Что такое интерфейс «NDE» на Cisco 6500?

12

У меня есть пара маршрутизаторов Cisco 6509, мониторинг которых осуществляется через SNMP ( если быть точным, с Observium ).

Сегодня мы обнаружили пик использования ЦП для процессора коммутации. Пик может быть сопоставлен с пиком входящей одноадресной передачи на порт с именем «NDE_vlan1014» (и «NDE_vlan1014» на другом маршрутизаторе).

Из Google я понимаю, что NDE относится к Netflow, но я нигде не могу найти объяснения того, что на самом деле отображается для этого интерфейса. Он виден только через SNMP (не в a sh ip int br), и у меня нет vlan 1016 и 1014. Я также не вижу пиков в моем анализаторе сетевых потоков (as-stats) ...

Вопрос в том, что это за интерфейс "NDE_vlan"?

Бенджамин А.
источник

Ответы:

12

... Сегодня мы обнаружили пик использования ЦП для процессора коммутации. Пик может быть сопоставлен с пиком входящей одноадресной передачи на порт с именем «NDE_vlan1014» ...

Вопрос в том, что это за интерфейс "NDE_vlan"?

NDE_vlanявляется одним из скрытых Vlans Catalyst 6500. 6500 распределяет внутренние VLAN для множества различных функций, и эти VLAN не могут быть использованы для реальных пользовательских данных после того, как 6500 перехватят их.

Если вы хотите увидеть внутренние vlans, используйте show vlan internal usage... мой конкретный 6500 не запускает экспорт netflow, но вы можете увидеть его на коммутаторе с помощью этой команды.

CORE01.PUB.SEA01#sh vlan internal usage

VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0

CORE01.PUB.SEA01#

Когда 6500 экспортирует потоки в коллектор, он использует DFC или ЦП MSFC для отправки пакетов. Если вы видите скачки ЦП из-за экспорта netflow, вы должны:

Информационный: Выборочный сетевой поток

Обычно синтаксис для выборочного сетевого потока на 6500 имеет вид mls sampling time-based 64; это выбирает один из каждых 64 пакетов. Значения для выбранного сетевого потока ограничены ...

CORE01.PUB.SEA01(config)#mls sampling time-based ?
  64
  128
  256
  512
  1024
  2048
  4096
  8192

CORE01.PUB.SEA01(config)#

Однако, если вы протестируете свой сетевой поток, очевидно, что вы можете пропустить некоторые пакеты, которые вам интересны, так что это действительно суждение о том, может ли это решить вашу проблему. Все зависит от того, почему вы используете netflow. Для мониторинга безопасности вы не можете позволить себе отбрасывать пакеты (таким образом, сетевой поток на занятом 6500 - неправильный ответ). Если вы планируете использовать приложение, выборочный сетевой поток может быть полезным инструментом (при условии, что вы настраиваете графики для интервала выборки).

Майк Пеннингтон
источник