我有一对 Cisco 6509 路由器,它们通过 SNMP(准确地说是Observium)进行监控。
今天,我们发现了交换处理器的 CPU 使用率峰值。该峰值可以与名为“NDE_vlan1014”的端口(以及另一台路由器上的“NDE_vlan1014”)上的入站单播峰值相关联。
我从谷歌了解到 NDE 指的是 Netflow,但我找不到任何关于该界面实际绘制的图形的解释。它仅通过 SNMP 可见(不在 a 中sh ip int br)并且我没有 vlan 1016 和 1014。我在我的 netflow 分析器(as-stats)中也没有看到任何峰值......
所以问题是:这个“NDE_vlan”接口是什么?
... 今天我们发现了一个交换处理器的 CPU 使用率峰值。该峰值可以与名为“NDE_vlan1014”的端口上的入站单播峰值相关联......
所以问题是:这个“NDE_vlan”接口是什么?
NDE_vlan是 Catalyst 6500 的隐藏 vlan 之一。6500为很多不同的功能分配了内部vlan,6500snarf之后这些vlan不能用于真实的用户数据。
如果您想查看内部 vlan,请使用show vlan internal usage...我特定的 6500 不运行 netflow 导出,但您可以使用该命令在交换机上看到它。
CORE01.PUB.SEA01#sh vlan internal usage
VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0
CORE01.PUB.SEA01#
当 6500 将流导出到收集器时,它使用 DFC 或 MSFC CPU 发送数据包。如果您看到由于 netflow 导出导致的 CPU 峰值,您应该:
通常 6500 上采样网络流的语法是mls sampling time-based 64; 这对每 64 个数据包中的一个进行采样。采样网络流量的值是有限的...
CORE01.PUB.SEA01(config)#mls sampling time-based ?
64
128
256
512
1024
2048
4096
8192
CORE01.PUB.SEA01(config)#
然而,如果你对你的网络流进行采样,很明显你可能会错过一些你关心的数据包,所以这真的是一个判断它是否能解决你的问题的判断。这完全取决于您使用 netflow 的原因。对于安全监控,您真的不能丢弃数据包(因此繁忙的 6500 上的 netflow 是错误的答案)。如果您正在绘制应用程序利用率图表,采样网络流量可能是一个有用的工具(假设您针对采样间隔调整图表)。