TS 系列之–C6K CPU High

了解 Catalyst 6500/6000 交换机上的 CPU 使用率

Cisco 基于软件的路由器使用软件来处理和路由数据包。当路由器执行更多数据包处理和路由操作时,Cisco 路由器上的 CPU 使用率势必增加。因此,show processes cpu 命令可对路由器上的数据流处理负载提供一个相当准确的指示。

Catalyst 6500/6000 交换机使用 CPU 的方式不同。这些交换机在硬件而不是软件中做出转发决策。因此,当交换机对通过交换机的大多数帧做出转发或交换决策时,进程不会占用 Supervisor 引擎 CPU。

在 Catalyst 6500/6000 交换机上,有两个 CPU。一个 CPU 是 Supervisor 引擎 CPU,称为网络管理处理器 (NMP) 或交换机处理器 (SP)。另一个 CPU 是第 3 层路由引擎 CPU,称为 MSFC 或路由处理器 (RP)。

SP CPU 执行以下功能:

·        帮助执行 MAC 地址识别和老化操作

注意:MAC 地址识别也称为路径设置。

·        运行提供网络控制的协议和进程

示例包括生成树协议 (STP)、Cisco 发现协议 (CDP)、VLAN 中继协议 (VTP)、动态中继协议 (DTP) 和端口聚合协议 (PAgP)。

·        处理发往交换机 CPU 的网络管理数据流

示例包括 Telnet、HTTP 和简单网络管理协议 (SNMP) 数据流。

RP CPU 执行以下功能:

·        构建和更新第 3 层路由和地址解析协议 (ARP)

·        生成 Cisco 快速转发 (CEF) 转发信息库 (FIB) 和邻接表,并将这些表下载到 Policy Feature Card (PFC)

·        处理发往 RP 的网络管理数据流

示例包括 Telnet、HTTP 和 SNMP 数据流。

触发数据流进入软件的情况和功能发往交换机的数据包

发往交换机的任何数据包都会进入软件。此类数据包包括:

·        控制数据包

对于 STP、CDP、VTP、热备用路由器协议 (HSRP)、PAgP、链路聚合控制协议 (LACP) 和单向链路检测 (UDLD),将收到控制数据包。

·        路由协议更新

这些协议的示例包括路由信息协议 (RIP)、增强型内部网关路由协议 (EIGRP)、边界网关协议 (BGP) 和开放最短路径优先(OSPF 协议)。

·        发往交换机的 SNMP 数据流

·        对交换机的Telnet和安全套接协议(SSH)流量。

高CPU ultilization由于SSH被看到如下:

00:30:50.793 SGT Tue Mar20 2012CPU utilization for five seconds: 83%/11%; one minute: 15%; fiveminutes: 8% PID Runtime(ms)   Invoked     uSecs   5Sec   1Min   5Min TTYProcess    3        6468     8568        75469.30%  7.90%  1.68%   1 SSH Process

当CPU上升时,请包括这些in命令EEM脚本为了验证SSH会话数量建立:

·        show users

·        show line

·         ARP 请求的 ARP 响应

需要特殊处理的数据包和情况

此列表提供强制数据包在软件中进行处理的特定数据包类型和情况:

·        具有 IP 选项、过期存活时间 (TTL) 或非高级研究项目管理局 (ARPA) 封装的数据包

·        需要特殊处理(如建立隧道)的数据包

·        IP 分段

·        需要来自 RP SP Internet 控制消息协议 (ICMP) 消息的数据包

·        最大传输单元 (MTU) 检查失败

·        具有 IP 错误(包括 IP 校验和长度错误)的数据包

·        如果输入信息包返回位错误(例如一位错误(SBE))数据包被发送对处理的软件的CPU和被更正。系统分配他们的一缓冲区并且使用CPU资源更正它。

·        PBR和自反访问列表在通信流的路径时,数据包是交换的软件,要求另外的CPU周期。

·        邻接同一接口

·        未能通过反向路径转发 (RPF) 检查的数据包 - rpf-failure

·        收集/接收

收集是指需要 ARP 解析的数据包,接收是指归入接收情况的数据包。

·        Supervisor 引擎 720 上在 Cisco IOS 软件和 CatOS 中都进行软件交换的互联网分组交换(IPX) 数据流

IPX 数据流在 Supervisor 引擎 2/Cisco IOS 软件上也进行软件交换,但该数据流在Supervisor 引擎 2/CatOS 上进行硬件交换。IPX 数据流在 Supervisor 引擎 1A 上对于两个操作系统都进行硬件交换。

·        AppleTalk 数据流

·        硬件资源已满情况

这些资源包括 FIB、内容可寻址存储器 (CAM) 和三重 CAM (TCAM)。

基于 ACL 的功能

·        已打开“ICMP 不可达”功能的被访问控制列表 (ACL) 拒绝的数据流

注意:这是默认设置。

如果已启用“IP 不可达”功能,则 ACL 拒绝的某些数据包将被泄漏给 MSFC。需要“ICMP 不可达”的数据包将以用户可配置的速率泄漏。默认情况下,速率为每秒 500 个数据包(500 pps)。

·        IPX 根据不支持的参数(如源主机)进行过滤

在 Supervisor 引擎 720 上,第 3 层 IPX 数据流的处理始终在软件中进行。

·        具有 log 关键字的,需要日志记录的访问控制项(ACE)

这 适用于 ACL 日志和 VLAN ACL (VACL) 日志功能。同一 ACL 中不需要日志记录的 ACE 仍在硬件中进行处理。具有 PFC3 的 Supervisor 引擎 720 支持对因 ACL 和 VACL 日志记录而重定向到 MSFC 的数据包进行速率限制。Supervisor 引擎 2 支持对因 VACL 日志记录而重定向到 MSFC 的数据包进行速率限制。Supervisor 引擎 2 上对 ACL 日志记录的支持计划在 Cisco IOS 软件版本 12.2S 分支中提供。

·        策略路由的数据流(使用 match length、set ip precedence 或其他不支持的参数)

软件中支持 set interface 参数。但是,set interface null 0 参数是一个例外。在具有 PFC2 的 Supervisor 引擎 2 和具有 PFC3 的 Supervisor 引擎 720 上,此数据流在硬件中进行处理。

·         IP 和非 IPX 路由器 ACL (RACL)

非 IP RACL 适用于所有 Supervisor 引擎。非 IPX RACL 仅适用于具有 PFC 的 Supervisor 引擎 1a 和具有 PFC2 的 Supervisor 引擎 2。

·         RACL 中被拒绝的广播数据流

·        在单播 RPF (uRPF) 检查中被拒绝的数据流,ACL ACE

此 uRPF 检查适用于具有 PFC2 的 Supervisor 引擎 2 和具有 PFC3 的 Supervisor 引擎 720。

·        身份验证代理

在 Supervisor 引擎 720 上可以对受身份验证代理控制的数据流进行速率限制。

·        Cisco IOS 软件 IP 安全 (IPSec)

在 Supervisor 引擎 720 上可以对受 Cisco IOS 加密控制的数据流进行速率限制。

基于 NetFlow 的功能

本部分介绍的基于 NetFlow 的功能仅适用于 Supervisor 引擎 2 和 Supervisor 引擎 720。

·        基于 NetFlow 的功能总是需要在软件中看到数据流的第一个数据包。数据流的第一个数据包到达软件后,将对同一数据流的后续数据包进行硬件交换。

此数据流安排适用于自反 ACL、Web 缓存通信协议 (WCCP) 和 Cisco IOS 服务器负载均衡 (SLB)。

注意:在 Supervisor 引擎 1 上,自反 ACL 依靠动态 TCAM 条目创建特定数据流的硬件快捷方式。原理是相同的:数据流的第一个数据包进入软件。该数据流的后续数据包进行硬件交换。

·        使用 TCP 拦截功能,三次握手和会话关闭将在软件中进行处理。数据流的其余部分在硬件中进行处理。

注意:同步 (SYN)、SYN 确认 (SYN ACK) 和 ACK 数据包构成三次握手。会话关闭发生在完成 (FIN) 或重置 (RST) 时。

·        使用网络地址转换 (NAT),数据流按如下方式进行处理:

·         Supervisor 引擎 720 上:

需要 NAT 的数据流在初始转换后在硬件中进行处理。流的第一个数据包的转换在软件中进行,该流的后续数据包进行硬件交换。对于 TCP 数据包,将在完成 TCP 三次握手后在 Netflow 表中创建硬件快捷方式。

·         Supervisor 引擎 2 Supervisor 引擎 1 上:

需要 NAT 的所有数据流都进行软件交换。

·        基于上下文的访问控制 (CBAC) 使用 Netflow 快捷方式将需要检查的数据流分类。然后,CBAC 仅将此数据流发送到软件。CBAC 是一个仅限软件的功能;受检查控制的数据流不进行硬件交换。

注意:在 Supervisor 引擎 720 上可以对受检查控制的数据流进行速率限制。

多播流量

·        独立于协议的多播 (PIM) 监听

·        Internet 组管理协议 (IGMP) 监听 (TTL = 1)

此数据流实际上被发往路由器。

·        多播监听程序发现 (MLD) 监听 (TTL = 1)

此数据流实际上被发往路由器。

·        FIB 缺失

·        与多播源直接连接的用于注册的多播数据包

这些多播数据包通过隧道被传输到集合点。

·        IP 版本 6 (IPv6) 多播

其它特性

·        基于网络的应用程序识别 (NBAR)

·        ARP 检查,仅适用于 CatOS

·        端口安全,仅适用于 CatOS

·        DHCP 监听

IPv6 情况

·        具有逐跳选项报头的数据包

·        与路由器具有相同目标 IPv6 地址的数据包

·        未能通过范围实施检查的数据包

·        超出输出链路的 MTU 的数据包

·        TTL 小于或等于 1 的数据包

·        输入 VLAN 等于输出 VLAN 的数据包

·        IPv6 uRPF

软件为所有数据包执行此 uRPF。

·        IPv6 自反 ACL

软件处理这些自反 ACL。

·        IPv6 站内自动隧道编址协议 (ISATAP) 隧道的 6to4 前缀

软件处理此隧道。所有其他进入 ISATAP 隧道的数据流进行硬件交换。

 

来自 <http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=16974&extra=page%3D1>

www.cniiscn.com

发表评论

电子邮件地址不会被公开。 必填项已用*标注

返回主页看更多
狠狠的抽打博主 支付宝 扫一扫