¿Cuál es la interfaz "NDE" en un Cisco 6500?

12

Tengo un par de enrutadores Cisco 6509, que se supervisan a través de SNMP (con Observium , para ser precisos).

Hoy vimos un pico de uso de CPU para un procesador de conmutación. El pico se puede correlacionar con un pico de unidifusión entrante en un puerto llamado "NDE_vlan1014" (y "NDE_vlan1014" en el otro enrutador).

Entiendo por google que NDE se refiere a Netflow, pero no puedo encontrar en ninguna parte una explicación sobre lo que realmente se grafica para esa interfaz. Es visible solo a través de SNMP (no en a sh ip int br) y no tengo vlan 1016 ni 1014. Tampoco veo ningún pico en mi analizador de flujo de red (as-stats) ...

Entonces la pregunta es: ¿qué es esta interfaz "NDE_vlan"?

Benjamin A.
fuente

Respuestas:

12

... Hoy vimos un pico de uso de CPU para un procesador de conmutación. El pico se puede correlacionar con un pico de unidifusión entrante en un puerto llamado "NDE_vlan1014" ...

Entonces la pregunta es: ¿qué es esta interfaz "NDE_vlan"?

NDE_vlanes uno de los vlans ocultos del Catalyst 6500. El 6500 asigna vlans internos para muchas funciones diferentes, y esos vlans no se pueden usar para datos de usuario reales después de que el 6500 lo procese.

Si desea ver los vlans internos, use show vlan internal usage... my particular 6500 no ejecuta la exportación de netflow, pero puede verlo en su conmutador con ese comando.

CORE01.PUB.SEA01#sh vlan internal usage

VLAN Usage
---- --------------------
4081 Tunnel1
4082 GigabitEthernet3/1
4083 IPv6 Multicast Egress multicast
4084 Multicast VPN 0 QOS vlan
4085 Egress internal vlan
4086 L3 multicast partial shortcuts for VPN 0
4087 Control Plane Protection
4088 PM vlan process (trunk tagging)
4089 online diag vlan5
4090 online diag vlan4
4091 online diag vlan3
4092 online diag vlan2
4093 online diag vlan1
4094 online diag vlan0

CORE01.PUB.SEA01#

Cuando el 6500 exporta flujos a un recopilador, utiliza los DFC o la CPU MSFC para enviar los paquetes. Si observa picos de CPU debido a la exportación de netflow, debe:

Informativo: flujo de red muestreado

Típicamente, la sintaxis para el flujo de red muestreado en el 6500 es mls sampling time-based 64; esto muestra uno de cada 64 paquetes. Los valores para el flujo de red muestreado son limitados ...

CORE01.PUB.SEA01(config)#mls sampling time-based ?
  64
  128
  256
  512
  1024
  2048
  4096
  8192

CORE01.PUB.SEA01(config)#

Sin embargo, si prueba su flujo de red, obviamente puede perder algunos paquetes que le interesan, por lo que es realmente una decisión de juicio si puede resolver su problema. Todo depende de por qué estás usando netflow. Para el monitoreo de seguridad, no puede permitirse soltar paquetes (por lo tanto, netflow en un 6500 ocupado es la respuesta incorrecta). Si está graficando la utilización de la aplicación, el flujo de red muestreado podría ser una herramienta útil (suponiendo que ajuste sus gráficos para el intervalo de muestreo).

Mike Pennington
fuente