Qu'est-ce que l'interface «NDE» sur un Cisco 6500?

12

J'ai une paire de routeurs Cisco 6509, qui sont surveillés via SNMP (avec Observium , pour être précis).

Aujourd'hui, nous avons repéré un pic d'utilisation du processeur pour un processeur de commutation. Le pic peut être corrélé avec un pic d'unicast entrant sur un port nommé "NDE_vlan1014" (et "NDE_vlan1014" sur l'autre routeur).

Je comprends de Google que NDE fait référence à Netflow, mais je ne trouve nulle part une explication sur ce qui est réellement représenté pour cette interface. Il n'est visible que via SNMP (pas en a sh ip int br) et je n'ai ni vlan 1016 ni 1014. Je ne vois pas non plus de pic dans mon analyseur de netflow (as-stats) ...

La question est donc: quelle est cette interface "NDE_vlan"?

Benjamin A.
la source

Réponses:

12

... Aujourd'hui, nous avons repéré un pic d'utilisation du processeur pour un processeur de commutation. Le pic peut être corrélé avec un pic d'unicast entrant sur un port nommé "NDE_vlan1014" ...

La question est donc: quelle est cette interface "NDE_vlan"?

NDE_vlanest l'un des vlans cachés du Catalyst 6500. Le 6500 alloue des vlans internes pour un grand nombre de fonctions différentes, et ces vlans ne peuvent pas être utilisés pour des données utilisateur réelles après que le 6500 les ait snarfées.

Si vous voulez voir les réseaux locaux virtuels, utilisez show vlan internal usage... mon 6500 particulier n'exécute pas d'export netflow, mais vous pouvez le voir sur votre commutateur avec cette commande.

CORE01.PUB.SEA01#sh vlan internal usage

VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0

CORE01.PUB.SEA01#

Lorsque le 6500 exporte des flux vers un collecteur, il utilise les DFC ou le CPU MSFC pour envoyer les paquets. Si vous voyez des pics de CPU en raison de l'exportation netflow, vous devez:

Informatif: Netflow échantillonné

En règle générale, la syntaxe du netflow échantillonné sur le 6500 est mls sampling time-based 64; cela échantillonne un paquet sur 64. Les valeurs du netflow échantillonné sont limitées ...

CORE01.PUB.SEA01(config)#mls sampling time-based ?
  64
  128
  256
  512
  1024
  2048
  4096
  8192

CORE01.PUB.SEA01(config)#

Cependant, si vous échantillonnez votre netflow, il est évident que vous risquez de manquer certains paquets qui vous intéressent, c'est donc vraiment un jugement pour savoir s'il peut résoudre votre problème. Tout dépend de la raison pour laquelle vous utilisez netflow. Pour la surveillance de la sécurité, vous ne pouvez pas vraiment vous permettre de supprimer des paquets (donc netflow sur un 6500 occupé n'est pas la bonne réponse). Si vous représentez graphiquement l'utilisation de l'application, le netflow échantillonné peut être un outil utile (en supposant que vous ajustez vos graphiques pour l'intervalle d'échantillonnage).

Mike Pennington
la source