Toon posts:

Cisco 3550 hoge cpu load en trage ping

Pagina: 1
Acties:

maandag 15 juni 2009 15:57

Acties:
  • gjs
  • Registratie: Juni 2001
  • Laatst online: 31-01 16:03

gjs

Scoobydoobydoo

Topicstarter
Ik heb hier een Cisco 3550-12T switch, die gebruikt wordt als L3 switch met ACL's. Hij hangt aan Surfnet (1Gbit).
Het beestje draait c3550-i5q3l2-mz.121-4.EA1e (redelijk oud).
Tijdens werkuren piekt de cpu heel regelmatig op 99% en de ping loopt soms op naar 30ms.
Er zit dus iets niet helemaal lekker.
Het rare er van is dat er volgens zeggen 99% utilization is, maar per proces opgeteld kom ik daar lang niet aan:


#sh processes cpu
CPU utilization for five seconds: 99%/96%; one minute: 99%; five minutes: 99%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
1 62588 5866740 10 0.00% 0.00% 0.00% 0 Load Meter
2 232 155 1496 0.40% 0.10% 0.02% 1 Virtual Exec
3 13507236 3158733 4276 0.00% 0.00% 0.00% 0 Check heaps
4 0 1 0 0.00% 0.00% 0.00% 0 Chunk Manager
5 405448 1908349 212 0.00% 0.00% 0.00% 0 Pool Manager
6 0 2 0 0.00% 0.00% 0.00% 0 Timers
7 0 1 0 0.00% 0.00% 0.00% 0 Entity MIB API
8 354752 5866625 60 0.00% 0.00% 0.00% 0 HC Counter Timer
9 2795416 9198936 303 0.00% 0.00% 0.00% 0 ARP Input
10 266048 6745626 39 0.00% 0.00% 0.00% 0 Net Input
11 0 1 0 0.00% 0.00% 0.00% 0 Critical Bkgnd
12 548172 16292660 33 0.00% 0.00% 0.00% 0 Net Background
13 4 183 21 0.00% 0.00% 0.00% 0 Logger
14 163272 29318938 5 0.00% 0.00% 0.00% 0 TTY Background
15 211216 29318956 7 0.00% 0.00% 0.00% 0 Per-Second Jobs
16 0 2 0 0.00% 0.00% 0.00% 0 Vegas Storm Cont
17 98235272 721950747 136 1.22% 1.45% 1.45% 0 Vegas LED Proces
18 0 1 0 0.00% 0.00% 0.00% 0 SCQ_PROCESS
19 444 313 1418 0.00% 0.00% 0.00% 0 RAM Access
20 7404240 637359225 11 0.32% 0.10% 0.09% 0 SW Frame Ager
21 222680 5866740 37 0.00% 0.00% 0.00% 0 Compute load avg
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
22 1463856 488921 2994 0.00% 0.00% 0.00% 0 Per-minute Jobs
23 224696 58601337 3 0.00% 0.00% 0.00% 0 L2TM Process
24 17856788 58588052 304 0.00% 0.03% 0.01% 0 Vegas Statistics
25 469912 58601337 8 0.00% 0.00% 0.00% 0 L3TM
26 13960528 404488365 34 0.24% 0.21% 0.18% 0 HMATM Learn proc
27 96628 29318947 3 0.00% 0.00% 0.00% 0 HMATM Age proces
28 0 1 0 0.00% 0.00% 0.00% 0 VL2MM
29 203616 29320420 6 0.00% 0.00% 0.00% 0 L3MD
30 453028480 187643248 2414 1.06% 0.98% 0.96% 0 L3MD_STAT
31 0 1 0 0.00% 0.00% 0.00% 0 Vegas Bridging
32 7116192 421655503 16 0.00% 0.04% 0.05% 0 VegasPMq
33 4026208 56392517 71 0.08% 0.03% 0.00% 0 VUR_MGR bg proce
35 30058112 86920563 345 0.24% 0.12% 0.09% 0 IP Input
36 0 2 0 0.00% 0.00% 0.00% 0 DTP Protocol
37 8620 2933510 2 0.00% 0.00% 0.00% 0 EtherChnl
38 40 3 13333 0.00% 0.00% 0.00% 0 VLAN Manager
39 249068 29318947 8 0.00% 0.00% 0.00% 0 PI MATM Aging Pr
40 303588 29336960 10 0.00% 0.00% 0.00% 0 UDLD
41 125488 545009 230 0.00% 0.00% 0.00% 0 DHCPD Receive
42 0 1 0 0.00% 0.00% 0.00% 0 HTTP Timer
43 108 819 131 0.00% 0.00% 0.00% 0 RARP Input
44 0 2 0 0.00% 0.00% 0.00% 0 STP STACK TOPOLO
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
45 0 2 0 0.00% 0.00% 0.00% 0 STP FAST TRANSIT
46 64 506 126 0.00% 0.00% 0.00% 0 TCP Timer
47 24 42 571 0.00% 0.00% 0.00% 0 TCP Protocols
48 0 1 0 0.00% 0.00% 0.00% 0 Socket Timers
49 174308 14664559 11 0.00% 0.00% 0.00% 0 L2MM
50 0 1 0 0.00% 0.00% 0.00% 0 MRD
51 0 1 0 0.00% 0.00% 0.00% 0 IGMPSN
52 1620 366712 4 0.00% 0.00% 0.00% 0 Cluster L2
53 23184 2933509 7 0.00% 0.00% 0.00% 0 Cluster RARP
54 29004 3666936 7 0.00% 0.00% 0.00% 0 Cluster Base
55 4080 488921 8 0.00% 0.00% 0.00% 0 IP Cache Ager
56 267024 489763 545 0.00% 0.00% 0.00% 0 Adj Manager
57 0 2 0 0.00% 0.00% 0.00% 0 Router Autoconf
58 0 1 0 0.00% 0.00% 0.00% 0 AggMgr Process
59 330404 36821161 8 0.08% 0.00% 0.00% 0 PM Callback
60 7392064 26840297 275 0.00% 0.02% 0.01% 0 VFM Queue Proces
61 18500 84 220238 0.00% 0.00% 0.00% 0 VFM/VQM Merge Pr
62 116 23 5043 0.00% 0.00% 0.00% 0 VFM Deferred Upd
63 389020 500367 777 0.00% 0.00% 0.00% 0 IP Background
64 9721076 40985419 237 0.08% 0.07% 0.07% 0 CEF process
65 31444 488921 64 0.00% 0.00% 0.00% 0 CEF Scanner
66 0 1 0 0.00% 0.00% 0.00% 0 SNMP Timers
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
67 2505652 2844002 881 0.00% 0.00% 0.00% 0 IP SNMP
68 0 1 0 0.00% 0.00% 0.00% 0 SNMP Traps
70 2436 244474 9 0.00% 0.00% 0.00% 0 DHCPD Timer


Wie heeft er wat suggesties om dit performance probleem te tackelen, via zoeken op google ben ik de term TCAM al een paar maal tegengekomen, maar wat zijn goed utigangswaarden ?

Verder heb ik een aantal vlans op de switch, in een leeg vlan haal ik wel behoorlijk performance.
De interfaces zijn allemaal als voglt gedefinieerd:

downlinks:
interface GigabitEthernet0/1
description DMZ sever segment 1G
no switchport
ip address x.x.x.x 255.255.255.224
ip access-group 101 out
ip route-cache same-interface
no cdp enable

uplink:
interface GigabitEthernet0/11
no switchport
ip address x.x.x.x 255.255.255.248
ip access-group 111 in
no cdp enable

[ Voor 5% gewijzigd door gjs op 15-06-2009 16:05 ]

GA-Z68X-UD3H-B3 I7-2600K@4.4GHz 24Gb Ram 7Tb HDD

maandag 15 juni 2009 16:14

Acties:
  • Robbels
  • Registratie: September 2004
  • Laatst online: 22-01 10:19

Robbels

Geven de ARP Tables vreemde zaken?
heb je soms kleine switches achter deze switch hangen waar misschien een loop inzit? Dit kan je performance geheel nekken, looping ken ik alleen dat het zo ver gaat dat het hele delen van je netwerk offline gooit in het ergste geval je gehele netwerk.

Je zou eens kunnen beginnen met een "sh conf" hier neerplempen wellicht dat er dan een en ander inzichtelijker wordt.

maandag 15 juni 2009 16:43

Acties:
  • Leon T
  • Registratie: Juni 2001
  • Niet online

Leon T

Ni!

Zo, dat is iets waar ik een 3550 nog nooit voor misbruikt heb zien worden :P
Graag het volgende posten: show ver, show run, show log.

In de tussentijd, zet in ieder geval ip cef aan en kijk of je in de ACLs kan snoeien (lees: houd de masks zo groot mogelijk).

[ Voor 23% gewijzigd door Leon T op 15-06-2009 16:47 ]

maandag 15 juni 2009 17:05

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Leon T schreef op maandag 15 juni 2009 @ 16:43:

Graag het volgende posten: show ver, show run, show log.
Dat dus :D Grote kans dat die ACL het probleem is, aangezien elk pakketje daar doorheen moet.

Vicariously I live while the whole world dies

maandag 15 juni 2009 17:21

Acties:
  • gjs
  • Registratie: Juni 2001
  • Laatst online: 31-01 16:03

gjs

Scoobydoobydoo

Topicstarter
Leon T schreef op maandag 15 juni 2009 @ 16:43:
Zo, dat is iets waar ik een 3550 nog nooit voor misbruikt heb zien worden :P
Graag het volgende posten: show ver, show run, show log.

In de tussentijd, zet in ieder geval ip cef aan en kijk of je in de ACLs kan snoeien (lees: houd de masks zo groot mogelijk).
Hij draait hier al een behoorlijk aantal jaartjes in deze opstelling. Er wordt wat packet filtering op gedaan en daar achter staan een aantal ISA servers. Er zit een Fortigate aan te komen die de hele boel gaat vervangen echter moeten we het nog een paar maandjes uitzingen.
Morgen post ik wat meer info als ik weer op m'n werk zit.

GA-Z68X-UD3H-B3 I7-2600K@4.4GHz 24Gb Ram 7Tb HDD

maandag 15 juni 2009 23:14

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

Effe lezen...

http://www.cisco.com/en/U...ote09186a008078ece1.shtml

Mischien zit er iets tussen...

dinsdag 16 juni 2009 15:41

Acties:
  • gjs
  • Registratie: Juni 2001
  • Laatst online: 31-01 16:03

gjs

Scoobydoobydoo

Topicstarter
jvanhambelgium schreef op maandag 15 juni 2009 @ 23:14:
Effe lezen...

http://www.cisco.com/en/U...ote09186a008078ece1.shtml

Mischien zit er iets tussen...
Die had ik ook al gevonden, wellicht kan ik wat met de ip redirects die nu default (aan) staan.

GA-Z68X-UD3H-B3 I7-2600K@4.4GHz 24Gb Ram 7Tb HDD

dinsdag 16 juni 2009 16:07

Acties:
  • gjs
  • Registratie: Juni 2001
  • Laatst online: 31-01 16:03

gjs

Scoobydoobydoo

Topicstarter
Leon T schreef op maandag 15 juni 2009 @ 16:43:
Zo, dat is iets waar ik een 3550 nog nooit voor misbruikt heb zien worden :P
Graag het volgende posten: show ver, show run, show log.

In de tussentijd, zet in ieder geval ip cef aan en kijk of je in de ACLs kan snoeien (lees: houd de masks zo groot mogelijk).
sh ver
Cisco Internetwork Operating System Software
IOS (tm) C3550 Software (C3550-I5Q3L2-M), Version 12.1(4)EA1e, RELEASE SOFTWARE
(fc1)
Copyright (c) 1986-2001 by cisco Systems, Inc.
Compiled Thu 06-Sep-01 17:49 by antonino
Image text-base: 0x00003000, data-base: 0x005F2E90

ROM: Bootstrap program is C3550 boot loader

xxxxx uptime is 48 weeks, 4 days, 17 hours, 53 minutes
System returned to ROM by power-on
System image file is "flash:c3550-i5q3l2-mz.121-4.EA1e/c3550-i5q3l2-mz.121-4.EA1
e.bin"

cisco WS-C3550-12T (PowerPC) processor (revision B0) with 65526K/8192K bytes of
memory.
Processor board ID FAA0547V04T
Last reset from warm-reset
Bridging software.
Running Layer2/3 Switching Image

Ethernet-controller 1 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 2 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 5 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 6 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 7 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 8 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 9 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 10 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 11 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

Ethernet-controller 12 has 1 Gigabit Ethernet/IEEE 802.3 interfaces

12 Gigabit Ethernet/IEEE 802.3 interface(s)

32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:08:21:2A:BF:00
Motherboard assembly number: 73-5527-10
Power supply part number: 34-0967-01
Motherboard serial number: FAA0546J2C0
Power supply serial number: LIT052100AD
Model revision number: B0
Model number: WS-C3550-12T
System serial number: FAA0547V04T
Configuration register is 0x10F



sh log
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
Console logging: level debugging, 129 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 129 messages logged
File logging: disabled
Trap logging: level informational, 133 message lines logged

Log Buffer (4096 bytes):
HPORTATTEMPT: Attempted to connect to RSHELL from 194.122.40.105
30w5d: %RCMD-4-RSHPORTATTEMPT: Attempted to connect to RSHELL from 194.122.40.105
43w3d: %FM-3-MERGEFAIL: IP ACL merge error 3 (library error) on output label 2


Ik heb alle ip adressen en andere traceerbare items gecencureerd.


sh run
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxxxxx
!
enable secret 5 xxxxxxxx
enable password 7 xxxxxxxxxxxxx
!
ip subnet-zero
ip routing
no ip finger
ip domain-name xxxxxxxx
ip name-server 192.87.106.106
ip name-server 192.87.36.36
ip name-server 195.169.124.124
!
!
!
!
interface GigabitEthernet0/1
description VPN Beheer segment
no switchport
ip address x.y.z.1 255.255.255.224
ip access-group 101 out
ip route-cache same-interface
no cdp enable
!
interface GigabitEthernet0/2
description DMZ client segment 100Mbit
no switchport
ip address x.y.z.33 255.255.255.224
ip access-group 102 out
ip route-cache same-interface
no cdp enable
!
interface GigabitEthernet0/3
description DMZ server segment 100Mbit
no switchport
ip address x.y.z.65 255.255.255.224
ip access-group 103 out
ip route-cache same-interface
no cdp enable
!
interface GigabitEthernet0/4
description DMZ sever segment 1G
no switchport
ip address x.y.z.97 255.255.255.224
ip access-group 104 out
ip route-cache same-interface
no cdp enable
!
interface GigabitEthernet0/5
description niet gebruikt 128
no switchport
ip address x.y.z.129 255.255.255.224
ip access-group 105 out
ip route-cache same-interface
shutdown
no cdp enable
!
interface GigabitEthernet0/6
description niet gebruikt 160
no switchport
ip address x.y.z.161 255.255.255.224
ip access-group 106 out
ip route-cache same-interface
shutdown
no cdp enable
!
interface GigabitEthernet0/7
description DMZ speciaal segment 100Mbit
no switchport
ip address x.y.z.193 255.255.255.224
ip access-group 107 out
ip route-cache same-interface
no cdp enable
!
interface GigabitEthernet0/8
description DMZ speciaal segment
no switchport
ip address x.y.z.225 255.255.255.224
ip access-group 108 out
ip route-cache same-interface
no cdp enable
!
interface GigabitEthernet0/9
description Public segment
no switchport
ip address a.b.c.1 255.255.255.0 secondary
ip address d.e.f.1 255.255.255.0 secondary
ip address g.h.i.1 255.255.255.0
ip access-group 109 out
ip route-cache same-interface
no cdp enable
!
interface GigabitEthernet0/10
description VPN segment
no switchport
no ip address
ip access-group 110 out
shutdown
no cdp enable
!
interface GigabitEthernet0/11
no switchport
ip address j.k.l.m 255.255.255.248
ip access-group 111 in
no cdp enable
!
interface GigabitEthernet0/12
no switchport
no ip address
no cdp enable
!
interface Vlan1
no ip address
!
interface Vlan100
no ip address
!
interface Vlan101
no ip address
!
interface Vlan102
no ip address
!
interface Vlan103
no ip address
!
interface Vlan104
no ip address
!
interface Vlan105
no ip address
!
interface Vlan106
no ip address
!
interface Vlan107
no ip address
!
interface Vlan108
no ip address
!
interface Vlan110
no ip address
!
interface Vlan111
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 j.k.l.m
ip route 1.2.3.4 255.255.255.224 a.b.c.d
no ip http server
!
access-list 11 permit x.y.z.32 0.0.0.31
access-list 12 permit d.e.f.2
access-list 12 permit g.h.i.200
access-list 101 permit blabla (15regels)
access-list 102 permit blabla (65regels)
access-list 103 permit blabla (30regels)
access-list 107 permit blabla (19regels)
access-list 108 permit blabla (16regels)
access-list 109 permit blabla (11regels)
access-list 111 permit blabla (11regels)
access-list 111 deny blabla(30regels)
access-list 111 permit ip any any
no cdp run
snmp-server engineID local xxxxxxx
snmp-server community xxxxxxxxx RO 12
!
line con 0
password 7 xxxxxxxxxx
transport input none
line vty 0 4
access-class 11 in
password 7 xxxxxxxxxx
login
line vty 5 15
login
!
end

GA-Z68X-UD3H-B3 I7-2600K@4.4GHz 24Gb Ram 7Tb HDD

dinsdag 16 juni 2009 18:08

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

access-list 101 permit blabla (15regels)
access-list 102 permit blabla (65regels)
access-list 103 permit blabla (30regels)
access-list 107 permit blabla (19regels)
access-list 108 permit blabla (16regels)
access-list 109 permit blabla (11regels)
access-list 111 permit blabla (11regels)
access-list 111 deny blabla(30regels)
access-list 111 permit ip any any

...hier val nog wat te optimaliseren voor ACL111...;-)
Permit wat je wil doorlaten en eindig gewoon met 1 deny statement punt.
(spaart je weer 30 regels processing uit)


Je zou inderdaad ook eens "ip cef" kunnen inkloppen in algemene config-mode nadat je eventueel checked of er bugs zijn tegen c3550-i5q3l2-mz.121-4.EA1e
(en doet dat op een kalme moment ;-))


Voor de rest..
43w3d: %FM-3-MERGEFAIL: IP ACL merge error 3 (library error) on output label 2

Leuke fout, mischien ook eens de ACL's van de interfaces doen waar geen ACL's voor bestaan.
Je verwijst op interfaces naar ACL 104,105,106 maar er bestaan geen ACL's.
Akkoord voor poorten 105/106 want die staan toch shut, maar ACL 104 staat op een actieve poort maar de ACL bestaat niet.

...ter info...

Error Message FM-3-MERGEFAIL: [chars] ACL merge error [dec] on label [dec].

Explanation This message means that the feature manager was unable to complete the merge of the configured features into a form suitable for loading into the hardware. Packets potentially affected by this feature are sent to the CPU for processing. The CPU processing needed to uphold the overflowed ACL severely degrades performance. [chars] is the ACL-type error (IP or MAC). The first [dec] is the error code, and the second [dec] is the label number.

Recommended Action Reorganize the ACLs so that all entries fit into hardware. Use less complicated and fewer ACLs.

**************************************************************
....en CPU processing knijpt je hele bakje toe ;-)

[ Voor 3% gewijzigd door jvanhambelgium op 16-06-2009 18:09 ]

woensdag 17 juni 2009 08:24

Acties:
  • gjs
  • Registratie: Juni 2001
  • Laatst online: 31-01 16:03

gjs

Scoobydoobydoo

Topicstarter
jvanhambelgium schreef op dinsdag 16 juni 2009 @ 18:08:
access-list 101 permit blabla (15regels)
access-list 102 permit blabla (65regels)
access-list 103 permit blabla (30regels)
access-list 107 permit blabla (19regels)
access-list 108 permit blabla (16regels)
access-list 109 permit blabla (11regels)
access-list 111 permit blabla (11regels)
access-list 111 deny blabla(30regels)
access-list 111 permit ip any any

...hier val nog wat te optimaliseren voor ACL111...;-)
Permit wat je wil doorlaten en eindig gewoon met 1 deny statement punt.
(spaart je weer 30 regels processing uit)
Thanks voor je kritische blik, maar even over ACL 111.
Als ik een ACL wil waar ik alles wil doorlaten behalve een aantal poorten dan is dit toch de manier ?
Ik wil bv smtp doorlaten naar een aantal ip adressen en blokeren voor de rest voor mijn ip netten, maar deze acl moet verder alles doorlaten.
IP cef gaan we proberen binnenkort, en ACL's op ongebruikte poorten verwijderen.

GA-Z68X-UD3H-B3 I7-2600K@4.4GHz 24Gb Ram 7Tb HDD

woensdag 17 juni 2009 08:43

Acties:
  • joopv
  • Registratie: Juli 2003
  • Niet online

joopv

Ik zie dat je de ACL's op het uitgaand verkeer toepast... ? Filtering doe je meestal op traffic wat je doos binnenkomt, niet op wat er uitgaat.

Verder inderdaad kijken of ip cef aanstaan (sh ip cef).

Ik zie ook dat je IP definieert direct op ethernet nivo. Dat is - in mijn ogen - ongebruikelijk, normaal doe je IP definieren op vlan's en plaats je je ethernet poorten in die vlan's.

Verder zou je je doos eens kunnen rebooten. 43 weken uptime stelt weinig voor bij een Cisco doos, maar toch even controleren wat dat voor een effect heeft.

De code die je nu draait is uit 2001... de laatste release is van maart 2009
Switches > Cisco Catalyst 3550 12T Switch > IOS Software Latest Releases 12.2.44-SE6(ED)

[ Voor 13% gewijzigd door joopv op 17-06-2009 08:48 ]

woensdag 17 juni 2009 08:47

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

gjs schreef op woensdag 17 juni 2009 @ 08:24:
[...]


Thanks voor je kritische blik, maar even over ACL 111.
Als ik een ACL wil waar ik alles wil doorlaten behalve een aantal poorten dan is dit toch de manier ?
Ik wil bv smtp doorlaten naar een aantal ip adressen en blokeren voor de rest voor mijn ip netten, maar deze acl moet verder alles doorlaten.
IP cef gaan we proberen binnenkort, en ACL's op ongebruikte poorten verwijderen.
Het is inderdaad tijd dat je een firewall gaat aanschaffen ;-)
Ik weet natuurlijk de granulariteit niet waarmee jij filtering policies wilt opstellen en wat jij daar wilt zal inderdaad zorgen voor een aanta "deny" statements.

Stel dat voorbeeld met de SMTP, zet je een deny voor elk subnet waar het NIET naartoe mag of gewoon 1 regel "smtp deny" in z'n geheel ? Dat kan ook wat uitsparen!

Ik zie in ACL111 zo'n 11 permits staan en 30 deny's ... toch denk ik dat het aantal "denies" een stuk naar beneden kunnen.(in principe 1 "overall" deny voor elke poort/protocol is toch voldoende, je moet niet echt gaan opgeven dat je een deny wilt naar subnet X,Y of Z, nee gewoon protocol/port deny overall naar het permit statement.

Of mis ik hier iets ? Dat lijkt me dus nog korter te kunnen...


Ik zie trouwens ook dat die %FM-3-MERGEFAIL: IP ACL merge error 3 (library error) on output label 2 reeds 43 weken geleden gebeurde, denkelijk tijdens het aanpassen etc van ACL's etc dus ik denk niet dat het een issue is ... anders zou het "IP Input" process hoge CPU trekken (wat het niet doet) omdat die filtering dan "process switched" is.

woensdag 17 juni 2009 09:41

Acties:
  • gjs
  • Registratie: Juni 2001
  • Laatst online: 31-01 16:03

gjs

Scoobydoobydoo

Topicstarter
jvanhambelgium schreef op woensdag 17 juni 2009 @ 08:47:
[...]
Het is inderdaad tijd dat je een firewall gaat aanschaffen ;-)
Ik weet natuurlijk de granulariteit niet waarmee jij filtering policies wilt opstellen en wat jij daar wilt zal inderdaad zorgen voor een aanta "deny" statements.

Stel dat voorbeeld met de SMTP, zet je een deny voor elk subnet waar het NIET naartoe mag of gewoon 1 regel "smtp deny" in z'n geheel ? Dat kan ook wat uitsparen!

Ik zie in ACL111 zo'n 11 permits staan en 30 deny's ... toch denk ik dat het aantal "denies" een stuk naar beneden kunnen.(in principe 1 "overall" deny voor elke poort/protocol is toch voldoende, je moet niet echt gaan opgeven dat je een deny wilt naar subnet X,Y of Z, nee gewoon protocol/port deny overall naar het permit statement.

Of mis ik hier iets ? Dat lijkt me dus nog korter te kunnen...


Ik zie trouwens ook dat die %FM-3-MERGEFAIL: IP ACL merge error 3 (library error) on output label 2 reeds 43 weken geleden gebeurde, denkelijk tijdens het aanpassen etc van ACL's etc dus ik denk niet dat het een issue is ... anders zou het "IP Input" process hoge CPU trekken (wat het niet doet) omdat die filtering dan "process switched" is.
Point taken. Ik heb laatst al naar deze rule zitten kijken om het korter te maken.
idd doe ik denies per subnet, dat kan natuurlijk net zo goed met een 'any'.
Soms heb je even een zetje nodig om het licht te zien !

access-list 111 permit tcp any host w.x.y.1 eq smtp
access-list 111 permit tcp any host w.x.y.2 eq smtp
access-list 111 deny tcp any a.b.c.0 0.0.0.255 eq smtp
access-list 111 deny tcp any d.e.f.0 0.0.0.255 eq smtp
access-list 111 deny tcp any g.h.i.0 0.0.0.255 eq smtp
access-list 111 deny tcp any j.k.l.0 0.0.0.255 eq smtp
access-list 111 deny tcp any m.n.o.0 0.0.0.255 eq smtp
access-list 111 deny tcp any p.q.r.0 0.0.0.255 eq smtp
...
access-list 111 permit ip any any

vervangen door:

access-list 111 permit tcp any host w.x.y.1 eq smtp
access-list 111 permit tcp any host w.x.y.2 eq smtp
access-list 111 deny tcp any any eq smtp
...
access-list 111 permit ip any any

[ Voor 19% gewijzigd door gjs op 17-06-2009 09:47 ]

GA-Z68X-UD3H-B3 I7-2600K@4.4GHz 24Gb Ram 7Tb HDD

woensdag 17 juni 2009 10:07

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

...of dat dit nu veel gaat uitmaken qua CPU-cycles die vrijkomen is nog maar de vraag natuurlijk...maar alle beetjes helpen zou ik zeggen...

woensdag 17 juni 2009 11:23

Acties:
  • gjs
  • Registratie: Juni 2001
  • Laatst online: 31-01 16:03

gjs

Scoobydoobydoo

Topicstarter
cef lijkt standaard aan te staan op de 3550 ?

sh cef interface gigabitEthernet 0/1
GigabitEthernet0/1 is up (if_number 15)
Corresponding hwidb fast_if_number 15
Corresponding hwidb firstsw->if_number 15
Internet address is a.b.c.d/27
ICMP redirects are always sent
Per packet load-sharing is disabled
IP unicast RPF check is disabled
Inbound access list is not set
Outbound access list is 101
IP policy routing is disabled
BGP based policy accounting is disabled
Hardware idb is GigabitEthernet0/1
Fast switching type 1, interface type 112
IP CEF switching enabled
IP CEF Feature Fast switching turbo vector
Input fast flags 0x0, Output fast flags 0x1
ifindex 14(14)
Slot 0 Slot unit 0 VC -1
Transmit limit accumulator 0x0 (0x0)
IP MTU 1500

Een 'no ip cef' op een test 3550 geeft Cannot disable CEF on this platform.
Deze heb ik ondertussen wel geupdate naar IOS 12.2(25)SEE4. (c3550-ipservices-mz)

[ Voor 9% gewijzigd door gjs op 17-06-2009 11:26 ]

GA-Z68X-UD3H-B3 I7-2600K@4.4GHz 24Gb Ram 7Tb HDD

woensdag 17 juni 2009 11:35

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

gjs schreef op woensdag 17 juni 2009 @ 11:23:
cef lijkt standaard aan te staan op de 3550 ?

sh cef interface gigabitEthernet 0/1
GigabitEthernet0/1 is up (if_number 15)
Corresponding hwidb fast_if_number 15
Corresponding hwidb firstsw->if_number 15
Internet address is a.b.c.d/27
ICMP redirects are always sent
Per packet load-sharing is disabled
IP unicast RPF check is disabled
Inbound access list is not set
Outbound access list is 101
IP policy routing is disabled
BGP based policy accounting is disabled
Hardware idb is GigabitEthernet0/1
Fast switching type 1, interface type 112
IP CEF switching enabled
IP CEF Feature Fast switching turbo vector
Input fast flags 0x0, Output fast flags 0x1
ifindex 14(14)
Slot 0 Slot unit 0 VC -1
Transmit limit accumulator 0x0 (0x0)
IP MTU 1500

Een 'no ip cef' op een test 3550 geeft Cannot disable CEF on this platform.
Deze heb ik ondertussen wel geupdate naar IOS 12.2(25)SEE4. (c3550-ipservices-mz)
Laat het dan maar gewoon staan zou ik zeggen ;-)
Trouwens, blijft nu die CPU load altijd zo hoog staan ? Ook na de upgrade ?
Indien wel moet je dit gewoon aanvaarden als zijn dat je tegen de limiet van het platform aanzit ... ACL's op gigabit-interfaces (al zijn die geshaped aan de andere kant op 100Mbps) is niet iets waar een 3550 voor dient ;-)

woensdag 17 juni 2009 11:40

Acties:
  • bgprocks
  • Registratie: Oktober 2007
  • Laatst online: 11-06-2025

bgprocks

Heb je gekeken welke SDM (switch database manager) optie je gebruikt (show sdm prefer uit mijn hoofd)?

Als deze verkeerd (vlan) staan, kan je nl nogal last krijgen van een erg hoge cpu belasting. Zal op iets van routing moeten staan. Zie ook http://www.cisco.com/en/U...guration/guide/swsdm.html (is wel voor de 3560, maar werkt vergelijkbaar op de 3350).

[ Voor 29% gewijzigd door bgprocks op 17-06-2009 11:43 ]

woensdag 17 juni 2009 12:00

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 22-01 08:08

TrailBlazer

Karnemelk FTW

Jammer dat je je ACL's niet wil posten. Want daar is vast wel wat winst te behalen. Anders verander je even de 1e 2 octetten naar 1.1 want je hebt namelijk vast geen Klasse A adres in gebruik en als het het 10 netwerk is dan moet je het sowieso gewoon posten hier..

woensdag 17 juni 2009 12:03

Acties:
  • gjs
  • Registratie: Juni 2001
  • Laatst online: 31-01 16:03

gjs

Scoobydoobydoo

Topicstarter
jvanhambelgium schreef op woensdag 17 juni 2009 @ 11:35:
Trouwens, blijft nu die CPU load altijd zo hoog staan ? Ook na de upgrade ?
Indien wel moet je dit gewoon aanvaarden als zijn dat je tegen de limiet van het platform aanzit ... ACL's op gigabit-interfaces (al zijn die geshaped aan de andere kant op 100Mbps) is niet iets waar een 3550 voor dient ;-)
De upgrade heb ik op een 2e niet productie gedaan (cold standby).
Ding is destijds gekocht om toch om gbit richting surfnet te connecten. Er worden nu steeds hogere snelheden verwacht, dus hoog tijd voor een upgrade. Vandaar de upgrade naar een Fortigate over een paar maanden.

GA-Z68X-UD3H-B3 I7-2600K@4.4GHz 24Gb Ram 7Tb HDD

woensdag 17 juni 2009 13:18

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

Nog leuk leesvoer ;

http://www.cisco.com/en/U...ote09186a0080094bc6.shtml


Zie onderaan de secties rond TCAM en ook iets over merging en failing ;-)


Die switch heeft een uptime van 43weken en dan is er ook een MERGE-FAIL opgetreden waardoor mogelijk sommige dingen niet meer in hardware gebeuren.
Mischien toch de ACL's een opkuisen en dan een reboot schedulen van deze switch ... mischien dat het dan plots een stuk beter gaat...
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq