Was ist die „NDE“ -Schnittstelle bei einem Cisco 6500?

12

Ich habe ein Paar Cisco 6509-Router, die über SNMP überwacht werden (mit Observium , um genau zu sein).

Heute haben wir einen Spitzenwert der CPU-Auslastung für einen Switching-Prozessor festgestellt. Der Peak kann mit einem Peak des eingehenden Unicasts auf einem Port mit dem Namen "NDE_vlan1014" (und "NDE_vlan1014" auf dem anderen Router) korreliert werden.

Ich verstehe von Google, dass sich NDE auf Netflow bezieht, aber ich kann nirgendwo eine Erklärung finden, was für diese Schnittstelle tatsächlich grafisch dargestellt ist. Es ist nur über SNMP sichtbar (nicht in a sh ip int br) und ich habe weder vlan 1016 noch 1014. Ich sehe auch keinen Peak in meinem Netflow Analyzer (als Statistik) ...

Die Frage ist also: Was ist diese "NDE_vlan" -Schnittstelle?

Benjamin A.
quelle

Antworten:

12

... Heute haben wir einen Spitzenwert der CPU-Auslastung für einen Switching-Prozessor festgestellt. Der Peak kann mit einem Peak von eingehendem Unicast auf einem Port mit dem Namen "NDE_vlan1014" korreliert werden ...

Die Frage ist also: Was ist diese "NDE_vlan" -Schnittstelle?

NDE_vlanist einer der versteckten Vlans des Catalyst 6500. Der 6500 ordnet interne Vlans für viele verschiedene Funktionen zu, und diese Vlans können nicht für echte Benutzerdaten verwendet werden, nachdem der 6500 sie erstellt hat.

Wenn Sie die internen Vlans anzeigen möchten, verwenden Sie show vlan internal usage... Mein spezielles 6500 führt den Netflow-Export nicht aus, aber Sie können ihn mit diesem Befehl auf Ihrem Switch anzeigen .

CORE01.PUB.SEA01#sh vlan internal usage

VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0

CORE01.PUB.SEA01#

Wenn der 6500-Export zu einem Kollektor fließt, verwendet er die DFCs oder die MSFC-CPU, um die Pakete zu senden. Wenn aufgrund des Netflow-Exports CPU-Spitzen auftreten, sollten Sie entweder:

Information: Netflow-Stichprobe

Normalerweise lautet die Syntax für den abgetasteten Netflow auf dem 6500 mls sampling time-based 64: dies tastet eines von 64 Paketen ab. Die Werte für den abgetasteten Nettodurchfluss sind begrenzt ...

CORE01.PUB.SEA01(config)#mls sampling time-based ?
  64
  128
  256
  512
  1024
  2048
  4096
  8192

CORE01.PUB.SEA01(config)#

Wenn Sie jedoch Ihren Netflow testen, können Sie offensichtlich einige Pakete übersehen, die Ihnen wichtig sind, und es ist wirklich ein Urteil darüber, ob es Ihr Problem lösen kann. Es hängt alles davon ab, warum Sie netflow verwenden. Für die Sicherheitsüberwachung können Sie es sich nicht leisten, Pakete zu löschen (daher ist Netflow auf einem ausgelasteten 6500 die falsche Antwort). Wenn Sie die Anwendungsauslastung grafisch darstellen, kann der abgetastete Netzfluss ein nützliches Werkzeug sein (vorausgesetzt, Sie passen Ihre Diagramme für das Abtastintervall an).

Mike Pennington
quelle