關(guān)于路由器CPU利用率過高的解決辦法

發(fā)布時間：2013-07-19 17:31:09 作者：佚名

對于路由器CPU利用率過高有什么好的解決辦法呢？很大一部分朋友都不知道如何解決這個問題。下面小編就為大家介紹一下解決這個問題的方法吧，需要的朋友可以過來參考下

第一步，show process cpu 如顯示IP input process is using a lot of CPU resources,檢查以下情況：
一、Fast switching
在大流量的外出接口上是否被disabled.可以用 show interfaces switching 命令察看接口流量.然后在接口上重新 Re-enable fast switching .記住 fast switching是配置在output 接口.

二、Fast switching on the same interface是否被disabled. 如一個接口配有多個網(wǎng)段（secondary addresses ）并且在這些網(wǎng)段間流量很大時路由器工作在process-switches方式 .這種情況下要在接口上enable ip route-cache same-interface.

三、不能被fast switched的包有：switching cache沒有entry的包、目的地是路由器的包、需要協(xié)議轉(zhuǎn)換的包、做了policy routing的包、X.25 encapsulation的包、Multilink PPP、壓縮和加密的包目的地是router的包.

舉例:1.路由更新信息（取決于路由協(xié)議）過快的更新值顯示網(wǎng)絡(luò)不穩(wěn)定并增加了CPU utilization. 可以用show ip route檢查路由表
2.其它人登錄運(yùn)行命令導(dǎo)致大量log輸出
3.Spoof 攻擊.用show ip traffic 命令確認(rèn)，可發(fā)現(xiàn)大量到本地的包.

第二步，用 show interfaces 和show interfaces switching命令識別大量包進(jìn)出的端口；一旦你確認(rèn)進(jìn)入端口后，打開 ip accounting on the outgoing interface看其特征.如果是攻擊，源地址會不斷變化但是目的地址不變.可以用access list暫時解決此類問題（最好在接近攻擊源的設(shè)備上配置), 最終解決辦法是停止攻擊源。
一.需policy routing的包.在 Cisco IOS version 11.3以前, policy-routed packets不能被 fast switched. IOS version 11.3 以后允許 policy-routed packets to be fast switched.使用接口命令ip route-cache policy。

二.通過X.25封裝的包,因為有 flow control on the second Open System Interconnection (OSI) layer.7.Compressed traffic.如沒有Compression Service Adapter (CSA) in the router, compressed packets must be process-switched.8.Encrypted traffic. 如沒有 Encryption Service Adapter (ESA) in the router, encrypted packets must be process-switched.

三.大量的User Datagram Protocol (UDP) 流量. 可以用解決 spoof attack的步驟解決.

四.大量組播流穿越路由器?？梢詄nable fast switching of multicast packets using the ip mroute-cache interface configuration command (fast switching of multicast packets is off by default).

五.大量廣播包。 Check the number of broadcast packets in the show interfaces command output.

六.路由器被 over-used 不能處理amount of traffic, 可以用 load among other routers 或者考慮另購買high-end router.

七.路由器配置了IP NAT (Network Address Translation)并且有很多 DNS (Domain Name System) 包穿越 router. UDP or TCP packets with source and/or destination port 53 (DNS) are always punted to process level by NAT.
無論是什么原因?qū)е耯igh CPU utilization in the IP Input process, 都可以用 debugging IP packets察看.因為 CPU utilization已經(jīng)較高, debugging產(chǎn)生的許多信息只能通過 logging buffered而不能 Logging to a console。 debugging過程不要超過 3-5秒。如果發(fā)現(xiàn)可疑的源可以斷掉其設(shè)備的連接或者用ACL過濾到目的地的包。