hohe CPU-Last - woher?

[COMCARGRU]

Moin,

also Probleme mit hoher CPU Last habe ich hier seit Jahren immer wieder. Mit unterschiedlichen Firmware-Generationen. Den wirklichen Grund habe ich bislang nicht heraus gefunden. Manchmal war es die direkte Folge von Änderungen am Firewall-Regelwerk, aber eben nicht immer.


Interessant ist es aber allemal sich das resultierende Firewall-Regelwerk anzusehen. Denn früher hatte ich eine Konfiguration wo knapp 90 konfigurierte Regeln (ohne VPN-Regeln) tatsächlich zu 80.000 Laufzeitregeln geworden sind. Und das war (damals mit einer 8011) definitiv zu viel für die Box. Nachdem das Regelwerk ausgemistet wurde und nur noch 4.000 Laufzeitregeln hatte, lief wieder eine Weile alles gut.


Aktuell mit einer 9100 und 17.000 Laufzeitregeln gab es aber auch immer wieder CPU-Last-Probleme ohne ersichtlichen Grund. War lange Zeit die 8.62Rel drauf und die Last-Probleme sind mehr oder weniger plötzlich aufgetaucht. Nach einem Reboot war teilweise Wochenlang Ruhe bevor es wieder losgegangen ist. Nachdem es zuletzt fast täglich passiert ist, Update auf einer 9er FW - seitdem ist Ruhe.


Kann aber trügerisch sein, weil auch mit der 8er sind ja zuweilen mehrere Wochen vergangen zwischen zwei Vorfällen. In dieser Situation ist das ermitteln des Fehlers kaum möglich, wenn man es nicht reproduzieren kann.


Was mich interessiert - hier wird VRRP benutzt? Bedeutet das, dass bei euch der ganze Verbund tot ist? Oder die Ausgelastete Box doch noch dem VRRP-Verbund Antwortet und daher der Backup Router nicht "anspringt"?


Denn ich hatte das schon mal hier : http://www.lancom-forum.de/post86121.ht ... rrp#p86121 beschrieben und mittlerweile ist der Cluster einsatzbereit und könnte in Betrieb gehen.


Sofern es ein Bug ist, wäre es gut wenn man dem endlich auf die Schliche käme. Sollte es doch eher an der "schwachen" Rechenleistung liegen - naja Lancoms mit "richtig" viel Dampf wünsche ich mir ja schon seit vielen Jahren.


Auch mit einem exzessiven Regelwerk von sagen wir 500k oder gar 1 Mio Laufzeitregeln sollte die Box schon in der Lage sein trotzdem 1 Gibt/s wegzuschaufeln. Umfangreiche Laufzeitregeln kommen leider schneller als schnell zusammen, solange das Design der Lancoms so ist wie es ist.

[vitaminc]

Also bin zurück auf 9.10, seitdem erstmal alles stabil und ohne Probleme.
Lancom hatte mir dazu geraten auf 9.10 zu gehen da es die letzte echte Stable-Version für Projekt ist: https://www.lancom-systems.de/produkte/ ... ebersicht/
9.20 wird für WLAN Einsatz empfohlen und 9.24 mit Fehlerbereinigungen. D.h. ich warte bis Lancom eine Firmware bringt die wiederum als Stable und für Projekt freigegeben ist.

Ich hatte gefragt wie es andere Kunde handhaben, man hat mir mitgeteilt: Never change a running system, d.h. viele Kunden bleiben vorsichtshalber lieber auf den älteren Firmwares insofern diese auf neue Funktionalitäten verzichten können.

Was mich interessiert - hier wird VRRP benutzt? Bedeutet das, dass bei euch der ganze Verbund tot ist? Oder die Ausgelastete Box doch noch dem VRRP-Verbund Antwortet und daher der Backup Router nicht "anspringt"?

Wir nutzen VRRP, und das ist auch der Übeltäter. Denn jedesmal als ich VRRP auf dem Master deaktiviert hatte, hat sich die CPU und die Latenz/Ping-Zeit sofort normalisiert. Nachdem ich VRRP wieder aktiviert hatte lief es entweder für paar Tage stabil oder es hat direkt angefangen sich wieder hochzuschaukeln. Betroffen war immer nur der Master, nicht der Slave.
Der ganze Verbund war nicht betroffen, und wir fahren hier auch Balance, d.h. die Gegenstellen verbinden sich wahlweise mit einem der 7100er.