交换机CPU使用率突然增加

ssffzz1

哦。这样啊。

不过我总认为日志里面肯定有关键信息的。

你的上面的那个错误消息太多。

rock_l

原帖由 ssffzz1 于 2009-2-27 16:09 发表
哦。这样啊。

不过我总认为日志里面肯定有关键信息的。

你的上面的那个错误消息太多。

还有什么可以做的么~

ssffzz1

没有。
做事情要慢慢来。一口吃不成胖子。

rock_l

原帖由 ssffzz1 于 2009-2-27 16:31 发表
没有。
做事情要慢慢来。一口吃不成胖子。

恩。主要现在找不到什么头绪。。。

ssffzz1

我狂晕。

都说到这个份上了啊。

你先翻番日志找找累不着你吧。看看在出现这个信息之前的日志有什么特殊提示。

rock_l

原帖由 ssffzz1 于 2009-2-27 16:45 发表
我狂晕。

都说到这个份上了啊。

你先翻番日志找找累不着你吧。看看在出现这个信息之前的日志有什么特殊提示。

是突然出现这个报错信息的，之前的log都是正常的，可能是我没说清楚吧，呵呵。
现在查了一些资料，可能是因为这个原因：When an excessive number (more than 100 packets per second) of Address Resolution Protocol (ARP) packets are sent to a Network Admission Control (NAC) Layer 2 IP-configured member port。
但是现在每个端口都没有流量，还能通过其它方式看出来么？

ssffzz1

每个端口都没有流量，CPU还这么高吗？

ssffzz1

如果是端口有流量的话，就做镜像抓包好了。

hjp0021

CPU利用率升高一般是ARP或各种攻击造成的，攻击不外乎是内网发起或者外网发起两种。

（1）3750应该是接入设备，上联还有更高端的吧，如：6509，7609，12416等。在上联设备上执行命令show mls ip，可见端倪。
（2）四台3750做堆叠，看来应该是IDC或者提供重要的服务，应该有配套部署防火墙等吧，如果有，就好办了。或者有配置netflow（上联设备上），通过这个也能看出来。
（3）拔网线对付内网发起的攻击还行，对外网发起的攻击有时效果不好，因为流量已经进来了。如果是外网发起的攻击，总有一个、或几个目的IP地址，只要找出这个受攻击的IP就OK了。
在上联设备上写黑洞路由：ip route X.X.X.X 255.255.255.255 null 0，这里X.X.X.X是您的内网IP，假设内网分配了一个C段。于是配置：
ip route X.X.X.1 255.255.255.255 null 0
........................................
ip route X.X.X.31 255.255.255.255 null 0。如果此时CPU利用率减少，那么就知道受攻击的IP落在x.x.x.1--31中，于是再将前面的配置逐条no掉，直到找出受攻击IP。
如果31条黑洞路由配置后CPU利用率还是这么高，说明受攻击IP不在这一段，再换一段吧。利用写字板先写好配置，提高效率。
（4）以上的解决方法有些需要ISP配合，如果您自己解决不了，向ISP申告看看。
（5）抓包也是一条途径，不过如果流量大的话，也是很痛苦的。
（6）如果是内网发起的攻击，也可以采用逐条拔网线的方式。或者逐个查看用户端口，收、发包、流量有否异常。

以上仅仅对攻击造成判断，如果您的cpu利用率高是因为配置不准确、环路等造成，那就不适用了。如果确实是由配置不准确、环路等造成，那LZ也太对不起我了，害我花这么多时间打字。:wink:
看火箭的比赛了。

[ 本帖最后由 hjp0021 于 2009-3-1 09:36 编辑 ]