Что такое интерфейс «NDE» на Cisco 6500?

У меня есть пара маршрутизаторов Cisco 6509, которые контролируются через SNMP (с Observium , чтобы быть точным).

Сегодня мы обнаружили пик использования ЦП для коммутационного процессора. Пик можно сопоставить с пиком входящей одноадресной рассылки в порту с именем «NDE_vlan1014» (и «NDE_vlan1014» на другом маршрутизаторе).

Я понимаю из google, что NDE относится к Netflow, но я нигде не могу найти объяснения того, что на самом деле было написано для этого интерфейса. Это видно только через SNMP (не в sh ip int br), и у меня нет vlan 1016 или 1014. Я не вижу никакого пика в моем анализаторе netflow (as-stats) либо ...

Итак, возникает вопрос: что это за интерфейс «NDE_vlan»?

12 голосов | спросил Benjamin A. 19 ThuEurope/Moscow2013-12-19T14:55:36+04:00Europe/Moscow12bEurope/MoscowThu, 19 Dec 2013 14:55:36 +0400 2013, 14:55:36

1 ответ


12
  

... Сегодня мы обнаружили пик использования ЦП для коммутационного процессора. Пик может быть скоррелирован с пиком входящей одноадресной рассылки в порту с именем «NDE_vlan1014» ...

     

Итак, возникает вопрос: что это за интерфейс «NDE_vlan»?

NDE_vlan - один из скрытых vlans от Catalyst 6500. 6500 выделяет внутренние vlans для множества различных функций, и эти vlans не могут использоваться для реальных пользовательских данных после 6500 snarfs.

Если вы хотите увидеть внутренние vlans, используйте show vlan internal usage ... мой конкретный 6500 не запускает экспорт netflow, но вы можете увидеть его на своем коммутаторе с помощью этой команды.

CORE01.PUB.SEA01#sh vlan internal usage

VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0

CORE01.PUB.SEA01#

Когда экспорт 6500 экспортируется в коллектор, он использует DFC или CPU MSFC для отправки пакетов. Если вы видите всплески CPU из-за экспорта нетто-потока, вы должны либо:

  • Используйте линейные карты, которые DFC (что может означать тратить деньги).
  • Используйте Sampled netflow .

Информационный: Сэмплированный netflow

Обычно синтаксис для выборочного netflow на 6500 - это mls sampling time-based 64; это выборка из каждых 64 пакетов. Значения для выборочного сетевого потока ограничены ...

CORE01.PUB.SEA01(config)#mls sampling time-based ?
  64
  128
  256
  512
  1024
  2048
  4096
  8192

CORE01.PUB.SEA01(config)#

Однако, если вы попробуете свой сетевой поток, очевидно, что вы можете пропустить некоторые пакеты, о которых вы заботитесь, так что это действительно вызов для решения, может ли он решить вашу проблему. Все зависит от того, почему вы используете netflow. Для мониторинга безопасности вы не можете позволить себе отказаться от пакетов (таким образом, netflow на занятом 6500 является неправильным ответом). Если вы используете графическое использование приложений, выборка netflow может быть полезным инструментом (при условии, что вы отрегулируете свои графики для интервала выборки).

ответил Mike Pennington 19 ThuEurope/Moscow2013-12-19T15:18:32+04:00Europe/Moscow12bEurope/MoscowThu, 19 Dec 2013 15:18:32 +0400 2013, 15:18:32

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132