交换机Cpu和内存

理论上不超过80%都是正常的，不放心的话可以按照这个查看下

  解决方法：

1、确定CPU高槽位

连续使用命令display cpu查看cpu的占用率，确定那个槽位单板CPU高。

如果CPU占用率持续在80％以上，说明有某个任务长时间占用CPU，需要确认CPU高的具体原因。

2、定位占用CPU的进程

如果为COWARE平台版本，请使用<S7506>_display task  CPU的高槽位号。确认CPU高的任务名称。例如某单板3 的CPU高

<7503>_dis tas 3

 ID      Name    Status      ChangeTimes    MaxTime   TotalTime   TaskRate

  1      WEIL    Ready           19894523         12     144465346    43.6%

  2      SYST    Ready           15278303          1      378979       0.2%

  3      IPCQ    Delay           1527544          1      132262       0.0%

  4      RPCQ    Ready           15275589         62      492349       0.3%

  5      VP      Delay              2546          1          94       0.0%

  6      RECV    Sem                   1          0           0       0.0%

  7      GMTH    Sem                   1          0           0       0.0%

  8      aDPC    Ready                 1          0           0       0.0%

  9      bL2X    Ready            802295          5     1752889       1.1%

 10      cCNT    Ready            306893          9     1249762       0.8%

 11      dTX     Ready                 1          0           0       0.0%

 12      eLIN    Ready           3965427          2      316726       0.2%

 13      fL2X    Ready            802037          4     1529726       0.9%

 14      gCNT    Ready            306871          9     1231410       0.7%

 15      hLIN    Ready           3975895          2      319555       0.2%

 16      SCAR    Delay            152741          9     1209382       0.7%

 17      SCNB    Delay            152742          3      310896       0.2%

 18      JPS     Event Sem         50997          1        5731       0.0%

 19      CSFP    Delay             76370          1        2491       0.0%

 20      PHS     Delay           4011663          1      191661       0.1%

 22      STND    Event Sem             1          0           0       0.0%

 23      SOCK    Event Sem            46         57          58      50.0%

 24      DEV     Event Sem       1831087        844      381420       0.2%

 25      iRX.    Ready           1527386          1       81616       0.0%

 26      jRX.    Ready           1618332          1      146693       0.0%

 27      HAND    Delay            152736          1       18148       0.0%

最后一列显示各个任务占用CPU的实际时间，其中有个特殊任务：

1      WEIL    Ready         19894523         12     144465346    43.6%

 WEIL 任务是空闲任务，它表示CPU空闲几率，越高表明系统越空闲也就越正常。其它任务占用率越高，说明相应的任务占用CPU的资源越多。本例中SOCK任务

CPU占用率为50%,明显异常。（正常情况除WELL任务高之外，其它任务占用

率一般低于5%）。SOCK任务为收发报文处理任务。 在市场上99%的CPU高为

该任务导致（CPU高的情况，99%是改任务引起）。

所以一旦确认是SOCK任务导致CPU高，那么交换机肯定遭到报文攻击。我们需要检查攻击流来源。

3、捕获上CPU的报文

执行命令（debug rxtx –c 200 paket slot <遭攻击的槽位>），确认攻击报文来源。

例如：打开该开关，发现很多如下报文：

*0.390635625 ETICN RXTX/8/pkt:

Receive: port  4, length   96, errno  0, priority 0, BPDU 0, COPY 1

*0.390635628 ETICN RXTX/8/pkt:

---------------------------------------------------------------

ff ff ff ff ff ff 00 40 05 11 8f 97 81 00 00 0f

08 06 45 00 00 4e 15 1a 00 00 80 11 f2 61 0a 01

0f 23 0a 01 0f ff 00 89 00 89 00 3a 8c 41 86 83

01 10 00 01 00 00 00 00 00 00 20 45 50 46 44 45

---------------------------------------------------------------    

该报文为标准以太报文，可以发现报文为ARP报文（0806），从port  4端口接收到。所以可以肯定为ARP攻击导致，我们根据源MAC =  0040-0511-8f97，所在VLAN =0F。检查该端口下源为0040-0511-8f97设备即可排除攻击源。

确认是否ARP攻击或ICMP攻击还可以通过debug rxtx mem slot  <遭攻击的槽位>来通过统计直接查看。

经验：

业务板CPU高，绝大部分是ARP扫描攻击导致。如果是主控板CPU高，那么来源比较多，重点是三层接口攻击，路由环导致ttl超时报文攻击，直连arp丢失，协议报文攻击等等。如果是主控板CPU高，还可以使用debug ip packet直接查看比较直观。要注意排除telnet等报文）

对报文实体进行分析，确定报文来源。可以使用相关方法将该流去掉即可。