如何处理H3C S7500 CPU高问题

在遇到H3C S7500 CPU高的问题时，主要看是什么报文上的CPU，

可以采用下列操作:

(1) 进入诊断模式

[H3C-7506-A] en

(2) 捕捉报文，后面参数指的是捕捉报文的特征

[H3C-7506-A-testdiag]catch rxtx by ?

  da      Dest packet mac

  dip     Dest IP

  etype   Packet type

  iptype  Packet IP type

  sa      Source packet mac

  sip     Source IP

  vlan    VLAN

[H3C-7506-A-testdiag]catch rxtx end slot ?

  INTEGER<0-6>  Slot Number       

多抓几次，频繁出现的报文肯定是异常的报文，因为交换机是硬件转发，正常的报文都走硬件而不会上CPU，而只有协议报文、ARP报文、未知报文等才会上CPU。

(3) 将频繁出现的报文打印出来，以便确认是何种类型，从哪些VLAn和端口上的CPU，这样可以迅速的查找到攻击源：

 [H3C-7506-A-testdiag]display rxtx switchflag   查看设置过滤的开关

Slot 0: information of Module RxTx

 The switchflag of the packet printing     

  [H3C-7506-A-testdiag]display rxtx ?     设置过滤的具体报文类型（取消加undo）

  all         All packet

  broadcast   Broadcast packet

  chip        Chip

  cos         COS

  dest_mac    Dest packet mac

  dip         Dest IP

  etype       Packet type

  iptype      Packet IP type

  multicast   Multicast packet

  port        Port

  reason      Receive packet reason

  receive     Receive packet

  remote      Display packet to memory

  send        Send packet

  sip         Source IP

  source_mac  Source packet mac

  switchflag  Set Slot Number

  unicast     Unicast packet

  vlan        VLAN

  vp          VP packet             

设置好过滤开关，进行报文打印：

<H3C-7506-A>debug rxtx -c 100 pkt slot ?

  INTEGER<0-6>  Slot Number

<H3C-7506-A>terminal debug

<H3C-7506-A>terminal monitor

这样就可以看到具体的报文头，用ethereal将报文解释出来，就可以知道是什么报文。

(4) 转换报文，在PC上安装ethereal，然后将打印的报文保存成txt文件，按着下面的命令转换：

C:\Program Files\Ethereal>text2pcap 8.txt 8.cap

8.txt为保存文件，8.cap为生成的ethereal文件。根据解析出来的IP地址和MAC来进行查找。

注意：S7500是分布式设备不同的报文上不同的单板，对于二层协议报文和ARP都是上接口板，对于三层报文直接上主控板。所以对于主控板和接口板上CPU的报文应该分开来考虑。如STP报文、ARP报文应该先上接口板，然后封装成VP报文上送主控板，VP报文类型为CDEF，OSPF、VRRP等三层报文直接上主控板。