如果你遇到了上述問題,請參照以下解決方法進行操作
一、show process cpu 如顯示IP input process is using a lot of CPU resources,檢查以下情況
(1)不能被fast switched的包有:switching cache沒有entry的包、目的地是路由器的包、需要協議轉換的包、做了policy routing的包、X.25 encapsulation的包、Multilink PPP、壓縮和加密的包目的地是router的包。
(2)Fast switching
在大流量的外出接口上是否被disabled.可以用show interfaces switching 命令察看接口流量.然後在接口上重新Re-enable fast switching .記住fast switching是配置在output 接口。
(3)Fast switching on the same interface是否被disabled. 如一個接口配有多個網段(secondary addresses )並且在這些網段間流量很大時路由器工作在process-switches方式.這種情況下要在接口上enable ip route-cache same-interface。
二、用show interfaces 和show interfaces switching命令識別大量包進出的端口;
一旦你確認進入端口後,打開ip accounting on the outgoing interface看其特征.如果是攻擊,源地址會不斷變化但是目的地址不變.可以用access list暫時解決此類問題(最好在接近攻擊源的設備上配置), 最終解決辦法是停止攻擊源。
(1)路由器配置了IP NAT (Network Address Translation)並且有很多DNS (Domain Name System) 包穿越router. UDP or TCP packets with source and/or destination port 53 (DNS) are always punted to process level by NAT。
(2)路由器被over-used 不能處理amount of traffic, 可以用load among other routers 或者考慮另購買high-end router。
(3)通過X.25封裝的包,因為有flow control on the second Open System Interconnection (OSI) layer.7.Compressed traffic.如沒有Compression Service Adapter (CSA) in the router, compressed packets must be process-switched.8.Encrypted traffic. 如沒有Encryption Service Adapter (ESA) in the router, encrypted packets must be process-switched。
(4)大量的User Datagram Protocol (UDP) 流量. 可以用解決spoof attack的步驟解決。
(5)大量廣播包。Check the number of broadcast packets in the show interfaces command output。
(6)大量組播流穿越路由器。可以enable fast switching of multicast packets using the ip mroute-cache interface configuration command (fast switching of multicast packets is off by default)。
(7)需policy routing的包.在Cisco IOS version 11.3以前, policy-routed packets不能被fast switched. IOS version 11.3 以後允許policy-routed packets to be fast switched.使用接口命令ip route-cache policy。