關(guān)于路由器CPU利用率過高的解決辦法
發(fā)布時間:2013-07-19 17:31:09 作者:佚名
我要評論

對于路由器CPU利用率過高有什么好的解決辦法呢?很大一部分朋友都不知道如何解決這個問題。下面小編就為大家介紹一下解決這個問題的方法吧,需要的朋友可以過來參考下
第一步,show process cpu 如顯示IP input process is using a lot of CPU resources,檢查以下情況:
一、Fast switching
在大流量的外出接口上是否被disabled.可以用 show interfaces switching 命令察看接口流量.然后在接口上重新 Re-enable fast switching .記住 fast switching是配置在output 接口.
二、Fast switching on the same interface是否被disabled. 如一個接口配有多個網(wǎng)段(secondary addresses )并且在這些網(wǎng)段間流量很大時 路由器工作在process-switches方式 .這種情況下要在接口上enable ip route-cache same-interface.
三、不能被fast switched的包有:switching cache沒有entry的包、目的地是路由器的包、需要協(xié)議轉(zhuǎn)換的包、做了policy routing的包、X.25 encapsulation的包、Multilink PPP、壓縮和加密的包目的地是router的包.
舉例:1.路由更新信息(取決于路由協(xié)議)過快的更新值顯示網(wǎng)絡(luò)不穩(wěn)定并增加了CPU utilization. 可以用show ip route檢查路由表
2.其它人登錄運(yùn)行命令導(dǎo)致大量log輸出
3.Spoof 攻擊.用show ip traffic 命令確認(rèn),可發(fā)現(xiàn)大量到本地的包.
第二步,用 show interfaces 和show interfaces switching命令識別大量包進(jìn)出的端口;一旦你確認(rèn)進(jìn)入端口后,打開 ip accounting on the outgoing interface看其特征.如果是攻擊,源地址會不斷變化但是目的地址不變.可以用access list暫時解決此類問題 (最好在接近攻擊源的設(shè)備上配置), 最終解決辦法是停止攻擊源。
一.需policy routing的包.在 Cisco IOS version 11.3以前, policy-routed packets不能被 fast switched. IOS version 11.3 以后允許 policy-routed packets to be fast switched.使用接口命令ip route-cache policy。
二.通過X.25封裝的包,因為有 flow control on the second Open System Interconnection (OSI) layer.7.Compressed traffic.如沒有Compression Service Adapter (CSA) in the router, compressed packets must be process-switched.8.Encrypted traffic. 如沒有 Encryption Service Adapter (ESA) in the router, encrypted packets must be process-switched.
三.大量的User Datagram Protocol (UDP) 流量. 可以用解決 spoof attack的步驟解決.
四.大量組播流穿越路由器??梢詄nable fast switching of multicast packets using the ip mroute-cache interface configuration command (fast switching of multicast packets is off by default).
五.大量廣播包。 Check the number of broadcast packets in the show interfaces command output.
六.路由器被 over-used 不能處理amount of traffic, 可以用 load among other routers 或者 考慮另購買high-end router.
七.路由器配置了IP NAT (Network Address Translation)并且有很多 DNS (Domain Name System) 包穿越 router. UDP or TCP packets with source and/or destination port 53 (DNS) are always punted to process level by NAT.
無論是什么原因?qū)е耯igh CPU utilization in the IP Input process, 都可以用 debugging IP packets察看.因為 CPU utilization已經(jīng)較高, debugging產(chǎn)生的許多信息只能通過 logging buffered而不能 Logging to a console。 debugging過程不要超過 3-5秒。如果發(fā)現(xiàn)可疑的源可以斷掉其設(shè)備的連接或者用ACL過濾到目的地的包。
一、Fast switching
在大流量的外出接口上是否被disabled.可以用 show interfaces switching 命令察看接口流量.然后在接口上重新 Re-enable fast switching .記住 fast switching是配置在output 接口.
二、Fast switching on the same interface是否被disabled. 如一個接口配有多個網(wǎng)段(secondary addresses )并且在這些網(wǎng)段間流量很大時 路由器工作在process-switches方式 .這種情況下要在接口上enable ip route-cache same-interface.
三、不能被fast switched的包有:switching cache沒有entry的包、目的地是路由器的包、需要協(xié)議轉(zhuǎn)換的包、做了policy routing的包、X.25 encapsulation的包、Multilink PPP、壓縮和加密的包目的地是router的包.
舉例:1.路由更新信息(取決于路由協(xié)議)過快的更新值顯示網(wǎng)絡(luò)不穩(wěn)定并增加了CPU utilization. 可以用show ip route檢查路由表
2.其它人登錄運(yùn)行命令導(dǎo)致大量log輸出
3.Spoof 攻擊.用show ip traffic 命令確認(rèn),可發(fā)現(xiàn)大量到本地的包.
第二步,用 show interfaces 和show interfaces switching命令識別大量包進(jìn)出的端口;一旦你確認(rèn)進(jìn)入端口后,打開 ip accounting on the outgoing interface看其特征.如果是攻擊,源地址會不斷變化但是目的地址不變.可以用access list暫時解決此類問題 (最好在接近攻擊源的設(shè)備上配置), 最終解決辦法是停止攻擊源。
一.需policy routing的包.在 Cisco IOS version 11.3以前, policy-routed packets不能被 fast switched. IOS version 11.3 以后允許 policy-routed packets to be fast switched.使用接口命令ip route-cache policy。
二.通過X.25封裝的包,因為有 flow control on the second Open System Interconnection (OSI) layer.7.Compressed traffic.如沒有Compression Service Adapter (CSA) in the router, compressed packets must be process-switched.8.Encrypted traffic. 如沒有 Encryption Service Adapter (ESA) in the router, encrypted packets must be process-switched.
三.大量的User Datagram Protocol (UDP) 流量. 可以用解決 spoof attack的步驟解決.
四.大量組播流穿越路由器??梢詄nable fast switching of multicast packets using the ip mroute-cache interface configuration command (fast switching of multicast packets is off by default).
五.大量廣播包。 Check the number of broadcast packets in the show interfaces command output.
六.路由器被 over-used 不能處理amount of traffic, 可以用 load among other routers 或者 考慮另購買high-end router.
七.路由器配置了IP NAT (Network Address Translation)并且有很多 DNS (Domain Name System) 包穿越 router. UDP or TCP packets with source and/or destination port 53 (DNS) are always punted to process level by NAT.
無論是什么原因?qū)е耯igh CPU utilization in the IP Input process, 都可以用 debugging IP packets察看.因為 CPU utilization已經(jīng)較高, debugging產(chǎn)生的許多信息只能通過 logging buffered而不能 Logging to a console。 debugging過程不要超過 3-5秒。如果發(fā)現(xiàn)可疑的源可以斷掉其設(shè)備的連接或者用ACL過濾到目的地的包。
相關(guān)文章
售價599元起! 華為路由器X1/Pro發(fā)布 配置與區(qū)別一覽
華為路由器X1/Pro發(fā)布,有朋友留言問華為路由X1和X1 Pro怎么選擇,關(guān)于這個問題,本期圖文將對這二款路由器做了期參數(shù)對比,大家看看哪款才是你的理想選擇2025-04-17路由器無法上網(wǎng)怎么辦? 四大常見問題故障與解決方案
路由器安裝以后發(fā)現(xiàn)不能上網(wǎng),這可能是由于路由器未撥號、MAC地址綁定等原因所致,下面我們就來看看詳細(xì)解決辦法2025-04-09- 在現(xiàn)代生活中,路由器已成為我們工作和生活的必需品,然而,當(dāng)路由器出現(xiàn)問題時,我們往往束手無策,本文將為您提供一套實用的路由器故障排除指南,助您輕松應(yīng)對各種常見問2025-04-09
支持觸屏的軟路由? GL.iNe BE3600路由器拆機(jī)評測
GL.iNet廣聯(lián)智通推出的Wi-Fi 7便攜式無線路由器Slate 7橫空出世,網(wǎng)速直接起飛!這速度,快到你懷疑人生!但問題來了,這玩意兒真有那么神?詳細(xì)請看下文測評2025-03-31TPLINK TL7DR7260 v2.0和v1.0有什么區(qū)別? 兩款路由器拆機(jī)測評
TL-7DR7260易展版有兩個版本,分別是v2.0和v1.0,這兩個版本有什么區(qū)別?下面我們就來看看詳細(xì)的拆機(jī)對比2025-03-31CPU決定了不能給你10G口! TP-LINK TL-7DR7280路由器拆機(jī)測評
實力與顏值并存的TP-Link TL-7DR7280易展Turbo版以夠用問準(zhǔn)則,是目前市面上好評非常多、用戶群體非常廣的一款無線路由器,性能穩(wěn)定,功能強(qiáng)悍,給你最可靠的網(wǎng)絡(luò)2025-03-31高性價比WiFi6路由+全屋覆蓋穿墻王! 網(wǎng)件RAX50路由器全面測評
網(wǎng)件RAX50路由器表現(xiàn)如何?確實,它以穩(wěn)定高速的傳輸能力,讓無線連接體驗變得輕松愉快,詳細(xì)測評數(shù)據(jù)如下圖文所述2025-03-15WiFi6時代來臨! 華三H3C NX54路由器還值得購買嗎?
WiFi6時代已經(jīng)來臨,眾多路由器廠商也紛紛推出了兼容WiFi6協(xié)議的路由器,今天我們將深入體驗H3C NX54路由器,這款由知名企業(yè)H3C新華三集團(tuán)推出的家用路由器2025-03-14- 玩游戲最怕什么?當(dāng)然是卡頓!延遲!關(guān)鍵時刻掉線簡直心態(tài)爆炸,該怎么選電競路由器呢?路由器這玩意兒,可不是越貴越好,適合自己的才是王道,下面我們推薦八款適合玩游戲2025-03-14
FiberHome 5G CPE移動路由器值得入手嗎? 烽火5g路由器性能測評
FiberHome烽火 5G CPE移動路由器支持雙模4G/5G全網(wǎng)通,支持WiFi 6雙頻,配備雙千兆網(wǎng)口,無線速率高達(dá)1800Mbps,這款路由器性能如何?值得購買嗎?詳細(xì)如下2025-03-14