關(guān)于路由器CPU利用率過高的解決辦法

發(fā)布時(shí)間：2013-07-19 17:31:09 作者：佚名

對于路由器CPU利用率過高有什么好的解決辦法呢？很大一部分朋友都不知道如何解決這個(gè)問題。下面小編就為大家介紹一下解決這個(gè)問題的方法吧，需要的朋友可以過來參考下

第一步，show process cpu 如顯示IP input process is using a lot of CPU resources,檢查以下情況：
一、Fast switching
在大流量的外出接口上是否被disabled.可以用 show interfaces switching 命令察看接口流量.然后在接口上重新 Re-enable fast switching .記住 fast switching是配置在output 接口.

二、Fast switching on the same interface是否被disabled. 如一個(gè)接口配有多個(gè)網(wǎng)段（secondary addresses ）并且在這些網(wǎng)段間流量很大時(shí) 路由器工作在process-switches方式 .這種情況下要在接口上enable ip route-cache same-interface.

三、不能被fast switched的包有：switching cache沒有entry的包、目的地是路由器的包、需要協(xié)議轉(zhuǎn)換的包、做了policy routing的包、X.25 encapsulation的包、Multilink PPP、壓縮和加密的包目的地是router的包.

舉例:1.路由更新信息（取決于路由協(xié)議）過快的更新值顯示網(wǎng)絡(luò)不穩(wěn)定并增加了CPU utilization. 可以用show ip route檢查路由表
2.其它人登錄運(yùn)行命令導(dǎo)致大量log輸出
3.Spoof 攻擊.用show ip traffic 命令確認(rèn)，可發(fā)現(xiàn)大量到本地的包.

第二步，用 show interfaces 和show interfaces switching命令識(shí)別大量包進(jìn)出的端口；一旦你確認(rèn)進(jìn)入端口后，打開 ip accounting on the outgoing interface看其特征.如果是攻擊，源地址會(huì)不斷變化但是目的地址不變.可以用access list暫時(shí)解決此類問題（最好在接近攻擊源的設(shè)備上配置), 最終解決辦法是停止攻擊源。
一.需policy routing的包.在 Cisco IOS version 11.3以前, policy-routed packets不能被 fast switched. IOS version 11.3 以后允許 policy-routed packets to be fast switched.使用接口命令ip route-cache policy。

二.通過X.25封裝的包,因?yàn)橛?flow control on the second Open System Interconnection (OSI) layer.7.Compressed traffic.如沒有Compression Service Adapter (CSA) in the router, compressed packets must be process-switched.8.Encrypted traffic. 如沒有 Encryption Service Adapter (ESA) in the router, encrypted packets must be process-switched.

三.大量的User Datagram Protocol (UDP) 流量. 可以用解決 spoof attack的步驟解決.

四.大量組播流穿越路由器。可以enable fast switching of multicast packets using the ip mroute-cache interface configuration command (fast switching of multicast packets is off by default).

五.大量廣播包。 Check the number of broadcast packets in the show interfaces command output.

六.路由器被 over-used 不能處理amount of traffic, 可以用 load among other routers 或者考慮另購買high-end router.

七.路由器配置了IP NAT (Network Address Translation)并且有很多 DNS (Domain Name System) 包穿越 router. UDP or TCP packets with source and/or destination port 53 (DNS) are always punted to process level by NAT.
無論是什么原因?qū)е耯igh CPU utilization in the IP Input process, 都可以用 debugging IP packets察看.因?yàn)?CPU utilization已經(jīng)較高, debugging產(chǎn)生的許多信息只能通過 logging buffered而不能 Logging to a console。 debugging過程不要超過 3-5秒。如果發(fā)現(xiàn)可疑的源可以斷掉其設(shè)備的連接或者用ACL過濾到目的地的包。