Che cos'è l'interfaccia "NDE" su un Cisco 6500?

12

Ho un paio di router Cisco 6509, che sono monitorati tramite SNMP (con Observium , per essere precisi).

Oggi abbiamo riscontrato un picco di utilizzo della CPU per un processore di commutazione. Il picco può essere correlato con un picco di unicast in entrata su una porta denominata "NDE_vlan1014" (e "NDE_vlan1014" sull'altro router).

Da google capisco che NDE si riferisce a Netflow, ma non riesco a trovare da nessuna parte una spiegazione su ciò che è effettivamente rappresentato per quell'interfaccia. È visibile solo tramite SNMP (non in a sh ip int br) e non ho Vlan 1016 né 1014. Non vedo alcun picco nel mio analizzatore di netflow (as-stats) ...

Quindi la domanda è: che cos'è questa interfaccia "NDE_vlan"?

cisco  cisco-6500  netflow 
Benjamin A.
fonte

Risposte:

12

... Oggi abbiamo riscontrato un picco di utilizzo della CPU per un processore di commutazione. Il picco può essere correlato con un picco di unicast in entrata su una porta denominata "NDE_vlan1014" ...

Quindi la domanda è: che cos'è questa interfaccia "NDE_vlan"?

NDE_vlanè uno dei vlan nascosti del Catalyst 6500. Il 6500 alloca i vlan interni per molte funzioni diverse e quei vlan non possono essere usati per dati utente reali dopo che il 6500 li snarfa.

Se vuoi vedere i Vlan interni, usa show vlan internal usage... il mio 6500 in particolare non esegue l'esportazione netflow, ma puoi vederlo sul tuo switch con quel comando.

CORE01.PUB.SEA01#sh vlan internal usage

VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0

CORE01.PUB.SEA01#

Quando il 6500 esporta fluisce verso un collector, usa i DFC o la CPU MSFC per inviare i pacchetti. Se vedi picchi di CPU dovuti all'esportazione netflow, dovresti:

Informativo: netflow campionato

In genere la sintassi per netflow campionato sul 6500 è mls sampling time-based 64; questo campiona uno su 64 pacchetti. I valori per il flusso di rete campionato sono limitati ...

CORE01.PUB.SEA01(config)#mls sampling time-based ?
  64
  128
  256
  512
  1024
  2048
  4096
  8192

CORE01.PUB.SEA01(config)#

Tuttavia, se campionate il vostro netflow, ovviamente potreste perdere alcuni pacchetti che vi interessano, quindi è davvero un giudizio sul fatto che sia in grado di risolvere il vostro problema. Tutto dipende dal motivo per cui stai usando netflow. Per il monitoraggio della sicurezza, non puoi davvero permetterti di eliminare i pacchetti (quindi netflow su un 6500 occupato è la risposta sbagliata). Se stai rappresentando graficamente l'utilizzo dell'applicazione, il netflow campionato potrebbe essere uno strumento utile (supponendo che modifichi i tuoi grafici per l'intervallo di campionamento).

Mike Pennington
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.