Що таке інтерфейс “NDE” на Cisco 6500?

У мене є пара маршрутизаторів Cisco 6509, які контролюються за допомогою SNMP (з Observium , якщо бути точним).

Сьогодні ми помітили пік використання процесора для комутаційного процесора. Пік може бути співвіднесений з піком вхідної одноадресної передачі на порт з назвою "NDE_vlan1014" (і "NDE_vlan1014" на іншому маршрутизаторі).

З google я розумію, що NDE посилається на Netflow, але я ніде не можу знайти пояснення щодо того, що насправді сховане на цьому інтерфейсі. Це видно лише через SNMP (не в a sh ip int br), і у мене немає vlan 1016, ні 1014. Я не бачу жодного піку в моєму аналізаторі netflow (as-stats) ...

Тож питання: що це за інтерфейс "NDE_vlan"?

... Сьогодні ми помітили пік використання процесора для комутаційного процесора. Пік може бути співвіднесений з піком вхідного одноадресного порту під назвою "NDE_vlan1014" ...

Тож питання: що це за інтерфейс "NDE_vlan"?

NDE_vlanє одним із прихованих вланів Catalyst 6500. 6500 виділяє внутрішні vlans для безлічі різних функцій, і ці vlans не можуть використовуватися для реальних даних користувачів після того, як 6500 переносить це.

Якщо ви хочете побачити внутрішні vlans, використовуйте show vlan internal usage... мій конкретний 6500 не запускає експорт netflow, але ви можете бачити його на своєму комутаторі за допомогою цієї команди.

CORE01.PUB.SEA01#sh vlan internal usage

VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0

CORE01.PUB.SEA01#

Коли експорт 6500 надходить до колектора, він використовує DFC або процесор MSFC для надсилання пакетів. Якщо у вас спостерігаються сплески процесора через експорт чистого потоку, вам слід:

• Використовуйте лінійні картки, що мають DFC (це може означати витрачання грошей)
• Використовуйте вибірковий netflow .

Інформаційна інформація: Вибірка вибіркового потоку

Зазвичай синтаксис для вибіркового netflow на 6500 є mls sampling time-based 64; цей зразок по одному з кожні 64 пакети. Значення для вибіркового чистого потоку обмежені ...

CORE01.PUB.SEA01(config)#mls sampling time-based ?
  64
  128
  256
  512
  1024
  2048
  4096
  8192

CORE01.PUB.SEA01(config)#

Однак якщо ви пробите ваш netflow, очевидно, ви можете пропустити деякі пакети, про які вам важливо, тож це дійсно рішення про виклик рішення, чи може він вирішити вашу проблему. Все залежить від того, для чого ви використовуєте netflow. Для моніторингу безпеки ви не можете дозволити собі скидати пакети (таким чином, нетік на зайнятий 6500 - неправильна відповідь). Якщо ви використовуєте графічну програму, вибірковий netflow може бути корисним інструментом (якщо припустити, що ви налаштували ваші графіки для інтервалу вибірки).