Co to jest interfejs „NDE” w Cisco 6500?

12

Mam parę routerów Cisco 6509, które są monitorowane przez SNMP (z dokładnością Observium ).

Dzisiaj zauważyliśmy szczyt wykorzystania procesora przez procesor przełączający. Pik może być skorelowany ze szczytem przychodzącej emisji pojedynczej na porcie o nazwie „NDE_vlan1014” (i „NDE_vlan1014” na drugim routerze).

Rozumiem z Google, że NDE odnosi się do Netflow, ale nigdzie nie mogę znaleźć wyjaśnienia, co tak naprawdę jest wykreślone dla tego interfejsu. Jest widoczny tylko przez SNMP (nie w a sh ip int br) i nie mam VLAN 1016 ani 1014. Nie widzę żadnego piku w moim analizatorze przepływu netto (as-statystyki) ...

Pytanie brzmi: co to za interfejs „NDE_vlan”?

cisco  cisco-6500  netflow 
Benjamin A.
źródło

Odpowiedzi:

12

... Dzisiaj zauważyliśmy szczyt wykorzystania procesora przez procesor przełączający. Pik może być skorelowany ze szczytem przychodzącej emisji pojedynczej na porcie o nazwie „NDE_vlan1014” ...

Pytanie brzmi: co to za interfejs „NDE_vlan”?

NDE_vlanjest jednym z ukrytych vlanów Catalyst 6500. 6500 przydziela wewnętrzne vlany dla wielu różnych funkcji, a te vlany nie mogą być użyte do prawdziwych danych użytkownika po tym, jak 6500 je podłączy.

Jeśli chcesz zobaczyć wewnętrzne vlany, użyj show vlan internal usage... mój konkretny 6500 nie uruchamia eksportu netflow, ale możesz to zobaczyć na przełączniku za pomocą tego polecenia.

CORE01.PUB.SEA01#sh vlan internal usage

VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0

CORE01.PUB.SEA01#

Gdy 6500 eksportów przepływa do kolektora, wykorzystuje DFC lub MSFC CPU do wysyłania pakietów. Jeśli widzisz skoki procesora z powodu eksportu netflow, powinieneś:

Informacyjny: Próbkowany przepływ netto

Zazwyczaj składnia próbkowanego przepływu sieciowego w 6500 jest mls sampling time-based 64; Próbkuje to jeden na każde 64 pakiety. Wartości próbkowanego przepływu netto są ograniczone ...

CORE01.PUB.SEA01(config)#mls sampling time-based ?
  64
  128
  256
  512
  1024
  2048
  4096
  8192

CORE01.PUB.SEA01(config)#

Jeśli jednak wypróbujesz swój przepływ sieciowy, oczywiście możesz przegapić niektóre pakiety, na których ci zależy, więc naprawdę jest to decyzja, czy może rozwiązać Twój problem. Wszystko zależy od tego, dlaczego używasz netflow. Do monitorowania bezpieczeństwa naprawdę nie możesz sobie pozwolić na upuszczenie pakietów (więc netflow na zajętym 6500 jest złą odpowiedzią). Jeśli korzystasz z aplikacji do tworzenia wykresów, próbkowany przepływ sieci może być przydatnym narzędziem (zakładając, że dostosowujesz swoje wykresy do interwału próbkowania).

Mike Pennington
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.