show process cpu 如显示IP input process is using a lot of CPU resources,检查以下情况:
一、Fast switching 在大流量的外出接口上是否被disabled.可以用 show interfaces
switching命令察看接口流量.然后在接口上重新 Re-enable fast switching .记住 fast
switching是配置在output接口.
二、Fast switching on the same interface是否被disabled.
如一个接口配有多个网段(secondary addresses )并且在这些网段间流量很大时
路由器工作在process-switches方式 .这种情况下要在接口上enable ip route-cache same-interface
三、不能被fast switched的包有:switching cache没有entry的包、目的地是
路由器的包、需要协议转换的包、做了policy routing的包
、X.25 encapsulation的包、Multilink PPP、压缩和加密的包目的地是router的包
举例:1.路由更新信息(取决于路由协议) 过快的更新值显示网络不稳定并增加了CPU utilization. 可以用show ip route检查路由表
2.其它人登录运行命令导致大量log输出3.Spoof 攻击.用show ip traffic 命令确认,可发现大量到本地的包.
第二步,用 show interfaces 和show
interfacesswitching命令识别大量包进出的端口;一旦你确认进入端口后,打开 ip accounting on the
outgoinginterface看其特征.如果是攻击, 源地址会不断变化但是目的地址不变.可以用access
list暂时解决此类问题(最好在接近攻击源的设备上配置), 最终解决办法是停止攻击源。
4.需policy routing的包.在 Cisco IOS version 11.3以前, policy-routedpackets不能被
fast switched. IOS version 11.3 以后允许 policy-routed packetsto be fast
switched.使用接口命令ip route-cache policy。
5.通过X.25封装的包,因为有 flow control on the second Open SystemInterconnection
(OSI) layer.7.Compressed traffic.如没有Compression ServiceAdapter (CSA) in
the router, compressed packets must beprocess-switched.8.Encrypted
traffic. 如没有 Encryption Service Adapter(ESA) in the router, encrypted
packets must be process-switched.
9.大量的User Datagram Protocol (UDP) 流量. 可以用解决 spoof attack的步骤解决.
10.大量组播流穿越
路由器。可以enable fast switching of multicast packets using
the ip mroute-cacheinterface configuration command (fast switching of
multicast packets isoff by default).
11.大量广播包。 Check the number of broadcast packets in the show interfaces command output.
12.
路由器被 over-used 不能处理amount of traffic, 可以用 load among other routers 或者 考虑另购买high-end router.
13.
路由器配置了IP NAT (Network Address Translation)并且有很多 DNS (Domain
Name System)包穿越 router. UDP or TCP packets with source and/or
destination port 53(DNS) are always punted to process level by NAT.
无论是什么原因导致high CPU utilization in the IP Input process, 都可以用debugging IP
packets察看.因为 CPU utilization已经较高, debugging产生的许多信息只能通过logging
buffered而不能 Logging to a console。
debugging过程不要超过3-5秒。如果发现可疑的源可以断掉其设备的连接或者用ACL过滤到目的地的包。