关于路由器cpu负载过大的问题.doc

路由器负载过大问题的解决方法1 如何发现路由器负载过大当您发现通过路由器访问其他网络不正常时，如ping局域网内的机器正常，ping其他网络的机器的延迟过大或根本没有反应时。您可以登陆到路由器得到如下画面User Access VerificationPassword: ln3660enPassword: ln3660#show processes cpuCPU utilization for five seconds: 27%/14%; one minute: 23%; five minutes: 25% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 1 0 1 0 0.00% 0.00% 0.00% 0 Chunk Manager 2 1068 1174712 0 0.00% 0.00% 0.00% 0 Load Meter * 27 22768 23303893 0 0.00% 0.00% 0.00% 0 e1t1 Framer back 28 0 2 0 0.00% 0.00% 0.00% 0 AAA Dictionary R 29 616462780 774263567 796 2.62% 10.00% 11.01% 0 IP Input 30 137680 876925 157 0.00% 0.00% 0.00% 0 CDP Protocol 31 0 1 0 0.00% 0.00% 0.00% 0 X.25 Encaps Mana 32 0 1 0 0.00% 0.00% 0.00% 0 Asy FS Helper 33 104 373 278 0.00% 0.00% 0.00% 0 PPP IP Add Route 34 262332 183488 1429 0.00% 0.00% 0.00% 0 IP Background 35 236996 2683974 88 0.00% 0.00% 0.00% 0 IP RIB Update 36 1492 97906 15 0.00% 0.00% 0.00% 0 Adj Manager 37 36 844 42 0.00% 0.00% 0.00% 0 TCP Timer 38 32 21 1523 0.00% 0.00% 0.00% 0 TCP Protocols 39 0 1 0 0.00% 0.00% 0.00% 0 Probe Input 40 0 1 0 0.00% 0.00% 0.00% 0 RARP Input 41 0 1 0 0.00% 0.00% 0.00% 0 HTTP Timer 42 0 1 0 0.00% 0.00% 0.00% 0 Socket Timers *注意上面红色得地方，一般来说，路由器的five minutes: 25%（五分钟平均值）比较大，一般应小于20，而 29 616462780 774263567 796 2.62% 10.00% 11.01% 0 IP Input这代表由于IP Input的处理占用了较多。2 路由器负载过大的原因当键入show processes cpu 这个命令后，您可以看到路由器的各个PID的处理器资源占用的情况。如果是http、dhcp等进程占用较大，我们直接停掉相应的服务即可。但是就目前来看，最常见的是IP Input过大，请注意，如果是这样您的网络中很可能是计算机感染病毒了或某些计算机正在进行非法的活动，因此如何找到引起问题的计算机成了下面要讨论的问题。3 路由器IP input负载过大的解决方法（）3.1 路由器debug法(此法有一定的危险性，如果un all键入的较慢可能会导致路由器死机，需重新启动，故熟练后也请慎用)您可以在路由器上键入依次键入(红色的为命令，每个命令后别忘了打回车)Terminal monitor(结果输出到终端)Debug ip packet（开始分析IP包）Un all (undebug all 的缩写)得到如下的情况ln3660#terminal monitorln3660# debug ip packetJul 8 15:10:08.388: IP: s=31 (Serial1/0), d=56, len 78, unroutableJul 8 15:10:08.388: IP: s=79 (FastEthernet0/0), d=27, len 48, unroutableJul 8 15:10:08.388: IP: s=31 (Serial1/0), d=00, len 78, unroutableJul 8 15:10:08.388: IP: s=23 (Serial1/0), d=7, len 48, unroutableJul 8 15:10:08.388: IP: s=79 (FastEthernet0/0), d=37, len 48, unroutableJul 8 15:10:08.388: IP: s=79 (FastEthernet0/0), d=9 (Serial0/0:0), g=, len 48, forwardJul 8 15:10:08.392: IP: s=79 (FastEthernet0/0), d=15, len 48, unroutableJul 8 15:10:08.392: IP: s=0 (FastEthernet0/0), d=4 (Serial1/0), g=57, len 40, forwardJul 8 15:10:08.392: IP: s=23 (Serial1/0), d=8, len 48, unroutableJul 8 15:10:08.392: IP: s= 0 (FastEthernet0/0), d=4 (Serial1/0), g=57, len 64, forwardJul 8 15:10:08.396: IP: s=0 (FastEthernet0/0), d= (Serial1/3), g=57, len 40, forwardJul 8 15:10:08.396: IP: s=31 (Serial1/0), d=57, len 78, unroutableJul 8 15:10:08.396: IP: s=0 (FastEthernet0/0), d=4 (Serial1/0), g=57, len 40, forwardJul 8 15:10:08.400: IP: s=0 (FastEthernet0/0), d=4 ( Serial1/0), g=57, len 64, forwardJul 8 15:10:08.400: IP: s= (local), d=15 (Serial0/0:0), len 41, sendingln3660# un all让我们读一下结果正常的包是这样的（s代表源地址 d 代表目的地址 g 代表这个包转发给下一跳的IP地址 len 是包长 forward是代表转发）Jul 8 15:10:08.400: IP: s=0 (FastEthernet0/0), d=4 (Serial1/0), g=57, len 64, forward本次捕获包中有问题的是这样的Jul 8 15:10:08.396: IP: s=31 (Serial1/0), d=57, len 78, unroutable上面的包的目的地址为57是不再路由表的，无法路由，但是仔细看看上面的s=31的包还给d=56 d=00 发包，这就意味着s=31已经中毒了或被控制了，病毒或间谍软件正在随机扫描网络寻找下一个等待传播对象；这样我们就找到了罪魁祸首，再对这台计算机杀毒或重装。3.2 协议分析仪的捕获法(虽然麻烦一些，但推荐使用，因为您可以看到比路由器debug更多的信息，而且这些信息可以保存到文件中，等待以后的深入分析。)关于协议分析软件，有下列软件 Ethereal 推荐使用，基于gnu的gcc的ethereal可以运行与linux solaris 等系统. 网址 WinDump window版本的tcpdump 网址http:/windump.polito.it Network Associates Sniffer 商用版本的协议分析软件，捆绑该公司的网卡可以获得更多的功能 . Windows 2000/NT Server Network Monitor 在windows2000/2003的系统盘中，需单独安装。 EtherPeek 商用版本的软件. Tcpdump 历史悠久且广泛使用的unix的软件 网址. Snoop Sun提供的solaris版的命令行的捕获软件，用于解码Sun-specific protocols. 等等我个人建议使用Ethereal (有多种操作系统的版本，完全公开源代码的软件，而且稳定性和易用性非常好)。各位可以到12的/software/ethereal用匿名用户登陆去下载，WinPcap_3_0.exe ethereal-setup-0.10.8.exe ，安装按顺序安装这两个文件，然后即可运行ethereal 。本例中，是针对路由器以太网端口作协议分析，采取下列网络的连接的方式。路由器Fa0/1连接路由器的交换机或hub，如果是交换机则必须使用有端口复制功能的交换机。本例中使用实达锐捷RG-S2126G的24口交换机为例。Fa0/1安装协议分析软件的计算机Fa0/9如果使用hub，则不需作特殊设置。如果使用交换机，本例中的交换机需按下列方式设置：Ruijie1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Ruijie1(config)#monitor session 1 destination interface fastEthernet 0/92003-04-19 19:29:46 5-CONFIG:Configured from outbandRuijie1(config)#monitor session 1 source interface fastEthernet 0/1 both2003-04-19 19:30:22 5-CONFIG:Configured from outband命令configure terminal 是进入配置模式，命令monitor session 1 destination interface fastEthernet 0/9 是告诉交换机监控进程1的监控端口为fastEthernet 0/9命令monitor session 1 source interface fastEthernet 0/1 both 是告诉交换机监控进程1的被监控端口为fastEthernet 0/1 且监控数据流向为双向。在完成了上述操作后，即可到安装协议分析软件的计算机进行数据采集。下面是ethereal的使用简介No. ethereal捕获的数据包的序号。Time 捕获时间Source 数据包的源地址Destination 数据包的目的地址Protocol数据包使用的协议Info 数据包的信息在上图中我们发现74有大量的数据发出而且IP十分有规律，且使用的ICMP包进行探测，这时我们就有理由怀疑这台计算机有问题。Ethereal的用法简介关于工具栏是启动捕获的图标从文件打开要分析的信息将当前捕获的信息存储为文件-这个命令很有用，您可以将当前捕获的数据包存到文件中，然后用其他软件如sniffer打开并分析，或将其发给网络服务商请求技术支持。关闭当前文件重新载入捕获文件打印数据包查找指定的数据包按历史记录访问前一个数据包按历史记录访问后一个数据包到指定标号的数据包上一个数据包下一个数据包放大缩小原始大小编辑捕获过滤关系式编辑应用显示关系式编辑色彩规则编辑设