IPSEC Post-encap

Wszystkie rozmowy związane z problemem z hardwarem, supportowanymi funkcjonalnościami, wydajnością urządzeń itp.
Wiadomość
Autor
Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

IPSEC Post-encap

#1

#1 Post autor: krisiasty »

na jednym z routerów 1812 mam od jakiegoś czasu dużą utylizację cpu z powodu przerwań i szukam przyczyny.
nie ma tam żadnych cudów - normalne tunele ipsec (vti) zapięte i przez kilka lat był spokój.
wymieniłem soft na nowszy - minimalnie pomogło, ale nadal nie jest dobrze.
przejrzałem forum i przegooglałem internet i nic konkretnego nie znalazłem.
gdzieś padła sugestia żeby sprawdzić statystyki cef-a...

show ip cef switching statistics feature pokazuje coś takiego:

Kod: Zaznacz cały

#show ip cef switching statistics feature
IPv4 CEF input features:
       Feature                Drop    Consume       Punt  Punt2Host Gave route
Total                            0          0          0          0          0

IPv4 CEF output features:
       Feature                Drop    Consume       Punt  Punt2Host    New i/f
Total                            0          0          0          0          0

IPv4 CEF post-encap features:
       Feature                Drop    Consume       Punt  Punt2Host    New i/f
       IPSEC Post-encap          0   25184601          0          0          0
Total                            0   25184601          0          0          0

IPv4 CEF for us features:
       Feature                Drop    Consume       Punt  Punt2Host    New i/f
Total                            0          0          0          0          0

IPv4 CEF punt features:
       Feature                Drop    Consume       Punt  Punt2Host    New i/f
Total                            0          0          0          0          0

IPv4 CEF local features:
       Feature                Drop    Consume       Punt  Punt2Host Gave route
Total                            0          0          0          0          0
co to jest "IPSEC Post-encap" ???

jeden z tuneli mam terminowany na interfejsie svi (vlan), bo mam dodatkowe łącze zapięte na porcie fa2 do jednego z klientów i nie mam już wolnych interfejsów routowanych. czy to może być przyczyna? show interface switching pokazuje że cały ruch na tym interfejsie jest fast-switched, to samo na interfejsie tunnel.

any ideas?[/code]

tomiabc
wannabe
wannabe
Posty: 148
Rejestracja: 07 paź 2010, 14:51

#2

#2 Post autor: tomiabc »

ile ruchu przechodzi przez ten ruter? czy ip mtu jest skonfigurowane na tych vti?

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#3

#3 Post autor: krisiasty »

tomiabc pisze:ile ruchu przechodzi przez ten ruter? czy ip mtu jest skonfigurowane na tych vti?
ruchu jest niedużo - w szczycie 20-30Mbps

na vti jest tcp mss na 1400 wymuszany, fragmentacji brak. łapałem nawet ruch i oglądałem wiresharkiem - nic podejrzanego nie widać.

tomiabc
wannabe
wannabe
Posty: 148
Rejestracja: 07 paź 2010, 14:51

#4

#4 Post autor: tomiabc »

Jest tylko IPsec czy IPsec + GRE? Może UDP jest fragmentowane. spróbuj dać ip tcp adjust-mss 1360 i ip mtu 1400.
http://www.cisco.com/c/en/us/support/do ... pfrag.html

20-30 Mbps to sporo na 1812.

Awatar użytkownika
krisator
wannabe
wannabe
Posty: 446
Rejestracja: 06 maja 2005, 18:35

#5

#5 Post autor: krisator »

A do tego w kwietniu przyszłego roku sprzęt ten już osiągnie totalny EoL
http://www.cisco.com/c/en/us/products/c ... 97946.html

Może czas przygotować się na wymianę sprzętu (pomijając issue naturalnie...)? 8)

K.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#6

#6 Post autor: krisiasty »

tomiabc pisze:Jest tylko IPsec czy IPsec + GRE? Może UDP jest fragmentowane. spróbuj dać ip tcp adjust-mss 1360 i ip mtu 1400.
ipsec bez gre (tunnel mode ipsec ipv4). to nie jest problem fragmentacji. oglądałem ruch wiresharkiem - głównie tcp tam lata + eigrp + pingi
tomiabc pisze:20-30 Mbps to sporo na 1812.
no bez przesady. poza tym te 20-30 jest w szczycie, średnio dużo poniżej 10 jest...

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#7

#7 Post autor: krisiasty »

krisator pisze:A do tego w kwietniu przyszłego roku sprzęt ten już osiągnie totalny EoL
http://www.cisco.com/c/en/us/products/c ... 97946.html
to że jest eol ogłoszony nie znaczy że od razu trzeba sprzęt do śmieci wyrzucać...
tym bardziej że do tej pory z podobnym ruchem radził sobie więcej niż dobrze.

ODPOWIEDZ