3560GでのCisco PBRのパフォーマンス低下

私は、Catalyst 3560Gでc3560-ipservicesk9-mz.150-2.SE9を実行していますが、PBRが設定されていますが、パフォーマンスが低下しています。別のVLANで同じボックスの2つのVMでiperf3を実行すると、10 Mbit/secしか取得できません。 PBRが無効になると、私は約443Mbit/secになります。 sh proc cpu history を確認すると、iperfがPBRを有効にして実行されているときのCPU使用率が30%〜40%になっていることがわかります。 sh proc cpu sorted は、特定のプロセスがCPUを使用していることを示していません。私がドキュメントで読んだことから、PBRはハードウェアを切り替えることができるはずであり、より良いパフォーマンスを得ることができるはずです。誰かがなぜCPUを通過するように見えるのか教えていただけますか?

sh proc cpu sorted

CPU utilization for five seconds: 34%/28%; one minute: 32%; five minutes: 18%
 PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process 
 121        8593         759      11321  1.11%  0.32%  0.88%   1 SSH Process      
  41      445338      316093       1408  0.15%  0.02%  0.00%   0 Net Background   
 161     1657828      517590       3202  0.15%  0.11%  0.07%   0 HQM Stack Proces 
   1           0          12          0  0.00%  0.00%  0.00%   0 Chunk Manager    

sh実行

interface Port-channel1
 description Workstation LACP
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/13
 description Workstation #1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode active
!
interface GigabitEthernet0/14
 description Workstation #2
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode active
!
interface Vlan1
 description Intranet
 ip address 10.1.0.1 255.255.0.0
 ip route-cache policy
 ip policy route-map Intranet
!
interface Vlan6
 description ibVPN
 ip address 10.6.0.1 255.255.0.0
 ip route-cache policy
 ip policy route-map ibVPN
!
route-map Intranet permit 0
 match ip address Intranet_To_Wi-Fi Intranet_To_ibVPN
!
route-map Intranet permit 1
 match ip address AD_To_DNS Workstation_To_Any
 set ip next-hop 10.0.0.1
!
route-map ibVPN permit 0
 match ip address To_Workstation
!
route-map ibVPN permit 1
 match ip address Any
 set ip next-hop 10.6.0.2
!
ip access-list extended Intranet_To_Wi-Fi
 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
ip access-list extended Intranet_To_ibVPN
 permit ip 10.1.0.0 0.0.255.255 10.6.0.0 0.0.255.255
ip access-list extended AD_To_DNS
 permit icmp host 10.1.3.1 host 8.8.8.8
 permit tcp host 10.1.3.1 host 8.8.8.8 eq domain
 permit udp host 10.1.3.1 host 8.8.8.8 eq domain
 permit icmp host 10.1.3.1 host 8.8.4.4
 permit tcp host 10.1.3.1 host 8.8.4.4 eq domain
 permit udp host 10.1.3.1 host 8.8.4.4 eq domain
 permit icmp host 10.1.3.2 host 8.8.8.8
 permit tcp host 10.1.3.2 host 8.8.8.8 eq domain
 permit udp host 10.1.3.2 host 8.8.8.8 eq domain
 permit icmp host 10.1.3.2 host 8.8.4.4
 permit tcp host 10.1.3.2 host 8.8.4.4 eq domain
 permit udp host 10.1.3.2 host 8.8.4.4 eq domain
ip access-list extended Workstation_To_Any
 permit ip host 10.1.0.8 any
ip access-list extended To_Workstation
 permit ip any host 10.1.0.8
ip access-list extended Any
 permit ip any any

sh ip cef interface vlan1 and vlan6

switch#show cef interface vlan1
Vlan1 is up (if_number 969)
  Corresponding hwidb fast_if_number 969
  Corresponding hwidb firstsw->if_number 969
  Internet address is 10.1.0.1/16
  ICMP redirects are always sent
  IP unicast RPF check is disabled
  Input features: Policy Routing
  Output features: Check hwidb
  IP policy routing is enabled
  IP policy route map is Intranet
  BGP based policy accounting on input is disabled
  BGP based policy accounting on output is disabled
  Hardware idb is Vlan1
  Fast switching type 1, interface type 147
  IP CEF switching enabled
  IP CEF switching turbo vector
  IP Null turbo vector
  IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
  Input fast flags 0x2, Output fast flags 0x0
  ifindex 969(969)
  Slot 0 Slot unit 1 VC -1
  IP MTU 1500
switch#show cef interface vlan6
Vlan6 is up (if_number 974)
  Corresponding hwidb fast_if_number 974
  Corresponding hwidb firstsw->if_number 974
  Internet address is 10.6.0.1/16
  ICMP redirects are always sent
  IP unicast RPF check is disabled
  Input features: Policy Routing
  Output features: Check hwidb
  IP policy routing is enabled
  IP policy route map is ibVPN
  BGP based policy accounting on input is disabled
  BGP based policy accounting on output is disabled
  Hardware idb is Vlan6
  Fast switching type 1, interface type 147
  IP CEF switching enabled
  IP CEF switching turbo vector
  IP Null turbo vector
  IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
  Input fast flags 0x2, Output fast flags 0x0
  ifindex 974(974)
  Slot 0 Slot unit 6 VC -1
  IP MTU 1500

好奇心のための完全な設定ファイル - はいそれはさまざまな理由で混乱です

version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service sequence-numbers
!
hostname switch
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 censored
!
username admin privilege 15 secret 5 censored
no aaa new-model
clock timezone UTC -6 0
system mtu routing 1500
ip routing
ip domain-name censored
!
ip dhcp excluded-address 10.2.0.1
ip dhcp excluded-address 10.3.0.1
ip dhcp excluded-address 10.3.0.2
ip dhcp excluded-address 10.5.0.1
ip dhcp excluded-address 10.6.0.1
ip dhcp excluded-address 10.6.0.2
ip dhcp excluded-address 10.6.0.3
!
ip dhcp pool Wi-Fi
 network 10.2.0.0 255.255.0.0
 default-router 10.2.0.1 
 dns-server 10.1.3.1 10.1.3.2 
 domain-name wifi.censored
!
ip dhcp pool Guest_Wi-Fi
 network 10.3.0.0 255.255.0.0
 default-router 10.3.0.1 
 dns-server 8.8.8.8 8.8.4.4 
 domain-name guest.wifi.censored
!
ip dhcp pool Internet
 network 10.5.0.0 255.255.0.0
 default-router 10.5.0.1 
 domain-name internet.censored
 dns-server 10.1.3.1 10.1.3.2 
!
ip dhcp pool ibVPN
 network 10.6.0.0 255.255.0.0
 default-router 10.6.0.1 
 dns-server 8.8.8.8 8.8.4.4 
 domain-name ibvpn.censored
!
!
!
!
crypto pki trustpoint TP-self-signed-4131126016
 enrollment selfsigned
 subject-name cn=switch.censored
 revocation-check none
 rsakeypair TP-self-signed-4131126016
!
!
crypto pki certificate chain TP-self-signed-4131126016
 certificate self-signed 01
censored
    quit
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
vlan access-map ibVPN 0
 match ip address Active_Directory Workstation ibVPN_To_Switch qBittorrent
 action forward
vlan access-map ibVPN 1
 match ip address InterVLAN
 action drop
vlan access-map ibVPN 2
 match ip address Any
 action forward
vlan access-map Internet 0
 match ip address Active_Directory WSUS Internet_To_Switch
 action forward
vlan access-map Internet 1
 match ip address InterVLAN
 action drop
vlan access-map Internet 2
 match ip address Any
 action forward
!
vlan filter Internet vlan-list 5
vlan internal allocation policy ascending
!
!
! 
!
!
!
!
!
!
!
!
!
!
!
!
interface Port-channel1
 description Workstation LACP
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/1
 description Bridge
 no switchport
 ip address 10.0.0.2 255.255.0.0
!
interface GigabitEthernet0/2
 description UPS
 switchport mode access
!
interface GigabitEthernet0/3
 description PDU #1
 switchport mode access
!
interface GigabitEthernet0/4
 description PDU #2
 switchport mode access
!
interface GigabitEthernet0/5
 description NetBotz
 switchport mode access
!
interface GigabitEthernet0/6
 switchport mode access
 shutdown
!
interface GigabitEthernet0/7
 switchport mode access
 shutdown
!
interface GigabitEthernet0/8
 switchport mode access
 shutdown
!
interface GigabitEthernet0/9
 description AP
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/10
 switchport mode access
 shutdown
!
interface GigabitEthernet0/11
 switchport mode access
 shutdown
!
interface GigabitEthernet0/12
 description Workstation RAID
 switchport mode access
!
interface GigabitEthernet0/13
 description Workstation #1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode active
!
interface GigabitEthernet0/14
 description Workstation #2
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode active
!
interface GigabitEthernet0/15
 description MacBook Pro
 switchport mode access
!
interface GigabitEthernet0/16
 description Label Printer
 switchport mode access
!
interface GigabitEthernet0/17
 shutdown
!
interface GigabitEthernet0/18
 shutdown
!
interface GigabitEthernet0/19
 shutdown
!
interface GigabitEthernet0/20
 shutdown
!
interface GigabitEthernet0/21
 shutdown
!
interface GigabitEthernet0/22
 shutdown
!
interface GigabitEthernet0/23
 shutdown
!
interface GigabitEthernet0/24
 shutdown
!
interface GigabitEthernet0/25
 shutdown
!
interface GigabitEthernet0/26
 shutdown
!
interface GigabitEthernet0/27
 shutdown
!
interface GigabitEthernet0/28
 shutdown
!
interface Vlan1
 description Intranet
 ip address 10.1.0.1 255.255.0.0
 ip route-cache policy
 ip policy route-map Intranet
!
interface Vlan2
 description Wi-Fi
 ip address 10.2.0.1 255.255.0.0
 ip route-cache policy
 ip policy route-map Wi-Fi
!
interface Vlan3
 description Guest_Wi-Fi
 ip address 10.3.0.1 255.255.0.0
!
interface Vlan4
 description VPN
 ip address 10.4.0.1 255.255.0.0
!
interface Vlan5
 description Internet
 ip address 10.5.0.1 255.255.0.0
 ip route-cache policy
 ip policy route-map Internet
!
interface Vlan6
 description ibVPN
 ip address 10.6.0.1 255.255.0.0
 ip route-cache policy
 ip policy route-map ibVPN
!
interface Vlan7
 description Tor
 ip address 10.7.0.1 255.255.0.0
!
interface Vlan8
 ip address 10.8.0.1 255.255.0.0
!
ip http server
ip http secure-server
!
!
!
ip access-list extended AD_To_Any
 permit ip host 10.1.3.1 any
 permit ip host 10.1.3.2 any
 permit ip any host 10.1.3.1
 permit ip any host 10.1.3.2
ip access-list extended AD_To_DNS
 permit icmp host 10.1.3.1 host 8.8.8.8
 permit tcp host 10.1.3.1 host 8.8.8.8 eq domain
 permit udp host 10.1.3.1 host 8.8.8.8 eq domain
 permit icmp host 10.1.3.1 host 8.8.4.4
 permit tcp host 10.1.3.1 host 8.8.4.4 eq domain
 permit udp host 10.1.3.1 host 8.8.4.4 eq domain
 permit icmp host 10.1.3.2 host 8.8.8.8
 permit tcp host 10.1.3.2 host 8.8.8.8 eq domain
 permit udp host 10.1.3.2 host 8.8.8.8 eq domain
 permit icmp host 10.1.3.2 host 8.8.4.4
 permit tcp host 10.1.3.2 host 8.8.4.4 eq domain
 permit udp host 10.1.3.2 host 8.8.4.4 eq domain
ip access-list extended Active_Directory
 permit ip any host 10.1.3.1
 permit ip any host 10.1.3.2
 permit ip host 10.1.3.1 any
 permit ip host 10.1.3.2 any
ip access-list extended Any
 permit ip any any
ip access-list extended Any_To_AD
 permit ip any host 10.1.3.1
 permit ip any host 10.1.3.2
ip access-list extended Any_To_WSUS
 permit ip any host 10.1.3.4
ip access-list extended From_WSUS
 permit ip host 10.1.3.4 any
ip access-list extended InterVLAN
 permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
ip access-list extended Internet_To_Switch
 permit ip 10.5.0.0 0.0.255.255 host 10.5.0.1
 permit ip host 10.5.0.1 10.5.0.0 0.0.255.255
ip access-list extended Intranet_To_Internet
 permit ip 10.1.0.0 0.0.255.255 10.5.0.0 0.0.255.255
ip access-list extended Intranet_To_Wi-Fi
 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
ip access-list extended Intranet_To_ibVPN
 permit ip 10.1.0.0 0.0.255.255 10.6.0.0 0.0.255.255
ip access-list extended To_WSUS
 permit ip any host 10.1.3.4
ip access-list extended To_Workstation
 permit ip any host 10.1.0.8
ip access-list extended To_qBittorrent
 permit ip any host 10.6.0.3
ip access-list extended WSUS
 permit ip any host 10.1.3.4
 permit ip host 10.1.3.4 any
ip access-list extended Wi-Fi_To_Intranet
 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255
 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
ip access-list extended Wi-Fi_To_Switch
 permit ip 10.2.0.0 0.0.255.255 host 10.2.0.1
 permit ip host 10.2.0.1 10.2.0.0 0.0.255.255
ip access-list extended Workstation
 permit ip any host 10.1.0.8
 permit ip host 10.1.0.8 any
ip access-list extended Workstation_To_Any
 permit ip host 10.1.0.8 any
ip access-list extended ibVPN_To_Switch
 permit ip 10.6.0.0 0.0.255.255 host 10.6.0.1
 permit ip host 10.6.0.1 10.6.0.0 0.0.255.255
ip access-list extended qBittorrent
 permit ip host 10.6.0.3 any
 permit ip any host 10.6.0.3
!
route-map Internet permit 0
 match ip address Active_Directory WSUS Internet_To_Switch
!
route-map Internet permit 1
 match ip address Any
 set ip next-hop 10.0.0.1
!
route-map Wi-Fi permit 0
 match ip address Wi-Fi_To_Intranet Wi-Fi_To_Switch qBittorrent
!
route-map Wi-Fi permit 1
 match ip address Any
 set ip next-hop 10.0.0.1
!
route-map Intranet permit 0
 match ip address Intranet_To_Wi-Fi Intranet_To_ibVPN
!
route-map Intranet permit 1
 match ip address AD_To_DNS Workstation_To_Any
 set ip next-hop 10.0.0.1
!
route-map ibVPN permit 0
 match ip address To_Workstation
!
route-map ibVPN permit 1
 match ip address Any
 set ip next-hop 10.6.0.2
!
!
snmp-server community public RO
snmp-server chassis-id switch.censored
!
!
line con 0
line vty 0 4
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!
ntp server 10.1.3.1
ntp server 10.1.3.2
end
0
CEFまたはPBRの高速スイッチングをイネーブルにしましたか?あなたは本当に全体の構成を表示する必要があります。たとえば、使用したSDM設定コマンドが表示されていないため、CEFの設定方法についてはわかりません。
追加された 著者 Ron Maupin,
PBRは標準ルーティングより多くのCPUを使用します。完全な設定がなければ、スイッチ上で有効になる可能性のある他のサービスを確認することはできません。レイヤー2のスイッチングはほぼ完全にハードウェアで行われますが、スイッチのCPUとRAMはルータのように堅牢ではありません。
追加された 著者 Ron Maupin,
OK。私はちょうどあなたが答えを得る確率を上げる良い質問をするのを手伝っています。
追加された 著者 Ron Maupin,
Sh proc cpuの出力をみると、すべてのプロセスがCPU 28%を消費していることになります。 sdmテンプレートがpbrに影響を与え、リソースを割り当てられたことを確認しましたか? 'Sh sdm prefer'。また、このトラフィックを調べるためにテストしている間に2つのsviのSh intを出力し、入力キューに衝突しているかどうか
追加された 著者 user1770201,
configファイルに関連するものはありません。 SDMは、PBRが3560Gで動作する唯一の方法である sdm prefer routing コマンドで、デスクトップルーティング用にセットアップされています。ドキュメント ip route-cache policy によると、両方のVLANで有効になっているPBR高速スイッチングが有効になります。また、 show cef interface vlan1 および vlan6 によると、CEFは両方のインターフェイスで有効になっています。これらのコマンドの出力が質問に追加されました。
追加された 著者 Carlos Christen,
私はちょうど完全な設定を追加しました、遅れて申し訳ありません、私は食べて、それの一部を検閲する必要がありました。それはいろいろな理由で混乱しています。私が前にその一部を投稿した理由の一部です。私は、PBRが標準ルーティングよりも集中的であることを理解していますが、私は10Mビットよりも優れた性能を得ることができると期待しています。
追加された 著者 Carlos Christen,
私は知っている、なぜ私は理解する。私が言ったように、私はちょうどドメイン名、暗号化されたパスワード、証明書のような検閲されたいくつかのもので完全な設定を追加しました。
追加された 著者 Carlos Christen,
polihronoは、前のコメントで述べたように、 sh sdm prefer にルーティングテンプレートが適用されていることを示しています。テンプレートが適用された後にスイッチがリロードされました。
追加された 著者 Carlos Christen,

答えはありません

0