netwerk te maken heeft met frequente omspanningsberekeningen of als de switch meer BPDU's moet verwerken, kan dit resulteren in een hoge CPU, evenals BPDU-druppels.
Voer een of meer van de volgende stappen uit om deze problemen op te lossen:
VLAN’s uit de switches snoeien.
Gebruik een verbeterde versie van STP, zoals MST.
Upgrade de hardware van de switch.
Raadpleeg ook best practices voor het implementeren van Spanning Tree Protocol in het netwerk.
Op basis van de architectuur van Catalyst 6000/6500 Series Switches hebben SPAN-sessies geen invloed op de prestaties van de switch, maar als de SPAN-sessie een hoge verkeers-/uplinkpoort of een EtherChannel-poort bevat, kan dit de belasting op de processor vergroten. Als het dan een specifiek VLAN uitkiest, verhoogt het de werkbelasting nog meer. Als er slecht verkeer op de link is, kan dat de werklast verder verhogen.
In sommige scenario's kan de RSPAN-functie loops veroorzaken en neemt de belasting op de processor toe. Raadpleeg voor meer informatie Waarom maakt de SPAN-sessie een overbruggingslus?
De switch kan verkeer als gebruikelijk overgaan aangezien alles in hardware is, maar de CPU kan slaan als het probeert om erachter te komen welk verkeer door te sturen. Aanbevolen wordt om SPAN-sessies alleen te configureren wanneer dit vereist is.
%CFIB-SP-7-CFIB_EXCEPTION : FIB TCAM exception, Some entries will be software switched %CFIB-SP-STBY-7-CFIB_EXCEPTION : FIB TCAM exception, Some entries will be software switched
Deze foutmelding wordt ontvangen wanneer de hoeveelheid beschikbare ruimte in de TCAM wordt overschreden. Dit resulteert in een hoge CPU. Dit is een FIB TCAM-beperking. Zodra TCAM vol is, wordt een vlag ingesteld en wordt FIB TCAM-uitzondering ontvangen. Dit voorkomt het toevoegen van nieuwe routes aan de TCAM. Daarom zal alles software switched. Het verwijderen van routes helpt niet om hardwareschakeling te hervatten. Zodra TCAM de uitzonderingsstaat ingaat, moet het systeem worden herladen om uit die staat te komen. De maximale routes die kunnen worden geïnstalleerd in TCAM worden verhoogd door de opdracht mls cef maximum-routes.
Schakel mls ipv6 acl compress address unicast in . Deze opdracht is vereist als de IPv6 ACL overeenkomt met de poortnummers van het L4-protocol. Als deze opdracht niet is ingeschakeld, wordt IPv6-verkeer naar de CPU gestraft voor softwareverwerking. Deze opdracht is standaard niet ingesteld.
In Cisco ME 6500 Series Ethernet-switches vereist koper SFP’s meer firmware-interactie dan andere SFP’s, waardoor het CPU-gebruik toeneemt.
De softwarealgoritmen die koper SFP’s beheren, zijn verbeterd in de Cisco IOS SXH-releases.
In Cisco Catalyst 6500 Series switches waarin modulaire IOS-software wordt uitgevoerd, is het normale CPU-gebruik iets groter dan niet-modulaire IOS-software.
Modulaire IOS-software betaalt een prijs per activiteit meer dan het betaalt een prijs per pakket. Modulaire IOS-software onderhoudt de processen door bepaalde CPU's te gebruiken, zelfs als er niet veel pakketten zijn, zodat het CPU-verbruik niet is gebaseerd op het feitelijke verkeer. Wanneer pakketten echter snel worden verwerkt, kan de CPU die in modulaire IOS-software wordt verbruikt, niet meer zijn dan die in niet-modulaire IOS-software.
Als het gebruik van cpu hoog is, geef eerst het cpu van showprocessen uit. De output toont u het gebruik van cpu op de switch evenals het verbruik van cpu door elk proces.
Router#show processes cpu CPU utilization for five seconds: 57%/48%; one minute: 56%; five minutes: 48% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 1 0 5 0 0.00% 0.00% 0.00% 0 Chunk Manager 2 12 18062 0 0.00% 0.00% 0.00% 0 Load Meter 4 164532 13717 11994 0.00% 0.21% 0.17% 0 Check heaps 5 0 1 0 0.00% 0.00% 0.00% 0 Pool Manager !--- Output is suppressed. 172 0 9 0 0.00% 0.00% 0.00% 0 RPC aapi_rp 173 243912 2171455 112 9.25% 8.11% 7.39% 0 SNMP ENGINE 174 68 463 146 0.00% 0.00% 0.00% 0 RPC pm-mp !--- Output is suppressed.
In deze uitvoer is de totale CPU-benutting 57 procent en de onderbreking in het CPU-gebruik 48 procent. Hier verschijnen deze percentages in vet gedrukte tekst. De interrupt switch van verkeer door de CPU veroorzaakt het interrupt CPU-gebruik. De opdrachtoutput beschrijft de processen die het verschil tussen de twee toepassingen veroorzaken. In dit geval is de oorzaak het SNMP-proces.
Op de supervisor engine die CatOS draait, ziet de uitvoer er als volgt uit:
Switch> (enable) show processes cpu CPU utilization for five seconds: 99.72% one minute: 100.00% five minutes: 100.00% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process --- ----------- ---------- -------- ------- ------- ------- --- --------------- 1 0 0 0 0.28% 0.00% 0.00% -2 Kernel and Idle 2 2 261 1000 0.00% 0.00% 0.00% -2 Flash MIB Updat 3 0 1 0 0.00% 0.00% 0.00% -2 L2L3IntHdlr 4 0 1 0 0.00% 0.00% 0.00% -2 L2L3PatchRev !--- Output is suppressed. 61 727295 172025 18000 0.82% 0.00% 0.00% -2 SptTimer 62 18185410 3712736 106000 22.22% 21.84% 21.96% -2 SptBpduRx 63 845683 91691 105000 0.92% 0.00% 0.00% -2 SptBpduTx
In deze output, is het eerste proces Kernel en Idle, die het nutteloze gebruik van cpu toont. Dit proces is normaal hoog, tenzij sommige andere processen CPU-cycli gebruiken. In dit voorbeeld veroorzaakt het SptBpduRx-proces een hoog CPU-gebruik.
Als het CPU-gebruik hoog is door een van deze processen, kunt u probleemoplossing uitvoeren en bepalen waarom dit proces zo hoog wordt uitgevoerd. Maar als de CPU hoog is doordat verkeer naar de CPU wordt gestraft, moet u bepalen waarom het verkeer wordt gestraft. Deze vastberadenheid kan u helpen identificeren wat het verkeer is.
Voor het oplossen van problemen, gebruik dit EEM scriptvoorbeeld om de output van de switch te verzamelen wanneer u hoog CPU gebruik ervaart:
event manager applet cpu_stats event snmp oid "1.3.6.1.4.1.9.9.109.1.1.1.1.3.1" get-type exact entry-op gt entry-val "70" exit-op lt exit-val "50" poll-interval 5 action 1.01 syslog msg "------HIGH CPU DETECTED----, CPU:$_snmp_oid_val%" action 1.02 cli command "enable" action 1.03 cli command "show clock | append disk0:cpu_stats" action 1.04 cli command "show proc cpu sort | append disk0:cpu_stats" action 1.05 cli command "Show proc cpu | exc 0.00% | append disk0:cpu_stats" action 1.06 cli command "Show proc cpu history | append disk0:cpu_stats" action 1.07 cli command "show logging | append disk0:cpu_stats " action 1.08 cli command "show spanning-tree detail | in ieee|occurr|from|is exec | append disk0:cpu_stats" action 1.09 cli command "debug netdr cap rx | append disk0:cpu_stats" action 1.10 cli command "show netdr cap | append disk0:cpu_stats" action 1.11 cli command "undebug all" !
Opmerking: de opdracht debug netdr capture rx is handig wanneer de CPU hoog is vanwege processwitching van pakketten in plaats van hardware. Het neemt 4096 pakketten op die naar de CPU komen wanneer de opdracht wordt uitgevoerd. Deze opdracht is volledig veilig en is het handigste gereedschap voor hoge CPU-problemen op de 6500. Dit veroorzaakt geen extra belasting van de CPU.
In deze sectie worden enkele hulpprogramma's en tools beschreven die u kunnen helpen om dit verkeer te bekijken.
In Cisco IOS-software wordt de switch-processor op de supervisor-engine de SP genoemd en wordt de MSFC de RP genoemd.
Het bevel van de showinterface geeft basisinformatie over de staat van de interface en het verkeerstarief op de interface. De opdracht geeft ook fouttellers.
Router#show interface gigabitethernet 4/1 GigabitEthernet4/1 is up, line protocol is up (connected) Hardware is C6k 1000Mb 802.3, address is 000a.42d1.7580 (bia 000a.42d1.7580) Internet address is 100.100.100.2/24 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 100Mb/s input flow-control is off, output flow-control is off Clock mode is auto ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output 00:00:00, output hang never Last clearing of "show interface" counters never Input queue: 5/75/1/24075 (size/max/drops/flushes); Total output drops: 2 Queueing strategy: fifo Output queue: 0/40 (size/max) 30 second input rate 7609000 bits/sec, 14859 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec L2 Switched: ucast: 0 pkt, 184954624 bytes - mcast: 1 pkt, 500 bytes L3 in Switched: ucast: 2889916 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes 2982871 packets input, 190904816 bytes, 0 no buffer Received 9 broadcasts, 0 runts, 0 giants, 0 throttles 1 input errors, 1 CRC, 0 frame, 28 overrun, 0 ignored 0 input packets with dribble condition detected 1256 packets output, 124317 bytes, 0 underruns 2 output errors, 1 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out
In deze uitvoer kunt u zien dat het inkomende verkeer Layer 3-switched is in plaats van Layer 2-switched. Dit geeft aan dat het verkeer wordt gekopieerd naar de CPU.
De cpu-opdracht verwerkt in de show vertelt u of deze pakketten reguliere verkeerspakketten zijn of controlepakketten.
Router#show processes cpu | exclude 0.00 CPU utilization for five seconds: 91%/50%; one minute: 89%; five minutes: 47% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 5 881160 79142 11133 0.49% 0.19% 0.16% 0 Check heaps 98 121064 3020704 40 40.53% 38.67% 20.59% 0 IP Input 245 209336 894828 233 0.08% 0.05% 0.02% 0 IFCOM Msg Hdlr
Als de pakketten proces-switched zijn, ziet u dat het IP Invoerproces hoog loopt. Geef deze opdracht uit om deze pakketten te zien:
Router#show buffers input-interface gigabitethernet 4/1 packet Buffer information for Small buffer at 0x437874D4 data_area 0x8060F04, refcount 1, next 0x5006D400, flags 0x280 linktype 7 (IP), enctype 1 (ARPA), encsize 14, rxtype 1 if_input 0x505BC20C (GigabitEthernet4/1), if_output 0x0 (None) inputtime 00:00:00.000 (elapsed never) outputtime 00:00:00.000 (elapsed never), oqnumber 65535 datagramstart 0x8060F7A, datagramsize 60, maximum size 308 mac_start 0x8060F7A, addr_start 0x8060F7A, info_start 0x0 network_start 0x8060F88, transport_start 0x8060F9C, caller_pc 0x403519B4 source: 100.100.100.1, destination: 100.100.100.2, id: 0x0000, ttl: 63, TOS: 0 prot: 17, source port 63, destination port 63 08060F70: 000A 42D17580 ..BQu. 08060F80: 00000000 11110800 4500002E 00000000 ........E....... 08060F90: 3F11EAF3 64646401 64646402 003F003F ?.jsddd.ddd..?.? 08060FA0: 001A261F 00010203 04050607 08090A0B ..&............. 08060FB0: 0C0D0E0F 101164 ......d
Als het verkeer wordt onderbroken switched, kunt u die pakketten met het bevel van de show buffers input-interface niet zien. Om de pakketten te zien die aan RP voor onderbrekingsomschakeling worden gepunteerd, kunt u een Switched Port Analyzer (SPAN) opname van de RP-poort uitvoeren.
N.B.: Raadpleeg dit document voor aanvullende informatie over onderbreking-switched versus proces-switched CPU-gebruik:
Hoog CPU-gebruik als gevolg van onderbrekingen in sectie Hoge CPU-gebruik van probleemoplossing op Cisco-routers
Een SPAN voor de RP- of SP-poort in Cisco IOS-software is beschikbaar in Cisco IOS-softwarerelease 12.1(19)E en hoger.
Dit is de opdrachtsyntaxis:
test monitor session 1-66 add {rp-inband | sp-inband} [rx | tx | both]
Gebruik deze syntaxis voor de Cisco IOS-softwarereleases 12.2 SX:
test monitor add {1..66} {rp-inband | sp-inband} {rx | tx | both}
Opmerking: voor de SXH-release moet u de opdracht monitorsessie gebruiken om een lokale SPAN-sessie te configureren en vervolgens deze opdracht gebruiken om de SPAN-sessie te koppelen aan de CPU:
source {cpu {rp | sp}} | single_interface | interface_list | interface_range | mixed_interface_list | single_vlan | vlan_list | vlan_range | mixed_vlan_list} [rx | tx | both]
N.B.: Raadpleeg voor meer informatie over deze opdrachten de Configuratiemodus voor lokale SPAN (SPAN Configuration Mode) in de Configuratiehandleiding voor de Catalyst 6500 release 12.2SX software.
Hier is een voorbeeld op een RP-console:
Router#monitor session 1 source interface fast 3/3 !--- Use any interface that is administratively shut down. Router#monitor session 1 destination interface 3/2
Ga nu naar de SP-console. Hierna volgt een voorbeeld:
Router-sp#test monitor session 1 add rp-inband rx
Opmerking: in Cisco IOS 12.2 SX releases is de opdracht gewijzigd in testmonitor add 1 rp-inband rx.
Router#show monitor Session 1 --------- Type : Local Session Source Ports : Both : Fa3/3 Destination Ports : Fa3/2 SP console: Router-sp#test monitor session 1 show Ingress Source Ports: 3/3 15/1 Egress Source Ports: 3/3 Ingress Source Vlans: <empty> Egress Source Vlans: <empty> Filter Vlans: <empty> Destination Ports: 3/2
Opmerking: in Cisco IOS 12.2 SX releases is de opdracht gewijzigd in testmonitor tonen 1.
Hier is een voorbeeld op een SP-console:
Router-sp#test monitor session 1 show Ingress Source Ports: 3/3 15/1 Egress Source Ports: 3/3 Ingress Source Vlans: <empty> Egress Source Vlans: <empty> Filter Vlans: <empty> Destination Ports: 3/2
Voor switches die CatOS systeemsoftware uitvoeren, voert de supervisor engine CatOS uit en de MSFC voert Cisco IOS-software uit.
Als u de opdracht show mac uitgeeft, kunt u het aantal frames zien dat naar de MSFC wordt gestraft. Port 15/1 is de supervisor-motorverbinding met de MSFC.
Opmerking: de poort is 16/1 voor supervisor-motoren in sleuf 2.
Console> (enable) show mac 15/1 Port Rcv-Unicast Rcv-Multicast Rcv-Broadcast -------- -------------------- -------------------- -------------------- 15/1 193576 0 1 Port Xmit-Unicast Xmit-Multicast Xmit-Broadcast -------- -------------------- -------------------- -------------------- 15/1 3 0 0 Port Rcv-Octet Xmit-Octet -------- -------------------- -------------------- 15/1 18583370 0 MAC Dely-Exced MTU-Exced In-Discard Out-Discard -------- ---------- ---------- ---------- ----------- 15/1 0 - 0 0
Een snelle stijging van dit getal geeft aan dat pakketten worden gekopieerd naar de MSFC, wat een hoog CPU-gebruik veroorzaakt. U kunt de pakketten dan op deze manieren bekijken:
Stel een SPAN-sessie in waarin de bron de MSFC-poort 15/1 (of 16/1) is en de bestemming een Ethernet-poort is.
Hierna volgt een voorbeeld:
Console> (enable) set span 15/1 5/10 Console> (enable) show span Destination : Port 5/10 Admin Source : Port 15/1 Oper Source : None Direction : transmit/receive Incoming Packets: disabled Learning : enabled Multicast : enabled Filter : - Status : active
Als u een snuffelspoor op poort 5/10 verzamelt, toont het snuffelspoor pakketten die verzenden naar en van de MSFC. Configureer de SPAN-sessie als tx om pakketten op te nemen die alleen bestemd zijn voor de MSFC, en niet voor de MSFC.
Stel een SPAN-sessie in met de sc0-interface als bron om frames op te nemen die naar de supervisor-engine CPU gaan.
Console> (enable) set span ? disable Disable port monitoring sc0 Set span on interface sc0 <mod/port> Source module and port numbers <vlan> Source VLAN numbers
Opmerking: voor optische servicesmodules (optische servicesmodules) kunt u geen SPAN-opname van verkeer uitvoeren.
Het gebruik van de supervisor-motor van CPU weerspiegelt niet de prestaties van de switch bij het doorsturen van hardware. Toch moet u de basislijn en het gebruik van de supervisor engine CPU.
Basislijn de supervisor engine CPU-benutting voor de switch in een steady-state netwerk met normale verkeerspatronen en -belasting.
Let op welke processen het hoogste CPU gebruik genereren.
Wanneer u het gebruik van cpu problemen oplost, overweeg deze vragen:
Welke processen genereren het hoogste gebruik? Zijn deze processen anders dan je basislijn?
Wordt de CPU constant verhoogd ten opzichte van de basislijn? Of zijn er pieken van hoog gebruik, en dan een terugkeer naar de basisniveaus?
Zijn er topologische wijzigingsmeldingen (TCN’s) in het netwerk?
Opmerking: Flappende poorten of hostpoorten met STP PortFast uitgeschakeld veroorzaken TCN's.
Is er buitensporig uitzending- of multicastverkeer in de beheersubnetten/VLAN?
Is er excessief beheerverkeer, zoals SNMP-peilingen, op de switch?
Tijdens de hoge CPU-tijd (wanneer de CPU 75% of hoger is) dient u de uitvoer van deze opdrachten te verzamelen:
Indien mogelijk, isoleer het beheer VLAN van VLAN’s met verkeer van gebruikersgegevens, in het bijzonder zwaar uitzendingsverkeer.
De voorbeelden van dit type van verkeer omvatten IPX RIP/Service Advertising Protocol (SAP), AppleTalk, en ander uitzendingsverkeer. Zulk verkeer kan van invloed zijn op het gebruik van de CPU van de supervisor-motor en kan in extreme gevallen de normale werking van de switch verstoren.
Als de CPU hoog loopt vanwege het punt van verkeer naar de RP, moet u bepalen wat dat verkeer is en waarom het verkeer wordt gestraft.
Om deze bepaling te maken, gebruikt u de hulpprogramma's die door de hulpprogramma's en tools worden beschreven om het verkeer te bepalen dat naar de CPU-sectie wordt gekopieerd.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
11-Feb-2005
|
Eerste vrijgave |