7100 VPN - hohe CPU - Job IPV4

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
richie1985
Beiträge: 45
Registriert: 22 Jun 2012, 15:34

7100 VPN - hohe CPU - Job IPV4

Beitrag von richie1985 »

Hi,

wir haben ein Problem mit unserer 7100er... Die CPU Last steigt und steigt und wenn wir nicht aufpassen und die Maschine rechtzeitig neustarten stürtzt sie irgendwann ab. Gestern war es wieder soweit und nach 70 Tagen war schluss :(

"show job" zeigt das der Job IPV4 recht viel CPU Last futterte mit etwa 75%

hier mal eine Grafik über die letzten 30 Tage:

Bild

Aktuell laufen 13VPN's drüber.

Danke!

Erik
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 7100 VPN - hohe CPU - Job IPV4

Beitrag von Jirka »

Hallo Erik,

eine CPU-Last von 100 % führt ja nicht zwangsläuftig zu einem Absturz. Was sagt denn ein 'show bootlog' auf der Konsole?
Welche Firmware läuft denn auf dem Gerät?
Dass die CPU-Last nach und nach ansteigt, ist natürlich nicht gut. Die Frage ist, ob man irgendwie rausfinden kann, wie das genau zu Stande kommt.

Viele Grüße,
Jirka
richie1985
Beiträge: 45
Registriert: 22 Jun 2012, 15:34

Re: 7100 VPN - hohe CPU - Job IPV4

Beitrag von richie1985 »

Hi,

sorry lief wieder lange gut, heute wieder das selbe...

Hier bootlog:

Code: Alles auswählen

> show bootlog
Boot log (177 Bytes):

****

10/28/2019 11:51:51  System boot after power on

DEVICE:                LANCOM 7100 VPN
HW-RELEASE:            B
VERSION:               9.24.0334SU9 / 16.11.2017
es ist immer IPV4 "job" der wächst und wächst und wächst
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: 7100 VPN - hohe CPU - Job IPV4

Beitrag von backslash »

Hi richie1985,

da es bei dir aber offenbar fast ein jahr problemlos lief, ist das Problem wohl nicht (einfach) nachstellbar - da hilft dann auch eine Bugmeldung nichts. Abgesehen davon wird es für ein 7100 auch keine neuen Firmwaren mehr geben - da war die 9.24 die letzte.

Da wird dir wohl nur übrig bleiben, das Gerät neu zu booten, wenn es wieder in den Zustand kommt...

Oder du untersuchst dein Netz...
  • Hast du irgendwo eine Schleife gebaut und es laufen Pakete im Kreis?
  • Hast du ggf. die Timeouts der Maskierung geändert? Gerade der UDP-Timeout sollte nicht erhöht werden, weil dir sonst sehr schnell die Maskierungstabelle voll läuft und dadurch die Suche nach einem freien Eintrag "ewig" dauern kann.
  • Hast du Portforwardings mit großen Portbereichen eingerichtet? Falls ja, solltest du darüber nachdenken, ob das wirklich nötig ist, denn am Ende gilt bei Ports das Highlander-Prinzip ("es kann nur euinen geben") und die weitergeleiteten Ports blockieren Einträge der Maskierungstabelle, was wieder Auswirkungen auch die Suche nach einem freien Eintrag hat.
  • Hast du vielleeicht viele Firewallregeln und Traffic der immer wieder kurzzeitig neue Sessions öffnet. Da könnte helfen die Regeln zu reduzieren. Insbesondere wenn du Regeln mit Adreßbereichen hast, solltes du überlegen, ob da nicht die Angabe eines Netzes sinnvoll isr - z.B. wird gerne ein Bereich von x.x.x.1 - x.x.x.254 eingerichtet, was für die Firewall der GAU ist, denn das wird in 16 Regeln abgerollt, wo eine einzige (Adresse x.x.x.0, Maske 255.255.255.0) ausreichen würde
  • ...

BTW: ein Bootlog direkt nach dem Einschalten des Geräts ist nicht wirklich hilfreich - Jirka dachte da eher an ein Bootlog nachdem das Gerät "abgestürzt" ist... (aber letztendlich ist das auch egal - s.o.)


Gruß
Backslash
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 7100 VPN - hohe CPU - Job IPV4

Beitrag von Jirka »

Na ja, nach dem Einschalten ist ja mehr oder weniger auch irgendwo nach dem Absturz. Problem scheint eher zu sein, dass bei ihm nicht eingestellt ist, dass das Bootlog bootpersistent gespeichert werden soll, was früher default war und sich daher bei so alten Geräten noch nach hält, wenn es nicht mal manuell (oder per Script oder sonstwie) geändert wurde.
Meiner Meinung nach kann man hier nur versuchen, durch eine entsprechende Konfiguration, wie Backslash schon geschrieben hat, das Problem in den Griff zu bekommen. Eine Bugbeseitigung wird es seitens LANCOM wohl nicht mehr geben, es sei denn, Du hast da einen Service-Vertrag mit LANCOM laufen.
COMCARGRU
Beiträge: 1202
Registriert: 10 Nov 2004, 17:56
Wohnort: Hessen

Re: 7100 VPN - hohe CPU - Job IPV4

Beitrag von COMCARGRU »

Das klingt doch sehr nach unserem alten Bekannten:

viewtopic.php?f=14&t=16434&p=97637&hili ... GRU#p97637
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Antworten