Catalyst 6500/6000 Switch met hoge CPU-benutting

Downloadopties

  • PDF     (355.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:27 augustus 2012
Document-id:63992

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft oorzaken van hoog CPU-gebruik op Cisco Catalyst 6500/6000 Series Switches en op Virtual Switching System (VSS) 1440 gebaseerde systemen. Net als Cisco-routers gebruiken switches de opdracht cpu van showprocessen om CPU-gebruik voor de processor van de switch Supervisor Engine te tonen. Wegens de verschillen in architectuur en verzendmechanismen tussen Cisco-routers en -switches verschilt de standaarduitvoer van de cpu-opdracht van showprocessen aanzienlijk. Ook de betekenis van de output verschilt. Dit document verduidelijkt deze verschillen en beschrijft CPU-gebruik op de switches en hoe de cpu-opdrachtoutput van showprocessen moet worden geïnterpreteerd.

Opmerking: in dit document verwijzen de woorden "switch" en "switches" naar Catalyst 6500/6000 Switches.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de software- en hardwareversies voor Catalyst 6500/6000 Switches en op Virtual Switching System (VSS) 1440 gebaseerde systemen.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Opmerking: de ondersteunde software voor op Virtual Switching System (VSS) 1440 gebaseerde systemen is Cisco IOS®-softwarerelease 12.2(33)SXH1 of hoger.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Verschil tussen CatOS- en Cisco IOS-systeemsoftware

Catalyst 2960OS (CatOS) op de Supervisor Engine en Cisco IOS®-software op de functiekaart voor meerlaagse Switch (MSFC) (hybride): U kunt een CatOS-afbeelding gebruiken als systeemsoftware om de supervisor-engine te draaien op Catalyst 6500/6000-Switches. Als de optionele MSFC is geïnstalleerd, wordt een afzonderlijke image van de Cisco IOS-software gebruikt om de MSFC te runnen.

Cisco IOS-software op zowel de Supervisor Engine als de MSFC (native): U kunt één Cisco IOS-softwareafbeelding als de systeemsoftware gebruiken om zowel de supervisor-engine als MSFC op Catalyst 6500/6000 Switches uit te voeren.

Opmerking: Raadpleeg Comparison of the Cisco Catalyst and Cisco IOS Operating Systems for the Cisco Catalyst 6500 Series Switch (Vergelijking van de Cisco Catalyst- en Cisco IOS-besturingssystemen voor Cisco Catalyst 6500 Series switches) voor meer informatie.

Inzicht in CPU-gebruik op Catalyst 6500/6000 Switches

Op software gebaseerde Cisco-routers gebruiken software om pakketten te verwerken en te routeren. CPU-gebruik op een Cisco-router neemt toe naarmate de router meer pakketverwerking en -routing uitvoert. Daarom kan de cpu van showprocessen bevel een vrij nauwkeurige aanwijzing van de lading van de verkeersverwerking op de router verstrekken.

Catalyst 6500/6000 Switches gebruiken de CPU niet op dezelfde manier. Deze switches maken doorsturen van beslissingen in de hardware, niet in de software. Daarom wanneer de switches het het door:sturen of het schakelen besluit voor de meeste kaders maken die door de switch overgaan, impliceert het proces niet de supervisor motor CPU.

Op Catalyst 6500/6000 Switches zijn er twee CPU’s. Eén CPU is de supervisor engine-CPU, die de Network Management Processor (NMP) of Switch Processor (SP) wordt genoemd. De andere CPU is Layer 3 Routing Engine CPU, die MSFC of Routeprocessor (RP) wordt genoemd.

De SP CPU voert functies uit zoals:

  • Helpt bij het leren van MAC-adressen en veroudering

    Opmerking: MAC-adresleren wordt ook padinstelling genoemd.

  • Voert protocollen en processen uit die netwerkcontrole bieden

    Voorbeelden zijn Spanning Tree Protocol (STP), Cisco Discovery Protocol (CDP), VLAN Trunk Protocol (VTP), Dynamic Trunking Protocol (DTP) en Port Aggregation Protocol (PAgP).

  • Verwerkt netwerkbeheerverkeer dat is bestemd voor de CPU van de switch

    Tot de voorbeelden behoren Telnet, HTTP en Simple Network Management Protocol (SNMP)-verkeer.

De RP CPU voert functies uit zoals:

  • Biedt en werkt de Layer 3-tabellen voor routing en adresresolutie (ARP) bij

  • Genereert de Cisco Express Forwarding (CEF) Forwarding Information Base (FIB) en nabijheidstabellen en downloadt de tabellen in de Policy Feature Card (PFC)

  • Verwerkt netwerkbeheerverkeer dat bestemd is voor de RP

    Voorbeelden zijn Telnet-, HTTP- en SNMP-verkeer.

Situaties en functies die het verkeer naar de software doen overschakelen

Pakketten die bestemd zijn voor de Switch

Elk pakket dat bestemd is voor de switch gaat naar de software. Dergelijke pakketten omvatten:

  • Bedieningspakketten

    Control-pakketten worden ontvangen voor STP, CDP, VTP, Hot Standby Router Protocol (HSRP), PAgP, Link Aggregation Control Protocol (LACP) en UniDirectional Link Detection (UDLD).

  • Routing-protocolupdates

    De voorbeelden van deze protocollen zijn Routing Information Protocol (RIP), Enhanced Interior Gateway Routing Protocol (EIGRP), border Gateway Protocol (BGP) en Open Shortest Path First Protocol (OSPF-protocol).

  • SNMP-verkeer dat bestemd is voor de switch

  • Telnet en Secure Shell Protocol (SSH) verkeer naar de switch.

    Hoge CPU-ultilisatie als gevolg van SSH wordt gezien als:

    00:30:50.793 SGT Tue Mar 20 2012

CPU utilization for five seconds: 83%/11%; one minute: 15%; five minutes: 8%

 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process 

   3        6468      8568        754 69.30%  7.90%  1.68%   1 SSH Process

    Voeg deze opdrachten in het EEM-script toe om het aantal SSH-sessies te verifiëren dat is ingesteld wanneer de CPU hoog oploopt:

  • ARP-antwoorden op ARP-verzoeken

Pakketten en voorwaarden die een speciale verwerking vereisen

Deze lijst bevat specifieke pakkettypen en -voorwaarden waarmee pakketten in software moeten worden verwerkt:

  • Pakketten met IP-opties, een verlopen Time-to-Live (TTL) of niet-geavanceerde insluiting van Research Projects Agency (ARPA)

  • Pakketten met speciale behandeling, zoals tunneling

  • IP-fragmentatie

  • Pakketten waarvoor ICMP-berichten (Internet Control Message Protocol) vanuit de RP of de SP nodig zijn

  • Max. storing in transmissie-eenheid (MTU)

  • Pakketten met IP-fouten, waaronder IP-controlesom en lengtefouten

  • Als de invoerpakketten een bitfout (zoals de single-bit fout (SBE)) retourneren, worden de pakketten naar de CPU gestuurd voor softwareverwerking en worden ze gecorrigeerd. Het systeem wijst er een buffer voor toe en gebruikt de CPU-bron om deze te corrigeren.

  • Wanneer PBR en de reflexieve toegangslijst in de weg van een verkeersstroom zijn, is het pakket software switched, die een extra cyclus van CPU vereist.

  • Adjacency zelfde interface

  • Pakketten die falen bij het doorsturen van omgekeerde paden (RPF)-controle-rpf-fout

  • Glean/ontvang

    Glean verwijst naar pakketten die ARP-resolutie vereisen en die ontvangen verwijst naar pakketten die in de ontvangstcase vallen.

  • Internetwork Packet Exchange (IPX)-verkeer dat softwaregeschakeld is op Supervisor Engine 720 in zowel Cisco IOS-software als CatOS

    IPX-verkeer is ook softwaregeschakeld op de Supervisor Engine 2/Cisco IOS-software, maar het verkeer is hardware-switched op de Supervisor Engine 2/CatOS. IPX-verkeer is hardware-switched op de Supervisor Engine 1A voor beide besturingssystemen.

  • AppleTalk-verkeer

  • Hardware resources volledige voorwaarden

    Deze middelen omvatten FIB, inhoud-adresseerbaar geheugen (CAM), en ternaire CAM (TCAM).

Op ACL gebaseerde functies

  • Toegangscontrolelijst (ACL) - geweigerd verkeer met de functie ICMP onbereikbaar ingeschakeld

    Opmerking: dit is de standaardinstelling.

    Sommige ACL-ontkende pakketten worden naar de MSFC gelekt als IP-onbereikbaar is ingeschakeld. Pakketten die ICMP-onbereikbare bestanden vereisen, worden uitgelekt tegen een door de gebruiker instelbare snelheid. Standaard is de snelheid 500 pakketten per seconde (pps).

  • IPX-filtering op basis van niet-ondersteunde parameters, zoals bronhost

    Op Supervisor Engine 720 is het proces van Layer 3 IPX-verkeer altijd in software.

  • Toegangscontrolevermeldingen (ACE’s) waarvoor vastlegging is vereist, met het sleutelwoord log

    Dit is van toepassing op de logfuncties van ACL-log en VLAN ACL-log (VACL). ACE's in dezelfde ACL die niet vereisen dat de logboekregistratie nog steeds in hardware verwerkt. De Supervisor Engine 720 met PFC3 ondersteunt de snelheidslimiet van pakketten die worden omgeleid naar de MSFC voor vastlegging van ACL en VACL. Supervisor Engine 2 ondersteunt de snelheidslimiet van pakketten die worden omgeleid naar de MSFC voor VACL-vastlegging. Ondersteuning voor ACL-vastlegging in Supervisor Engine 2 is gepland voor de Cisco IOS-softwarerelease 12.2S-tak.

  • Beleids-routeringsverkeer, met gebruik van overeenkomende lengte, ingestelde ip-voorrang, of andere niet-ondersteunde parameters

    De ingestelde interface parameter heeft ondersteuning in software. De ingestelde interface null 0 parameter is echter een uitzondering. Dit verkeer wordt verwerkt in hardware op Supervisor Engine 2 met PFC2 en Supervisor Engine 720 met PFC3.

  • Niet-IP en niet-IPX router-ACL’s (RACL’s)

    Non-IP RACL’s zijn van toepassing op alle supervisor-motoren. Niet-IPX RACL’s zijn alleen van toepassing op de Supervisor Engine 1a met PFC en de Supervisor Engine 2 met PFC2.

  • Uitzendverkeer dat in een RACL wordt ontkend

  • Verkeer dat wordt ontkend in een unicast RPF (uRPF)-controle, ACL ACE

    Deze uRPF-controle is van toepassing op Supervisor Engine 2 met PFC2 en Supervisor Engine 720 met PFC3.

  • Verificatieproxy

    Het verkeer dat aan authentificatievolmacht onderworpen is kan op Supervisor Engine 720 tarief-beperkt zijn.

  • Cisco IOS-softwarerelease IP-beveiliging (IPsec)

    Het verkeer dat aan Cisco IOS-encryptie is onderworpen, kan op Supervisor Engine 720 met een beperkt aantal snelheden worden beperkt.

NetFlow-gebaseerde functies

De op NetFlow gebaseerde functies die in deze sectie worden beschreven, zijn alleen van toepassing op Supervisor Engine 2 en Supervisor Engine 720.

  • Op NetFlow gebaseerde functies moeten altijd het eerste pakket van een flow in software zien. Zodra het eerste pakket van de stroom software bereikt, worden volgende pakketten voor dezelfde stroom hardware-switched.

    Deze stroomregeling is van toepassing op reflexieve ACL’s, Web Cache Communication Protocol (WCCP) en Cisco IOS-taakverdeling voor servers (SLB).

    Opmerking: op de Supervisor Engine 1 vertrouwen reflexieve ACL’s op dynamische TCAM-vermeldingen om hardwaresneltoetsen voor een bepaalde stroom te maken. Het principe is hetzelfde: het eerste pakket van een stroom gaat naar software. Verdere pakketten voor die stroom zijn hardware-switched.

  • Met de functie TCP Intercept worden de handdruk en sessiesluiting in drie richtingen in software verwerkt. De rest van het verkeer wordt verwerkt in hardware.

    Opmerking: Synchronize (SYN), SYN acknowledged (SYN ACK), en ACK pakketten bestaan uit de drieweg handshake. Session close vindt plaats met finish (FIN) of reset (RST).

  • Met Network Address Translation (NAT) wordt verkeer op deze manier verwerkt:

    • Op Supervisor Engine 720:

      Het verkeer dat NAT vereist, wordt in de hardware verwerkt na de eerste vertaling. De omzetting van het eerste pakket van een stroom gebeurt in software, en de verdere pakketten voor die stroom zijn hardware-switched. Voor TCP-pakketten wordt na voltooiing van de TCP-handshake met drie richtingen een hardwaresnelweg gemaakt in de NetFlow-tabel.

    • Op Supervisor Engine 2 en Supervisor Engine 1:

      Al verkeer dat NAT vereist, is softwaregeschakeld.

  • Op context gebaseerde toegangscontrole (CBAC) gebruikt NetFlow-sneltoetsen om verkeer te classificeren waarvoor inspectie nodig is. Dan, CBAC verzendt slechts dit verkeer naar software. CBAC is een softwarefunctie; verkeer dat aan inspectie wordt onderworpen is niet hardware-switched.

    Opmerking: verkeer dat wordt geïnspecteerd, kan worden beperkt op de Supervisor Engine 720.

Multicastverkeer

  • PIM-snooping (Protocol Independent Multicast)

  • Internet Group Management Protocol (IGMP)-snooping (TTL = 1)

    Dit verkeer is inderdaad bestemd voor de router.

  • Snooping voor multicastdetectie (MLD) (TTL = 1)

    Dit verkeer is inderdaad bestemd voor de router.

  • FIB-juffrouw

  • Multicastpakketten voor registratie die een directe verbinding met de multicast-bron hebben

    Deze multicast pakketten worden een tunnel gegraven naar het rendez-vous point.

  • IP, versie 6 (IPv6), multicast

Overige functies

  • Netwerkgebaseerde toepassingsherkenning (NBAR)

  • ARP-inspectie, alleen met CatOS

  • Poortbeveiliging, alleen met CatOS

  • DHCP-controle

IPv6-situaties

  • Pakketten met een hop-by-hop optieheader

  • Pakketten met hetzelfde IPv6-adres als dat van routers

  • Pakketten die niet voldoen aan de controle van de afdwinging van bereik

  • Pakketten die MTU van de uitvoerlink overschrijden

  • Pakketten met een TTL van 1 of minder

  • Pakketten met een ingangsVLAN dat gelijk is aan de uitvoer VLAN

  • IPv6-routermodule

    Software voert deze uRPF uit voor alle pakketten.

  • IPv6-reflexieve ACL’s

    Software verwerkt deze reflexieve ACL’s.

  • 6to4 prefixes voor IPv6 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)-tunnels

    Software verwerkt deze tunneling. Al het andere verkeer dat een ISATAP-tunnel binnengaat, is via hardware switched.

LCP Schedulaire en DFC-module

In een Kaart voor gedistribueerd doorsturen (DFC) is het lcp-proces dat op een hoge CPU wordt uitgevoerd geen probleem en levert dit geen probleem op voor de werking. Het LCP-schema maakt deel uit van de firmware-code. Op alle modules die geen DFC vereisen, draait de firmware op een specifieke processor, de LCP (Line Card Processor). Deze processor wordt gebruikt om de ASIC hardware te programmeren en te communiceren met de Central Supervisor Module.

Wanneer het lcp schema wordt geïnitieerd, maakt het gebruik van alle beschikbare procestijd. Maar wanneer een nieuw proces processortijd nodig heeft, maakt lcp plannular procestijd vrij voor het nieuwe proces. De prestaties van het systeem worden niet beïnvloed door dit hoge CPU-gebruik. Het proces voegt simpelweg alle ongebruikte CPU-cycli in, zolang er geen hogere prioriteit voor nodig is.

DFC#show process cpu

PID  Runtime(ms)  Invoked  uSecs    5Sec   1Min   5Min TTY Process
  22           0         1      0   0.00%  0.00%  0.00%   0 SCP ChilisLC Lis 
  23           0         1      0   0.00%  0.00%  0.00%   0 IPC RTTYC Messag 
  24           0         9      0   0.00%  0.00%  0.00%   0 ICC Slave LC Req 
  25           0         1      0   0.00%  0.00%  0.00%   0 ICC Async mcast  
  26           0         2      0   0.00%  0.00%  0.00%   0 RPC Sync         
  27           0         1      0   0.00%  0.00%  0.00%   0 RPC rpc-master   
  28           0         1      0   0.00%  0.00%  0.00%   0 Net Input        
  29           0         2      0   0.00%  0.00%  0.00%   0 Protocol Filteri 
  30           8       105     76   0.00%  0.00%  0.00%   0 Remote Console P 
  31          40      1530     26   0.00%  0.00%  0.00%   0 L2 Control Task  
  32          72       986     73   0.00%  0.02%  0.00%   0 L2 Aging Task    
  33           4        21    190   0.00%  0.00%  0.00%   0 L3 Control Task  
  34          12       652     18   0.00%  0.00%  0.00%   0 FIB Control Task 
  35        9148       165  55442   1.22%  1.22%  1.15%   0 Statistics Task  
  36           4       413      9   0.00%  0.00%  0.00%   0 PFIB Table Manag 
  37      655016  64690036     10  75.33% 77.87% 71.10%   0 lcp schedular    
  38           0       762      0   0.00%  0.00%  0.00%   0 Constellation SP

Eenvoudige oorzaken en oplossingen voor problemen met een hoog CPU-gebruik

IP-onbereikbaar

Wanneer een toegangsgroep een pakket ontkent, verstuurt MSFC onbereikbare ICMP-berichten. Deze actie wordt standaard uitgevoerd.

Met de standaardinstelling van de opdracht IP unreach ables laat de supervisor-engine de meeste ontkende pakketten in hardware vallen. Vervolgens verstuurt de supervisor engine slechts een klein aantal pakketten, een maximum van 10 pps, naar de MSFC voor de drop. Deze actie genereert ICMP-onbereikbare berichten.

De daling van ontkende pakketten en generatie van ICMP-onbereikbare berichten legt een lading op MSFC CPU op. Om de lading te elimineren, kunt u het bevel van de nrp unreach interfaceconfiguratie uitgeven. Met deze opdracht worden ICMP-onbereikbare berichten uitgeschakeld. Hierdoor kan de hardware van alle toegangsgroepen worden gewist.

ICMP-onbereikbare berichten worden niet verzonden als een VACL een pakket ontkent.

NAT-vertalingen

NAT maakt gebruik van zowel hardware- als software-doorsturen. De initiële oprichting van de NAT vertalingen moet in software worden gedaan en het verdere door:sturen wordt gedaan met hardware. NAT maakt ook gebruik van de NetFlow-tabel (maximaal 128 KB). Daarom als de NetFlow-tabel vol is, zal de switch ook NAT-doorsturen via software gaan toepassen. Dit gebeurt normaal gesproken met grote verkeersuitbarstingen en veroorzaakt een toename van de CPU van 6500.

Gebruik van CEF FIB-tabelruimte in de Flow Cache Table

Supervisor Engine 1 heeft een Flow Cache Table die 128.000 vermeldingen ondersteunt. Echter, op basis van de efficiëntie van het hashingalgoritme, variëren deze ingangen van 32.000 tot 120.000. Op Supervisor Engine 2 wordt de FIB-tabel gegenereerd en geprogrammeerd in de PFC. De tabel bevat maar liefst 256.000 lemma's. De Supervisor Engine 720 met PFC3-BXL ondersteunt maximaal 1.000.000 vermeldingen. Zodra deze ruimte wordt overschreden, worden de pakketten geschakeld in software. Dit kan een hoog CPU-gebruik op de RP veroorzaken. Gebruik de volgende opdrachten om het aantal routes in de CEF FIB-tabel te controleren:

Router#show processes cpu
CPU utilization for five seconds:  99.26%
                      one minute: 100.00%
                    five minutes: 100.00%

PID Runtime(ms) Invoked    uSecs    5Sec    1Min    5Min    TTY Process
--- ----------- ---------- -------- ------- ------- ------- --- ---------------
1   0           0          0          0.74%   0.00%   0.00% -2  Kernel and Idle
2   2           245        1000       0.00%   0.00%   0.00% -2  Flash MIB Updat
3   0           1          0          0.00%   0.00%   0.00% -2  L2L3IntHdlr    
4   0           1          0          0.00%   0.00%   0.00% -2  L2L3PatchRev   
5   653         11737      1000       0.00%   0.00%   0.00% -2  SynDi

!--- Output is suppressed.

26  10576       615970     1000       0.00%   0.00%   0.00% 0   L3Aging        
27  47432       51696      8000       0.02%   0.00%   0.00% 0   NetFlow        
28  6758259     1060831    501000    96.62%  96.00%  96.00% 0   Fib            
29  0           1          0          0.00%   0.00%   0.00% -2  Fib_bg_task  

!--- Output is suppressed.


CATOS% show mls cef
Total L3 packets switched:           124893998234
Total L3 octets switched:          53019378962495
Total route entries:                       112579
  IP route entries:                        112578
  IPX route entries:                            1
  IPM route entries:                            0
IP load sharing entries:                      295
IPX load sharing entries:                       0
Forwarding entries:                        112521
Bridge entries:                                56
Drop entries:                                   2


IOS% show ip cef summary
IP Distributed CEF with switching (Table Version 86771423), flags=0x0
  112564 routes, 1 reresolve, 0 unresolved (0 old, 0 new)
  112567 leaves, 6888 nodes, 21156688 bytes, 86771426
inserts, 86658859
invalidations
  295 load sharing elements, 96760 bytes, 112359 references
  universal per-destination load sharing algorithm, id 8ADDA64A
  2 CEF resets, 2306608 revisions of existing leaves
  refcounts:  1981829 leaf, 1763584 node

!--- You see these messages if the TCAM space is exceeded:

%MLSCEF-SP-7-FIB_EXCEPTION: FIB TCAM exception, Some entries will be software switched
%MLSCEF-SP-7-END_FIB_EXCEPTION: FIB TCAM exception cleared, all CEF entries will be 
  hardware switched

Voor Supervisor Engine 2 wordt het aantal FIB-vermeldingen verlaagd tot de helft als u RPF-controle op de interfaces hebt geconfigureerd. Deze configuratie kan leiden tot de software-switch van meer pakketten en dus tot een hoog CPU-gebruik.

Om het hoge CPU-gebruiksprobleem op te lossen, dient u routesamenvatting in te schakelen. Routesamenvatting kan de latentie in een complex netwerk minimaliseren door processorwerkbelasting, geheugenvereisten en bandbreedtevraag te verminderen.

Raadpleeg Inzicht in ACL op Catalyst 6500 Series Switches voor aanvullende informatie over TCAM-gebruik en -optimalisatie.

Geoptimaliseerde ACL-vastlegging

Geoptimaliseerde ACL-vastlegging (OAL) biedt hardwareondersteuning voor ACL-vastlegging. Tenzij u OAL configureert, vindt het proces van pakketten die vastlegging vereisen volledig in software op MSFC3 plaats. OAL laat of laat pakketten in hardware op PFC3 vallen. OAL gebruikt een geoptimaliseerde routine om informatie naar MSFC3 te verzenden om de logboekberichten te genereren.

N.B.: Raadpleeg voor informatie over OAL het Geoptimaliseerde ACL-vastlegging met een PFC3-sectie Inzicht in Cisco IOS ACL-ondersteuning.

Snelheidslimiet van pakketten naar de CPU

Op de Supervisor Engine 720 kunnen snelheidsbegrenzers de snelheid bepalen waarmee pakketten naar software kunnen gaan. Deze snelheidscontrole helpt denial-of-service-aanvallen te voorkomen. U kunt ook een paar van deze snelheidsbegrenzers gebruiken op Supervisor Engine 2: 

Router#show mls rate-limit
   Rate Limiter Type       Status     Packets/s   Burst
---------------------   ----------   ---------   -----
         MCAST NON RPF   Off                  -       -
        MCAST DFLT ADJ   On              100000     100
      MCAST DIRECT CON   Off                  -       -
        ACL BRIDGED IN   Off                  -       -
       ACL BRIDGED OUT   Off                  -       -
           IP FEATURES   Off                  -       -
          ACL VACL LOG   On                2000       1
           CEF RECEIVE   Off                  -       -
             CEF GLEAN   Off                  -       -
      MCAST PARTIAL SC   On              100000     100
        IP RPF FAILURE   On                 500      10
           TTL FAILURE   Off                  -       -
ICMP UNREAC. NO-ROUTE   On                 500      10
ICMP UNREAC. ACL-DROP   On                 500      10
         ICMP REDIRECT   Off                  -       -
           MTU FAILURE   Off                  -       -
           LAYER_2 PDU   Off                  -       -
            LAYER_2 PT   Off                  -       -
             IP ERRORS   On                 500      10
           CAPTURE PKT   Off                  -       -
            MCAST IGMP   Off                  -       -

Router(config)#mls rate-limit ?
  all        Rate Limiting for both Unicast and Multicast packets
  layer2     layer2 protocol cases
  multicast  Rate limiting for Multicast packets
  unicast    Rate limiting for Unicast packets

Hierna volgt een voorbeeld:

Router(config)#mls rate-limit layer2 l2pt 3000

Om alle CEF-gepunte pakketten aan MSFC te beoordelen, geef het bevel uit dat in dit voorbeeld is:

Router(config)#mls ip cef rate-limit 50000

Om het aantal pakketten te verminderen dat aan CPU toe te schrijven aan TTL=1 wordt gestraft, geef dit bevel uit:

Router(config)#mls rate-limit all ttl-failure 15


!--- where 15 is the number of packets per second with TTL=1. !--- The valid range is from 10 to 1000000 pps.

Dit is bijvoorbeeld de uitvoer van de netdr-opname, waaruit blijkt dat IPv4 TTL 1 is:

Source mac    00.00.50.02.10.01  3644
Dest mac      AC.A0.16.0A.B0.C0  4092
Protocol      0800               4094
Interface     Gi1/8              3644
Source vlan   0x3FD(1021)        3644
Source index  0x7(7)             3644
Dest index    0x380(896)         3654
 
L3
  
ipv4 source   211.204.66.117      762
ipv4 dest     223.175.252.49     3815
ipv4 ttl                   1     3656
ipv6 source                -        0
ipv6 dest                  -        0
ipv6 hoplt                 -        0
ipv6 flow                  -        0
ipv6 nexthdr               -        0

Hoge CPU kan ook te wijten zijn aan pakketten met TTL=1 die aan de CPU worden uitgelekt. Om het aantal pakketten te beperken dat naar de CPU is gelekt, moet u een hardwaresnelheidsbegrenzer configureren. Snelheidsbegrenzers kunnen pakketten met snelheden beperken die van het hardwaregegevenspad naar het softwaredatapad zijn gelekt. Snelheidsbegrenzers beschermen het pad voor de softwarecontrole tegen congestie door het verkeer dat de ingestelde snelheid overschrijdt te laten vallen. De snelheidslimiet is ingesteld met behulp van de mls rate-limit all-fail opdracht.

Fysieke fusie van VLAN’s vanwege onjuiste bekabeling

Een hoog CPU-gebruik kan ook resulteren uit de samenvoeging van twee of meer VLAN’s als gevolg van onjuiste bekabeling. Als STP is uitgeschakeld op de poorten waar de VLAN-fusie plaatsvindt, kan ook een hoog CPU-gebruik optreden.

Om dit probleem op te lossen, identificeer de aanleg van kabelnettenfouten en verbeter hen. Als uw behoefte toestaat, kunt u STP op die poorten ook inschakelen.

Storm

Een LAN uitzendingsonweer komt voor wanneer de uitzending of multicast pakketten LAN overstromen, die tot bovenmatig verkeer leiden en netwerkprestaties verminderen. De fouten in de protocol-stapel implementatie of in de netwerkconfiguratie kunnen een uitzendingsonweer veroorzaken.

Vanwege het architecturale ontwerp van het Catalyst 6500 Series platform worden de uitzendpakketten alleen en altijd op softwareniveau weergegeven.

Broadcast-onderdrukking voorkomt de verstoring van LAN-interfaces door een uitzendingsonweer. Bij broadcast-onderdrukking wordt gebruik gemaakt van filtering die de uitzendactiviteit op een LAN gedurende een periode van 1 seconde meet. De meting wordt vervolgens vergeleken met een vooraf gedefinieerde drempelwaarde. Als de drempel wordt bereikt, wordt verdere uitzendactiviteit voor de duur van een gespecificeerde tijdspanne onderdrukt. Broadcast-onderdrukking is standaard uitgeschakeld.

Opmerking: VRRP flappen van back-up naar master veroorzaakt door broadcast stormen kan hoge CPU-gebruik veroorzaken.

Om te begrijpen hoe broadcast-onderdrukking werkt en om de functie in te schakelen, raadpleegt u:

BGP-adrestracering voor volgende hop (BGP-scannerproces)

Het proces van de Scanner BGP loopt de BGP- lijst en bevestigt bereikbaarheid van de volgende hop. Dit proces controleert ook voorwaardelijke advertenties om te bepalen of BGP conditievoorvoegsels moet adverteren en/of routedemping moet uitvoeren. Standaard wordt elke 60 seconden gescand.

U kunt een hoog CPU-gebruik verwachten voor korte periodes vanwege het BGP-scanproces op een router die een grote internetrouteringstabel bevat. Eenmaal per minuut voert de BGP-scanner de BGP Routing Information Base (RIB)-tabel uit en voert hij belangrijke onderhoudstaken uit. Deze taken omvatten:

  • Een controle van de volgende hop die in de router BGP-tabel van verwijzingen wordt voorzien

  • Verificatie dat de volgende-hop apparaten kunnen worden bereikt

Zo duurt een grote BGP-tabel een equivalente grote hoeveelheid tijd om te lopen en gevalideerd te worden. Het proces van de Scanner BGP bekijkt de BGP- lijst om het even welke gegevensstructuren bij te werken en loopt de routeringstabel voor de doeleinden van de routeherdistributie. Beide tabellen worden afzonderlijk opgeslagen in het routergeheugen. Beide tabellen kunnen zeer groot zijn en verbruiken dus CPU-cycli.

Raadpleeg voor meer informatie over CPU-gebruik door het BGP-routerproces de Hoge CPU, vanwege het gedeelte BGP-scanner van het Problemen oplossen van hoge CPU’s veroorzaakt door de BGP-scanner of het BGP-routerproces.

Zie BGP-ondersteuning voor adrestracering van volgende hop voor meer informatie over de functie BGP-adrestracering voor volgende hop en de procedure om de scaninterval in/uit te schakelen of aan te passen.

Non-RPF-multicastverkeer

Multicast-routing (in tegenstelling tot unicast-routing) is alleen van belang voor de bron van een bepaalde multicast gegevensstroom. Dat wil zeggen, het IP-adres van het apparaat dat het multicast-verkeer genereert. Het basisprincipe is dat het bronapparaat de stroom "duwt" naar een onbepaald aantal ontvangers (binnen zijn multicast groep). Alle multicast routers maken distributiebomen, die het pad controleren dat multicast verkeer door het netwerk neemt om verkeer aan alle ontvangers te leveren. De twee basistypes van multicast distributiebomen zijn bron bomen en gedeelde bomen. RPF is een belangrijk concept in multicast doorsturen. Het laat routers toe om multicast verkeer onderaan de distributieboom correct door:sturen. RPF maakt gebruik van de bestaande unicast-routertabel om de upstream en downstream buren te bepalen. Een router door:sturen een multicast pakket slechts als het op de stroomopwaartse interface wordt ontvangen. Deze RPF-controle helpt te garanderen dat de distributieboom lusvrij is.

Multicastverkeer is altijd zichtbaar door elke router op een overbrugd (Layer 2) LAN, volgens de IEEE 802.3 CSMA/CD-specificatie. In de 802.3 standaard wordt bit 0 van het eerste octet gebruikt om een broadcast- en/of multicastframe aan te geven en elke Layer 2-frame met dit adres wordt overspoeld. Dit is ook het geval als CGMP- of IGMP-controle is geconfigureerd. Dit is omdat multicast routers het multicast verkeer moeten zien, als zij worden verwacht om een juist het door:sturen besluit te maken. Als meerdere multicast routers elk interfaces op een gemeenschappelijke LAN hebben, dan stuurt slechts één router de gegevens door (gekozen door een verkiezingsproces). Vanwege de overstroming van LAN’s ontvangt de redundante router (router die het multicast-verkeer niet doorstuurt) deze gegevens op de uitgaande interface voor dat LAN. De overtollige router laat dit verkeer normaal vallen, omdat het op de verkeerde interface is aangekomen en daarom de controle RPF ontbreekt. Dit verkeer dat de PDF-controle mislukt, wordt niet-RPF-verkeer of RPF-storingspakketten genoemd, omdat ze achterwaarts zijn verzonden tegen de stroom uit de bron.

Catalyst 6500 met een MSFC geïnstalleerd, kan worden geconfigureerd om als volledige multicast router te fungeren. Door gebruik te maken van Multicast Multi-Layer Switching (MLS) wordt RPF-verkeer meestal doorgestuurd door de hardware binnen de switch. De ASIC's krijgen informatie van de multicast-routerstatus (*, G) en (S, G) bijvoorbeeld), zodat een hardwaresneltoets in de NetFlow- en/of FIB-tabel kan worden geprogrammeerd. Dit niet-RPF-verkeer is in sommige gevallen nog steeds nodig en wordt vereist door de MSFC CPU (op procesniveau) voor het PIM Assert mechanisme. Anders wordt de software automatisch uitgeschakeld door het pad van de snel-switching (ervan uitgaande dat de snel-switching van de software niet uitgeschakeld is op de RPF-interface).

Catalyst 6500 die redundantie gebruikt, kan niet-RPF-verkeer in bepaalde topologieën efficiënt verwerken. Voor niet-RPF-verkeer is er gewoonlijk geen (*,G) of (S,G) status in de redundante router, en daarom kunnen er geen hardware- of softwaresneltoetsen worden gemaakt om het pakket te laten vallen. Elk multicast pakket moet afzonderlijk door de MSFC routeprocessor worden onderzocht, en dit wordt vaak aangeduid als CPU Interrupt verkeer. Met Layer 3-hardwareschakeling en meerdere interfaces/VLAN’s die dezelfde set routers verbinden, wordt het niet-RPF-verkeer dat de CPU van de redundante MSFC raakt, vergroot "N" maal de oorspronkelijke bronsnelheid (waarbij "N" het aantal LAN’s is waarmee de router redundant is verbonden). Als de snelheid van het niet-RPF-verkeer de pakketverlopende capaciteit van het systeem overtreft, kan dit leiden tot een hoog CPU-gebruik, bufferoverstromen en algemene netwerkinstabiliteit.

Met Catalyst 6500 is er een toegangslijst-engine die het filteren mogelijk maakt op basis van de draadsnelheid. Deze functie kan worden gebruikt om in bepaalde situaties niet-RPF-verkeer voor Sparse Mode-groepen efficiënt te verwerken. U kunt alleen de op ACL gebaseerde methode gebruiken binnen de 'stub-netwerken' met kleine modi, waar geen downstream multicast routers (en bijbehorende ontvangers) zijn. Bovendien, wegens het pakket het door:sturen ontwerp van Catalyst 6500, kan intern overtollige MSFCs deze implementatie niet gebruiken. Dit wordt aangegeven in de Cisco bug-id CSCdr74908 (alleen geregistreerde klanten). Voor dense-mode groepen, moeten de niet-RPF pakketten op de router voor het mechanisme van de PIM Assert worden gezien om behoorlijk te functioneren. Verschillende oplossingen, zoals op CEF of NetFlow gebaseerde snelheidsbeperking en QoS worden gebruikt om RPF-storingen in dichte-mode netwerken en spaarstand-transitnetwerken te beheersen.

Op Catalyst 6500 is er een toegangslijst engine die het filteren mogelijk maakt op basis van de wirespeed. Deze functie kan worden gebruikt om niet-RPF-verkeer voor Sparse Mode-groepen efficiënt te verwerken. Om deze oplossing te implementeren, plaatst u een toegangslijst op de inkomende interface van het 'stub-netwerk' om multicast-verkeer te filteren dat niet afkomstig is van het 'stub-netwerk'. De toegangslijst is naar de hardware in de switch verplaatst. Deze toegangslijst voorkomt dat de CPU het pakket ooit ziet en laat de hardware het niet-RPF-verkeer vallen.

Opmerking: Plaats deze toegangslijst niet op een transitinterface. Het is alleen bedoeld voor stub-netwerken (netwerken met alleen hosts).

Raadpleeg deze documenten voor meer informatie:

Opdrachten weergeven

Het gebruik van cpu wanneer u een show bevel uitgeeft is altijd bijna 100%. Het is normaal om hoog CPU-gebruik te hebben wanneer u een show opdracht geeft en blijft normaal slechts een paar seconden.

Het is bijvoorbeeld normaal dat het Virtual Exec-proces hoog gaat wanneer u een opdracht voor show tech-support uitgeeft omdat deze uitvoer een onderbrekingsgestuurde uitvoer is. Uw enige zorg is het hebben van een hoge CPU in andere processen dan toon opdrachten.

De show cef niet-cef-switched opdracht toont waarom pakketten worden gepunteerd op de MSFC (ontvang, ip optie, geen nabijheid, etc) en hoeveel. Voorbeeld:

Switch#show cef not-cef-switched
CEF Packets passed on to next switching layer
Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access     Frag
RP      6222       0         136        0    60122        0        0        0
5          0       0           0        0        0        0        0        0
IPv6 CEF Packets passed on to next switching layer
Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access      MTU
RP         0       0           0        0        0        0        0        0

De opdrachten show ibc en show ibc short tonen de CPU-wachtrij en kunnen worden gebruikt wanneer u de CPU-status controleert.

EXEC-processen

Het Exec-proces in Cisco IOS-software is verantwoordelijk voor communicatie op de TTY-lijnen (console, hulpmodules, asynchrone verbindingen) van de router. Het Virtual Exec-proces is verantwoordelijk voor de VTY-lijnen (Telnet-sessies). De Exec- en Virtual Exec-processen zijn processen met een gemiddelde prioriteit. Als er dus andere processen zijn met een hogere prioriteit (Hoog of Kritiek), krijgen de processen met een hogere prioriteit de CPU-bronnen.

Als er veel gegevens worden overgebracht door deze sessies, neemt het CPU-gebruik voor het Exec-proces toe. Dit is omdat wanneer de router een eenvoudig karakter door deze lijnen wil verzenden, de router sommige middelen van cpu gebruikt:

  • Voor de console (Exec), gebruikt de router één onderbreking per teken.

  • Voor de VTY-lijn (Virtual Exec) moet de Telnet-sessie één TCP-pakket per teken maken.

Deze lijst beschrijft een aantal mogelijke redenen voor een hoog CPU-gebruik in het Exec-proces:

  • Er worden te veel gegevens verzonden via de consolepoort.

    1. Controleer of er debugs zijn gestart op de router met de show debugging opdracht.

    2. Schakel console-logboekregistratie op de router uit met de no form van de opdracht logboekconsole.

    3. Controleer of een lange uitvoer op de console is afgedrukt. Bijvoorbeeld, show tech-support of een show memory opdracht.

  • Het exec-commando is geconfigureerd voor asynchrone en aanvullende lijnen.

    1. Als een lijn alleen uitgaand verkeer heeft, schakelt u het Exec-proces voor deze lijn uit. Dit komt doordat als het apparaat (bijvoorbeeld een modem) dat op deze regel is aangesloten, ongevraagde gegevens verstuurt, het Exec-proces op deze regel wordt gestart.

    2. Als de router wordt gebruikt als een terminalserver (voor omgekeerd Telnet naar andere apparaatconsoles), wordt aanbevolen om de opdracht noexec te configureren op de lijnen die zijn aangesloten op de console van de andere apparaten. Gegevens die terugkomen van de console kunnen anders een Exec-proces starten, waarbij CPU-bronnen worden gebruikt.

Een mogelijke reden voor het hoge CPU-gebruik in het Virtual Exec-proces is:

  • Er worden te veel gegevens verzonden over de Telnet-sessies.

    De meest voorkomende reden voor een hoog CPU-gebruik in het Virtual Exec-proces is dat er te veel gegevens worden overgebracht van de router naar de Telnet-sessie. Dit kan gebeuren wanneer opdrachten met lange uitgangen zoals show tech-support, show memory, etc. worden uitgevoerd vanaf de Telnet-sessie. De hoeveelheid gegevens die door elke VTY-sessie worden overgebracht kan worden geverifieerd met de show tcp vty <line number>-opdracht.

L3 Verouderingsproces

Wanneer het L3 verouderingsproces een groot aantal indexwaarden exporteert met NetFlow Data Export (NDE), kan het CPU-gebruik 100% raken.

Als u dit probleem ondervindt, controleert u of deze twee opdrachten zijn ingeschakeld:

set mls nde destination-ifindex enable
set mls nde source-ifindex enable

Als u deze opdrachten inschakelt, moet het proces alle bestemmings- en bronindexwaarden exporteren met behulp van NDE. Het L3 verouderingsproces gebruik gaat hoog aangezien het FIB lookup voor alle bestemming en bron index waarden moet uitvoeren. Hierdoor wordt de tabel vol, gaat het verouderingsproces van de L3 hoog en bereikt het CPU-gebruik 100%.

Schakel deze opdrachten uit om dit probleem op te lossen:

set mls nde destination-ifindex disable
set mls nde source-ifindex disable

Gebruik deze opdrachten om de waarden te controleren:

BPDU-storm

Spanning Tree onderhoudt een lusvrije Layer 2-omgeving in redundant switched en bruggen netwerken. Zonder STP, frames loop en/of vermenigvuldig oneindig. Deze gebeurtenis veroorzaakt een netwerkmeltdown omdat het hoge verkeer alle apparaten in het uitzendingsdomein onderbreekt.

In sommige opzichten is STP een vroeg protocol dat aanvankelijk was ontwikkeld voor langzame op software gebaseerde brugspecificaties (IEEE 802.1D), maar STP kan worden gecompliceerd om het met succes te implementeren in grote switched netwerken die deze functies hebben:

  • Veel VLAN’s

  • Veel switches in een STP-domein

  • Ondersteuning voor meerdere leveranciers

  • Verbeteringen in nieuwere IEEE

Als het netwerk te maken heeft met frequente omspanningsberekeningen of als de switch meer BPDU's moet verwerken, kan dit resulteren in een hoge CPU, evenals BPDU-druppels.

Voer een of meer van de volgende stappen uit om deze problemen op te lossen:

  1. VLAN’s uit de switches snoeien.

  2. Gebruik een verbeterde versie van STP, zoals MST.

  3. Upgrade de hardware van de switch.

Raadpleeg ook best practices voor het implementeren van Spanning Tree Protocol in het netwerk.

SPAN-sessies

Op basis van de architectuur van Catalyst 6000/6500 Series Switches hebben SPAN-sessies geen invloed op de prestaties van de switch, maar als de SPAN-sessie een hoge verkeers-/uplinkpoort of een EtherChannel-poort bevat, kan dit de belasting op de processor vergroten. Als het dan een specifiek VLAN uitkiest, verhoogt het de werkbelasting nog meer. Als er slecht verkeer op de link is, kan dat de werklast verder verhogen.

In sommige scenario's kan de RSPAN-functie loops veroorzaken en neemt de belasting op de processor toe. Raadpleeg voor meer informatie Waarom maakt de SPAN-sessie een overbruggingslus?

De switch kan verkeer als gebruikelijk overgaan aangezien alles in hardware is, maar de CPU kan slaan als het probeert om erachter te komen welk verkeer door te sturen. Aanbevolen wordt om SPAN-sessies alleen te configureren wanneer dit vereist is.

%CFIB-SP-STBY-7-CFIB_EXCEPTION : FIB TCAM uitzondering, Sommige items zullen software switched 

%CFIB-SP-7-CFIB_EXCEPTION : FIB TCAM exception, Some entries will be software switched 
%CFIB-SP-STBY-7-CFIB_EXCEPTION : FIB TCAM exception, Some entries will be software
switched

Deze foutmelding wordt ontvangen wanneer de hoeveelheid beschikbare ruimte in de TCAM wordt overschreden. Dit resulteert in een hoge CPU. Dit is een FIB TCAM-beperking. Zodra TCAM vol is, wordt een vlag ingesteld en wordt FIB TCAM-uitzondering ontvangen. Dit voorkomt het toevoegen van nieuwe routes aan de TCAM. Daarom zal alles software switched. Het verwijderen van routes helpt niet om hardwareschakeling te hervatten. Zodra TCAM de uitzonderingsstaat ingaat, moet het systeem worden herladen om uit die staat te komen. De maximale routes die kunnen worden geïnstalleerd in TCAM worden verhoogd door de opdracht mls cef maximum-routes.

Catalyst 6500/6000 met hoge CPU heeft een IPv6 ACL met L4-poorten

Schakel mls ipv6 acl compress address unicast in . Deze opdracht is vereist als de IPv6 ACL overeenkomt met de poortnummers van het L4-protocol. Als deze opdracht niet is ingeschakeld, wordt IPv6-verkeer naar de CPU gestraft voor softwareverwerking. Deze opdracht is standaard niet ingesteld.

Koper SFP’s

In Cisco ME 6500 Series Ethernet-switches vereist koper SFP’s meer firmware-interactie dan andere SFP’s, waardoor het CPU-gebruik toeneemt.

De softwarealgoritmen die koper SFP’s beheren, zijn verbeterd in de Cisco IOS SXH-releases.

Modulaire IOS

In Cisco Catalyst 6500 Series switches waarin modulaire IOS-software wordt uitgevoerd, is het normale CPU-gebruik iets groter dan niet-modulaire IOS-software.

Modulaire IOS-software betaalt een prijs per activiteit meer dan het betaalt een prijs per pakket. Modulaire IOS-software onderhoudt de processen door bepaalde CPU's te gebruiken, zelfs als er niet veel pakketten zijn, zodat het CPU-verbruik niet is gebaseerd op het feitelijke verkeer. Wanneer pakketten echter snel worden verwerkt, kan de CPU die in modulaire IOS-software wordt verbruikt, niet meer zijn dan die in niet-modulaire IOS-software.

Controleer het CPU-gebruik

Als het gebruik van cpu hoog is, geef eerst het cpu van showprocessen uit. De output toont u het gebruik van cpu op de switch evenals het verbruik van cpu door elk proces.

Router#show processes cpu 
CPU utilization for five seconds: 57%/48%; one minute: 56%; five minutes: 48%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process 
   1           0         5          0  0.00%  0.00%  0.00%   0 Chunk Manager    
   2          12     18062          0  0.00%  0.00%  0.00%   0 Load Meter       
   4      164532     13717      11994  0.00%  0.21%  0.17%   0 Check heaps      
   5           0         1          0  0.00%  0.00%  0.00%   0 Pool Manager     

!--- Output is suppressed.

 172           0         9          0  0.00%  0.00%  0.00%   0 RPC aapi_rp      
 173      243912   2171455        112  9.25%  8.11%  7.39%   0 SNMP ENGINE      
 174          68       463        146  0.00%  0.00%  0.00%   0 RPC pm-mp  

!--- Output is suppressed.

In deze uitvoer is de totale CPU-benutting 57 procent en de onderbreking in het CPU-gebruik 48 procent. Hier verschijnen deze percentages in vet gedrukte tekst. De interrupt switch van verkeer door de CPU veroorzaakt het interrupt CPU-gebruik. De opdrachtoutput beschrijft de processen die het verschil tussen de twee toepassingen veroorzaken. In dit geval is de oorzaak het SNMP-proces.

Op de supervisor engine die CatOS draait, ziet de uitvoer er als volgt uit:

Switch> (enable) show processes cpu


CPU utilization for five seconds:  99.72%
                      one minute: 100.00%
                    five minutes: 100.00%

PID Runtime(ms) Invoked    uSecs    5Sec    1Min    5Min    TTY Process
--- ----------- ---------- -------- ------- ------- ------- --- ---------------
1   0           0          0          0.28%   0.00%   0.00% -2  Kernel and Idle
2   2           261        1000       0.00%   0.00%   0.00% -2  Flash MIB Updat
3   0           1          0          0.00%   0.00%   0.00% -2  L2L3IntHdlr    
4   0           1          0          0.00%   0.00%   0.00% -2  L2L3PatchRev   

!--- Output is suppressed.

61  727295      172025     18000      0.82%   0.00%   0.00% -2  SptTimer       
62  18185410    3712736    106000    22.22%  21.84%  21.96% -2  SptBpduRx      
63  845683      91691      105000     0.92%   0.00%   0.00% -2  SptBpduTx

In deze output, is het eerste proces Kernel en Idle, die het nutteloze gebruik van cpu toont. Dit proces is normaal hoog, tenzij sommige andere processen CPU-cycli gebruiken. In dit voorbeeld veroorzaakt het SptBpduRx-proces een hoog CPU-gebruik.

Als het CPU-gebruik hoog is door een van deze processen, kunt u probleemoplossing uitvoeren en bepalen waarom dit proces zo hoog wordt uitgevoerd. Maar als de CPU hoog is doordat verkeer naar de CPU wordt gestraft, moet u bepalen waarom het verkeer wordt gestraft. Deze vastberadenheid kan u helpen identificeren wat het verkeer is.

Voor het oplossen van problemen, gebruik dit EEM scriptvoorbeeld om de output van de switch te verzamelen wanneer u hoog CPU gebruik ervaart:

event manager applet cpu_stats

event snmp oid "1.3.6.1.4.1.9.9.109.1.1.1.1.3.1" get-type exact entry-op gt entry-val "70"

exit-op lt exit-val "50" poll-interval 5

action 1.01 syslog msg "------HIGH CPU DETECTED----, CPU:$_snmp_oid_val%"

action 1.02 cli command "enable"

action 1.03 cli command "show clock | append disk0:cpu_stats"

action 1.04 cli command "show proc cpu sort | append disk0:cpu_stats"

action 1.05 cli command "Show proc cpu | exc 0.00% | append disk0:cpu_stats"

action 1.06 cli command "Show proc cpu history | append disk0:cpu_stats"

action 1.07 cli command "show logging | append disk0:cpu_stats "

action 1.08 cli command "show spanning-tree detail | in ieee|occurr|from|is exec | append
disk0:cpu_stats"

action 1.09 cli command "debug netdr cap rx | append disk0:cpu_stats"

action 1.10 cli command "show netdr cap | append disk0:cpu_stats"

action 1.11 cli command "undebug all"
!

Opmerking: de opdracht debug netdr capture rx is handig wanneer de CPU hoog is vanwege processwitching van pakketten in plaats van hardware. Het neemt 4096 pakketten op die naar de CPU komen wanneer de opdracht wordt uitgevoerd. Deze opdracht is volledig veilig en is het handigste gereedschap voor hoge CPU-problemen op de 6500. Dit veroorzaakt geen extra belasting van de CPU.

Hulpprogramma’s en tools om het verkeer te bepalen dat naar de CPU wordt gekopieerd

In deze sectie worden enkele hulpprogramma's en tools beschreven die u kunnen helpen om dit verkeer te bekijken.

Cisco IOS-systeemsoftware

In Cisco IOS-software wordt de switch-processor op de supervisor-engine de SP genoemd en wordt de MSFC de RP genoemd.

Het bevel van de showinterface geeft basisinformatie over de staat van de interface en het verkeerstarief op de interface. De opdracht geeft ook fouttellers.

Router#show interface gigabitethernet 4/1
GigabitEthernet4/1 is up, line protocol is up (connected)
  Hardware is C6k 1000Mb 802.3, address is 000a.42d1.7580 (bia 000a.42d1.7580)
  Internet address is 100.100.100.2/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Half-duplex, 100Mb/s
  input flow-control is off, output flow-control is off
  Clock mode is auto
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 5/75/1/24075 (size/max/drops/flushes); Total output drops: 2
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  30 second input rate 7609000 bits/sec, 14859 packets/sec
  30 second output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 0 pkt, 184954624 bytes - mcast: 1 pkt, 500 bytes
  L3 in Switched: ucast: 2889916 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     2982871 packets input, 190904816 bytes, 0 no buffer
     Received 9 broadcasts, 0 runts, 0 giants, 0 throttles
     1 input errors, 1 CRC, 0 frame, 28 overrun, 0 ignored
     0 input packets with dribble condition detected
     1256 packets output, 124317 bytes, 0 underruns
     2 output errors, 1 collisions, 2 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

In deze uitvoer kunt u zien dat het inkomende verkeer Layer 3-switched is in plaats van Layer 2-switched. Dit geeft aan dat het verkeer wordt gekopieerd naar de CPU.

De cpu-opdracht verwerkt in de show vertelt u of deze pakketten reguliere verkeerspakketten zijn of controlepakketten.

Router#show processes cpu | exclude 0.00              
CPU utilization for five seconds: 91%/50%; one minute: 89%; five minutes: 47%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
   5      881160     79142      11133  0.49%  0.19%  0.16%   0 Check heaps     
  98      121064   3020704         40 40.53% 38.67% 20.59%   0 IP Input        
 245      209336    894828        233  0.08%  0.05%  0.02%   0 IFCOM Msg Hdlr

Als de pakketten proces-switched zijn, ziet u dat het IP Invoerproces hoog loopt. Geef deze opdracht uit om deze pakketten te zien:

toon buffers input-interface 

Router#show buffers input-interface gigabitethernet 4/1 packet

Buffer information for Small buffer at 0x437874D4
  data_area 0x8060F04, refcount 1, next 0x5006D400, flags 0x280
  linktype 7 (IP), enctype 1 (ARPA), encsize 14, rxtype 1
  if_input 0x505BC20C (GigabitEthernet4/1), if_output 0x0 (None)
  inputtime 00:00:00.000 (elapsed never)
  outputtime 00:00:00.000 (elapsed never), oqnumber 65535
  datagramstart 0x8060F7A, datagramsize 60, maximum size 308
  mac_start 0x8060F7A, addr_start 0x8060F7A, info_start 0x0
  network_start 0x8060F88, transport_start 0x8060F9C, caller_pc 0x403519B4

  source: 100.100.100.1, destination: 100.100.100.2, id: 0x0000, ttl: 63,
  TOS: 0 prot: 17, source port 63, destination port 63

08060F70:                       000A 42D17580            ..BQu.
08060F80: 00000000 11110800 4500002E 00000000  ........E.......
08060F90: 3F11EAF3 64646401 64646402 003F003F  ?.jsddd.ddd..?.?
08060FA0: 001A261F 00010203 04050607 08090A0B  ..&.............
08060FB0: 0C0D0E0F 101164                      ......d

Als het verkeer wordt onderbroken switched, kunt u die pakketten met het bevel van de show buffers input-interface niet zien. Om de pakketten te zien die aan RP voor onderbrekingsomschakeling worden gepunteerd, kunt u een Switched Port Analyzer (SPAN) opname van de RP-poort uitvoeren.

N.B.: Raadpleeg dit document voor aanvullende informatie over onderbreking-switched versus proces-switched CPU-gebruik:

SPAN RP-Inband en SP-Inband

Een SPAN voor de RP- of SP-poort in Cisco IOS-software is beschikbaar in Cisco IOS-softwarerelease 12.1(19)E en hoger.

Dit is de opdrachtsyntaxis:

test monitor session 1-66 add {rp-inband | sp-inband} [rx | tx | both]

Gebruik deze syntaxis voor de Cisco IOS-softwarereleases 12.2 SX:

test monitor add {1..66} {rp-inband | sp-inband} {rx | tx | both}

Opmerking: voor de SXH-release moet u de opdracht monitorsessie gebruiken om een lokale SPAN-sessie te configureren en vervolgens deze opdracht gebruiken om de SPAN-sessie te koppelen aan de CPU: 

source {cpu {rp | sp}} | single_interface | interface_list | 
     interface_range | mixed_interface_list | single_vlan | 
     vlan_list | vlan_range | mixed_vlan_list} [rx | tx | both]

N.B.: Raadpleeg voor meer informatie over deze opdrachten de Configuratiemodus voor lokale SPAN (SPAN Configuration Mode) in de Configuratiehandleiding voor de Catalyst 6500 release 12.2SX software.

Hier is een voorbeeld op een RP-console:

Router#monitor session 1 source interface fast 3/3

!--- Use any interface that is administratively shut down.

Router#monitor session 1 destination interface 3/2

Ga nu naar de SP-console. Hierna volgt een voorbeeld:

Router-sp#test monitor session 1 add rp-inband rx

Opmerking: in Cisco IOS 12.2 SX releases is de opdracht gewijzigd in testmonitor add 1 rp-inband rx.

Router#show monitor 
Session 1
---------
Type : Local Session
Source Ports :
Both : Fa3/3
Destination Ports : Fa3/2
SP console:
Router-sp#test monitor session 1 show
Ingress Source Ports: 3/3 15/1 
Egress Source Ports: 3/3 
Ingress Source Vlans: <empty>
Egress Source Vlans: <empty>
Filter Vlans: <empty>
Destination Ports: 3/2

Opmerking: in Cisco IOS 12.2 SX releases is de opdracht gewijzigd in testmonitor tonen 1.

Hier is een voorbeeld op een SP-console:

Router-sp#test monitor session 1 show
Ingress Source Ports: 3/3 15/1 
Egress Source Ports: 3/3 
Ingress Source Vlans: <empty>
Egress Source Vlans: <empty>
Filter Vlans: <empty>
Destination Ports: 3/2

CatOS-systeemsoftware

Voor switches die CatOS systeemsoftware uitvoeren, voert de supervisor engine CatOS uit en de MSFC voert Cisco IOS-software uit.

Als u de opdracht show mac uitgeeft, kunt u het aantal frames zien dat naar de MSFC wordt gestraft. Port 15/1 is de supervisor-motorverbinding met de MSFC.

Opmerking: de poort is 16/1 voor supervisor-motoren in sleuf 2.

Console> (enable) show mac 15/1

Port     Rcv-Unicast          Rcv-Multicast        Rcv-Broadcast
-------- -------------------- -------------------- --------------------
15/1                   193576                    0                    1

Port     Xmit-Unicast         Xmit-Multicast       Xmit-Broadcast
-------- -------------------- -------------------- --------------------
15/1                        3                    0                    0

Port     Rcv-Octet            Xmit-Octet
-------- -------------------- --------------------
15/1                 18583370                    0

MAC      Dely-Exced MTU-Exced  In-Discard Out-Discard
-------- ---------- ---------- ---------- -----------
15/1              0          -          0           0

Een snelle stijging van dit getal geeft aan dat pakketten worden gekopieerd naar de MSFC, wat een hoog CPU-gebruik veroorzaakt. U kunt de pakketten dan op deze manieren bekijken:

SPAN MSFC-poort 15/1 of 16/1

Stel een SPAN-sessie in waarin de bron de MSFC-poort 15/1 (of 16/1) is en de bestemming een Ethernet-poort is.

Hierna volgt een voorbeeld:

Console> (enable) set span 15/1 5/10
Console> (enable) show span

Destination     : Port 5/10
Admin Source    : Port 15/1
Oper Source     : None
Direction       : transmit/receive
Incoming Packets: disabled
Learning        : enabled
Multicast       : enabled
Filter          : -
Status          : active

Als u een snuffelspoor op poort 5/10 verzamelt, toont het snuffelspoor pakketten die verzenden naar en van de MSFC. Configureer de SPAN-sessie als tx om pakketten op te nemen die alleen bestemd zijn voor de MSFC, en niet voor de MSFC.

SPAN sc0

Stel een SPAN-sessie in met de sc0-interface als bron om frames op te nemen die naar de supervisor-engine CPU gaan.

Console> (enable) set span ?
  disable                    Disable port monitoring
  sc0                        Set span on interface sc0
  <mod/port>                 Source module and port numbers
  <vlan>                     Source VLAN numbers

Opmerking: voor optische servicesmodules (optische servicesmodules) kunt u geen SPAN-opname van verkeer uitvoeren.

Aanbevelingen

Het gebruik van de supervisor-motor van CPU weerspiegelt niet de prestaties van de switch bij het doorsturen van hardware. Toch moet u de basislijn en het gebruik van de supervisor engine CPU.

  1. Basislijn de supervisor engine CPU-benutting voor de switch in een steady-state netwerk met normale verkeerspatronen en -belasting.

    Let op welke processen het hoogste CPU gebruik genereren.

  2. Wanneer u het gebruik van cpu problemen oplost, overweeg deze vragen:

    • Welke processen genereren het hoogste gebruik? Zijn deze processen anders dan je basislijn?

    • Wordt de CPU constant verhoogd ten opzichte van de basislijn? Of zijn er pieken van hoog gebruik, en dan een terugkeer naar de basisniveaus?

    • Zijn er topologische wijzigingsmeldingen (TCN’s) in het netwerk?

      Opmerking: Flappende poorten of hostpoorten met STP PortFast uitgeschakeld veroorzaken TCN's.

    • Is er buitensporig uitzending- of multicastverkeer in de beheersubnetten/VLAN?

    • Is er excessief beheerverkeer, zoals SNMP-peilingen, op de switch?

  3. Tijdens de hoge CPU-tijd (wanneer de CPU 75% of hoger is) dient u de uitvoer van deze opdrachten te verzamelen:

  4. Indien mogelijk, isoleer het beheer VLAN van VLAN’s met verkeer van gebruikersgegevens, in het bijzonder zwaar uitzendingsverkeer.

    De voorbeelden van dit type van verkeer omvatten IPX RIP/Service Advertising Protocol (SAP), AppleTalk, en ander uitzendingsverkeer. Zulk verkeer kan van invloed zijn op het gebruik van de CPU van de supervisor-motor en kan in extreme gevallen de normale werking van de switch verstoren.

  5. Als de CPU hoog loopt vanwege het punt van verkeer naar de RP, moet u bepalen wat dat verkeer is en waarom het verkeer wordt gestraft.

    Om deze bepaling te maken, gebruikt u de hulpprogramma's die door de hulpprogramma's en tools worden beschreven om het verkeer te bepalen dat naar de CPU-sectie wordt gekopieerd.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
11-Feb-2005
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten