да, 'ip arp elevation' - и всё работает отлично, нагрузка на проц не меняется (что настораживает - чем же жертвуем?..), 'no ip arp elevation' - свитч мгновенно опять тупит при ответе на arp-запросы =)

новых проблем не выявлено, за исключением того, что OSPF не мог нормально запуститься на протяжении пары часов - после перезагрузки Designated Router показывал, что DXS постоянно прыгал из Ex-Start в 2-Way, так ни разу и не дойдя до Full. через два часа из-за техработ соседнего провайдера упал один из портов, никак не связанный с OSPF - и всё чудесным образом само заработало

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Случайно прошились)
Наблюдаем)

Нагрузка действительно не изменилась.
Тогда не понятно почему сразу нельзя было так сделать и в чем подвох.

Погоняйте трассировку =)

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Добрый день. К сожалению смогу проверить и ответить только после 7-го апреля. Извиняюсь за задержку.

_________________
С уважением,
Бигаров Руслан.

Добрый вечер.

Жертвуем правилами ACL.

_________________
С уважением,
Бигаров Руслан.

Руслан, вы умеете создать интригу. какими правилами-то?..

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

2 Chupaka > Если без данной команды было задействовано одно правило ACL, которое выбирало все ARP пакеты, а коммутатор уже среди них выбирал предназначенные ему, то при 'ip arp elevation' для каждого интерфейса создаётся отдельное ACL правило, которое выбирает из всего потока ARP пакеты, предназначенные этому IP интерфейсу.

P.S.: у ICMP какой приоритет(QoS 802.1p label) в вашей сети?

_________________
С уважением,
Бигаров Руслан.

сильно яснее не стало, почему же пакеты теряются и отклик большой при ненагруженном процессоре... а 802.1p мы для ICMP не используем, ходит в общем потоке трафика

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Так ещё есть порог ограничения кол-ва входящих ARP пакетов на CPU.

P.S.: А если для теста поднять приоритет, то проблема с ICMP та же?

_________________
С уважением,
Бигаров Руслан.

а кто этот порог обеспечивает? поскольку пакеты не просто дропаются, но и задерживаются (очередь?) - он явно программный. может, тюнить надо именно его?

со стороны пользователей на DXS приходит нетегированный трафик. его надо для теста ACL-ками раскрасить? как?

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Добрый день.



Через cpu-protect можно пороги настраивать.



А управляющая подсеть тоже untagged?

_________________
С уважением,
Бигаров Руслан.

вы таки думаете, что я не полез туда первым делом, ещё до поста на форуме?



да

как-то я сразу не догадался потестить в обратную сторону... задал приоритет пакетам - нет, никакой разницы в потерях ICMP-пакетов нет, как терялись и не доходили, так и теряются

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Попробуйте настроить cpu-protect для icmp c порогом 300, а если проблема останется с порогом 500, и посмотрите на загрузку CPU. Пожалуйста, напишите по результатам.

_________________
С уважением,
Бигаров Руслан.

включение порога в 300/500 pps никак не влияет ни на потери icmp-ответов, ни на загрузку CPU (18+-1%)

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.