O que é a interface "NDE" em um Cisco 6500?

12

Eu tenho um par de roteadores Cisco 6509, que são monitorados via SNMP (com o Observium , para ser preciso).

Hoje vimos um pico de uso da CPU para um processador de comutação. O pico pode ser correlacionado com um pico de unicast de entrada em uma porta denominada "NDE_vlan1014" (e "NDE_vlan1014" no outro roteador).

Entendo pelo google que a NDE se refere ao Netflow, mas não consigo encontrar em nenhuma parte uma explicação sobre o que é realmente representado graficamente para essa interface. É visível apenas via SNMP (não em a sh ip int br) e não tenho vlan 1016 nem 1014. Não vejo pico no meu analisador de fluxo de rede (as-stats) ...

Então a pergunta é: o que é essa interface "NDE_vlan"?

Benjamin A.
fonte

Respostas:

12

... Hoje vimos um pico de uso da CPU para um processador de comutação. O pico pode ser correlacionado com um pico de unicast de entrada em uma porta denominada "NDE_vlan1014" ...

Então a pergunta é: o que é essa interface "NDE_vlan"?

NDE_vlané um dos vlans ocultos do Catalyst 6500. O 6500 aloca vlans internos para muitas funções diferentes, e esses vlans não podem ser usados ​​para dados reais do usuário depois que o 6500 os snarfs.

Se você quiser ver as vlans internas, use show vlan internal usage... meu 6500 em particular não executa a exportação de netflow, mas você pode vê-lo no seu switch com esse comando.

CORE01.PUB.SEA01#sh vlan internal usage

VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0

CORE01.PUB.SEA01#

Quando o 6500 exporta os fluxos para um coletor, ele usa os DFCs ou a CPU MSFC para enviar os pacotes. Se estiver vendo picos de CPU devido à exportação do netflow, você deve:

Informativo: fluxo de rede amostrado

Normalmente, a sintaxe do fluxo de rede amostrado no 6500 é mls sampling time-based 64 ; isso mostra um em cada 64 pacotes. Os valores para o fluxo de rede amostrado são limitados ...

CORE01.PUB.SEA01(config)#mls sampling time-based ?
  64
  128
  256
  512
  1024
  2048
  4096
  8192

CORE01.PUB.SEA01(config)#

No entanto, se você testar seu fluxo de rede, obviamente poderá perder alguns pacotes de que gosta, portanto, é realmente uma decisão sobre se ele pode resolver seu problema. Tudo depende do motivo pelo qual você está usando o netflow. Para o monitoramento de segurança, você não pode realmente deixar cair pacotes (portanto, o fluxo de rede em um 6500 ocupado é a resposta errada). Se você estiver representando graficamente a utilização de aplicativos, o fluxo de rede amostrado pode ser uma ferramenta útil (supondo que você ajuste seus gráficos para o intervalo de amostragem).

Mike Pennington
fonte