forum.opennet.ru

Составление сообщения

Исходное сообщение

"Пропуск трафика с мандатными метками / загруза процессора"
Отправлено Andy1e, 06-Янв-21 04:25

Добра всем. Возникло пожелание у пользователей ЛС, значит, передавать трафик с мандатными метками (дополнительными опциями в заголовке ip пакета), и внезапно (гм!) оказалось, что циски по умолчанию дропают его на выходе с vlan:
#show ip traffic | inc sec
689 security failures, 689 bad options, 4631913 with options (первые два пункта растут синхронно).
С помощью rfc, гугла и такой-то матери выяснилось, что команда "ip security ignore-authority" на интерфейсе заставляет-таки его пропустить (причём требуется прописать ее на каждом ip интерфейсе по маршруту: в случае корпус-ядро-корпус получается в 6 местах, и это еще не считая резервный транспорт), однако при этом безбожно растёт нагрузка на девайс: в условно нерабочее время на корпусной 4500 она вырастает с нуля до 40-100%, а в рабочий понедельник утром, поговаривают, даже 6500 в ядре легла; причём при вчерашних экспериментах грузилась сильно циска только в одном, "наиболее населенном" корпусе; вероятно проблема не с целевым "меченым" трафиком (его было всего ничего, пинги + подключение к БД), а с обычным рабочим фоном (вероятно даже не широковещалкой, хотя тут хз).
Вариант засунуть пользователей в один vlan не рассматривается - шибко много их, в разных местах; решение очевидное, но трудоемкое и некрасивое.

Исходное сообщение
"Пропуск трафика с мандатными метками / загруза процессора" Отправлено Andy1e, 06-Янв-21 04:25
Добра всем. Возникло пожелание у пользователей ЛС, значит, передавать трафик с мандатными метками (дополнительными опциями в заголовке ip пакета), и внезапно (гм!) оказалось, что циски по умолчанию дропают его на выходе с vlan: #show ip traffic \| inc sec 689 security failures, 689 bad options, 4631913 with options (первые два пункта растут синхронно). С помощью rfc, гугла и такой-то матери выяснилось, что команда "ip security ignore-authority" на интерфейсе заставляет-таки его пропустить (причём требуется прописать ее на каждом ip интерфейсе по маршруту: в случае корпус-ядро-корпус получается в 6 местах, и это еще не считая резервный транспорт), однако при этом безбожно растёт нагрузка на девайс: в условно нерабочее время на корпусной 4500 она вырастает с нуля до 40-100%, а в рабочий понедельник утром, поговаривают, даже 6500 в ядре легла; причём при вчерашних экспериментах грузилась сильно циска только в одном, "наиболее населенном" корпусе; вероятно проблема не с целевым "меченым" трафиком (его было всего ничего, пинги + подключение к БД), а с обычным рабочим фоном (вероятно даже не широковещалкой, хотя тут хз). Вариант засунуть пользователей в один vlan не рассматривается - шибко много их, в разных местах; решение очевидное, но трудоемкое и некрасивое.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Добра всем. Возникло пожелание у пользователей ЛС, значит, передавать трафик с мандатными 
> метками (дополнительными опциями в заголовке ip пакета), и внезапно (гм!) оказалось, 
> что циски по умолчанию дропают его на выходе с vlan: 
> #show ip traffic | inc sec 
> 689 security failures, 689 bad options, 4631913 with options (первые два пункта 
> растут синхронно).

> С помощью rfc, гугла и такой-то матери выяснилось, что команда "ip security 
> ignore-authority" на интерфейсе заставляет-таки его пропустить (причём требуется прописать 
> ее на каждом ip интерфейсе по маршруту: в случае корпус-ядро-корпус получается 
> в 6 местах, и это еще не считая резервный транспорт), однако 
> при этом безбожно растёт нагрузка на девайс: в условно нерабочее время 
> на  корпусной 4500 она вырастает с нуля до 40-100%, а 
> в рабочий понедельник утром, поговаривают, даже 6500 в ядре легла; причём 
> при вчерашних экспериментах грузилась сильно циска только в одном, "наиболее населенном" 
> корпусе; вероятно проблема не с целевым "меченым" трафиком (его было всего 
> ничего, пинги + подключение к БД), а с обычным рабочим фоном 
> (вероятно даже не широковещалкой, хотя тут хз).
> Вариант засунуть пользователей в один vlan не рассматривается - шибко много их, 
> в разных местах; решение очевидное, но трудоемкое и некрасивое.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру