De acuerdo

El monitoreo de trafico es anormal para un Router NE40E

Última respuesta mzo. 12, 2020 13:21:04 256 2 3 0

Hola a todos, a continuación se proporciona el siguiente caso de estudio.

 

[Porductos involucrados]

 

1.       NE40E

2.       3rd Party NMS.

 

[Descripcion del problema]

 

El cliente reporta que en su herramienta de monitoreo  observa picos de tráfico para una interfaz del NE40, sin embargo estos picos no muestran el trafico real, por lo tanto el comportamiento es anormal.

 

064745jau9abpvnauaubgb.jpg


[Análisis del Problema]

 

1.       Revisar los logs para validar si se observan caídas de paquetes, se encuentra el CP CAR está tirando una gran cantidad de paquetes. :

Line 48119: Oct 22 2019 10:18:43-03:00 NE40E %DEFEND/6/CPCARALARMEDLOG(l)[3590236]:Slot=1;The CP CAR dropped packets is detected to slide into a warning state(TypeID=183, ProtocolName=183, Threshold=30000, Interval=600, Dropped-Packets=179314).

        Line 48132: Oct 22 2019 10:24:38-03:00 NE40E %DEFEND/6/CPCARALARMEDLOG(l)[3590249]:Slot=1;The CP CAR dropped packets is detected to slide into a warning state(TypeID=1700, ProtocolName=1700, Threshold=153600, Interval=300, Dropped-Packets=230735).

        Line 48140: Oc

t 22 2019 10:28:38-03:00 NE40E %DEFEND/6/CPCARALARMEDLOG(l)[3590257]:Slot=1;The CP CAR dropped packets is detected to slide into a warning state(TypeID=15, ProtocolName=ipv4Arp, Threshold=30000, Interval=600, Dropped-Packets=275775)

 

2.       Revisar las estadísticas del cpu-defend, se observa nuevamente una gran cantidad de trafico ARP

 

064746eg3chf3tak05m69a.png


3.       Revisar la versión del equipo, la versión es V600R009C20SPC600, de acuerdo a los reléase notes de parches para esa versión, existen un problema conocido en la lógica de procesamiento ARP, se sugiera al cliente instalar el parche V600R009SPH071 para validar si el procesado ARP mejora. Sin embargo después de la aplicación del parche, el comportamiento sigue siendo el mismo.


4.       Se sospecha que los intervalos de colección y envió de MIBs no están funcionando correctamente, de acuerdo al comportamiento observado, se sospecha que el proceso se ejecuta lentamente. El intervalo de re-colección/envío de los MIBs es de 1 minuto, sin embargo este tiempo se está excediendo, la recolección dura más de 1 minuto y por la tanto se recolecta más tráfico. Por ejemplo, el intervalo de recolección es de 1 minuto, pero el proceso tarda 2 minutos, por lo tanto se recolecta la información del tráfico de 2 intervalos para un solo intervalo, esto causa que los datos para el primer intervalo indiquen un tráfico alto y el siguiente intervalo aparece vacío. Se sospecha que la cause de esta comportamiento es un uso alto de CPU.


5.       Revisar el uso del CPU en el slot 1.

064746pgpxrzr14znpw8wc.png


Se observa que el uso de CPU por parte del proceso FECD es alto, porque muchos paquetes se envían a la CPU de la placa principal. El proceso FECD se encarga del tránsito de paquetes entre LPF y MPU.


6.       Se encuentra que la interfaz tiene configurado un arp rate limit infinito, por lo tanto todos los paquetes ARP son enviados al CPU provocando la lentitud en el proceso SNMP para la recolección/envío de los MIBs. El comando “arp rate-limit 0” significa que no hay limite definido.

064746swa1qttyqod8qsqa.png

 

7.       Se recomienda establecer un límite para liberar el uso de CPU. Se probó con varios valores y se encontró que con un rate limit de 300, el uso de CPU por parte del proceso FECD se reduce a la mitad, después de esto los gráficos en la herramienta de monitoreo se muestran de manera consistente.

 

064747tweavjdc5a6wlhib.jpg

064747trumm28368mxfm43.jpg

 

[Solución]

 

Establecer un límite para la cantidad de paquetes ARP enviados al CPU. Es necesario probar con diferentes valores hasta que el uso del CPU sea reducido sin afectar el servicio de los usuarios finales. En este caso se estableció  un rate limit de 300 paquetes por segundo.

Para establecer el limite solo es necesario correr el siguiente comando en la interfaz:

 

arp rate-limit 300

 

El arp rate limit por default es 20 pps. Si se desa establecer dicho valor solo es necesario el siguiente comando:

undo rate-limit

 

 

 


  • x
  • convención:

Marban
VIP Publicado 2020-3-11 22:44:45 Útil(0) Útil(0)
Gracias por esta información
Ver más
  • x
  • convención:

Me%20gusta%20compartir%20informaci%C3%B3n%20y%20experiencias%2C%20aprender%20nuevos%20temas%20y%20conocer%20gente%20con%20el%20mismo%20inter%C3%A9s
lucian2003
VIP Publicado 2020-3-12 13:21:04 Útil(0) Útil(0)
Muy bueno, gracias
Ver más
  • x
  • convención:

Hello%20friends%2C%20I%20am%20a%20Telecommunications%20and%20electronics%20engineer%20and%20I%20just%20graduated%20as%20a%20master%20in%20telecommunications%20systems.%20I%20am%2036%20years%20old%20and%20I%20attend%20the%20transport%20network%20in%20my%20province%2C%20which%20is%20mainly%20Huawei.

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.