Cisco 6509ルーターのペアがあり、SNMP経由で監視されます(正確にはObserviumを使用)。
今日、スイッチングプロセッサのCPU使用率のピークを見つけました。ピークは、「NDE_vlan1014」(および他のルータの「NDE_vlan1014」)という名前のポート上のインバウンドユニキャストのピークと相関させることができます。
私はグーグルからNDEがNetflowを指していることを理解していますが、そのインターフェースについて実際にグラフ化されているものについての説明はどこにもありません。SNMP経由でのみ表示され(a sh ip int brにはない)、vlan 1016も1014もありません。netflowアナライザー(as-stats)にもピークが表示されません...
質問は次のとおりです。この「NDE_vlan」インターフェイスとは何ですか?
回答:
...今日、スイッチングプロセッサのCPU使用率のピークを見つけました。ピークは、「NDE_vlan1014」という名前のポート上のインバウンドユニキャストのピークと相関させることができます...
質問は次のとおりです。この「NDE_vlan」インターフェイスとは何ですか?
NDE_vlanCatalyst 6500の隠しVLANの1つです。6500は、多くの異なる機能に内部VLANを割り当てます。これらのVLANは、6500が切り取った後、実際のユーザーデータに使用できません。
内部VLANを表示したい場合は、show vlan internal usage...特定の6500はnetflowエクスポートを実行しませんが、そのコマンドを使用してスイッチで表示できます。
CORE01.PUB.SEA01#sh vlan internal usage
VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0
CORE01.PUB.SEA01#
6500がコレクターにフローをエクスポートするとき、DFCまたはMSFC CPUを使用してパケットを送信します。netflowエクスポートによるCPUスパイクが発生している場合、次のいずれかを行う必要があります。
通常、6500でサンプリングされたネットフローの構文は次のとおりですmls sampling time-based 64。これは、64パケットごとに1つサンプリングします。サンプリングされたネットフローの値は制限されています...
CORE01.PUB.SEA01(config)#mls sampling time-based ?
64
128
256
512
1024
2048
4096
8192
CORE01.PUB.SEA01(config)#
ただし、netflowをサンプリングすると、明らかに気になるパケットがいくつか失われる可能性があるため、問題を解決できるかどうかを判断するための判断材料となります。それはすべて、netflowを使用している理由に依存します。セキュリティ監視の場合、パケットをドロップする余裕はありません(ビジーな6500でのネットフローは間違った答えです)。アプリケーションの使用率をグラフ化する場合、サンプリングされたnetflowは有用なツールになる可能性があります(サンプリング間隔に合わせてグラフを調整すると仮定します)。