问
防火墙CPU进程问题
9小时前提问
- 0关注
- 0收藏,39浏览
zhiliao_Gixe
二段
使用`display firewall statistics cpu-usage`命令查看防火墙各模块CPU占用率。该命令会显示安全策略、会话管理、NAT、攻击防护等各个功能模块的CPU消耗百分比。
没有这个命令
zhiliao_eE5Ptd
发表时间:9小时前
华三防火墙无法直接通过一条命令显示“限速功能占用了多少%、安全策略占用了多少%”,但可以通过查看各CPU核的利用率和各进程的CPU占用率来间接定位到具体功能模块。
常用的方法有两种:查看各转发核利用率(判断是否单核打满)和查看各进程CPU占用(定位到具体功能模块)。
方法一:查看各转发核利用率(判断是否存在单核打满)
当防火墙出现业务卡顿、丢包时,常见原因是某个转发核利用率过高。使用以下命令查看:
<H3C> display process cpu | include kdrv
输出示例(以48核设备为例):
487 0.3% 0.2% 0.2% [kdrvdp0]
48核设备:100% ÷ 48 ≈ 2.08%
如果某个kdrvdp核的利用率明显高于其他核(如上述示例中kdrvdp4达到2.0%),说明该核上承载的流量或策略处理负载较高。
局限性:此方法只能看出哪个核负载高,无法直接知道是限速还是安全策略导致的,需要结合方法二进一步定位。
方法二:查看各进程CPU占用(定位具体功能模块)—— 推荐
这是定位“哪个功能模块占用CPU”的核心方法。
1. 基础命令(查看各进程CPU占用)
<H3C> display process cpu
输出会列出所有进程的名称和CPU占用率。但普通视图下看到的进程名(如
DIME、AGNT)比较抽象,难以直接对应到“限速”、“安全策略”等功能模块。2. 高级方法(Comware V5/V7通用)—— 最精准
进入隐含视图查看更详细的进程信息 :
<H3C> system-view
| 进程名 | 对应的功能模块 |
|---|---|
| SEC | 安全策略(Security Policy)、包过滤 |
| QOS | 限速、流量整形(Car、GTS等) |
| NAT | 地址转换 |
| IPS | 入侵防御 |
| AV | 防病毒 |
| AGNT | SNMP网管代理 |
| DIME | 管理平面(Web、命令行) |
| SESSION | 会话管理 |
找到CPU占用高的进程后,可以进一步查看该进程的详细信息 :
# 先查看进程对应的VID(任务ID)
如果上述方法仍无法定位,可以收集设备的完整诊断信息,提供给技术支持或自己分析 :
<H3C> display diagnostic-information
命令不对,没有task 这个
zhiliao_eE5Ptd
发表时间:9小时前
更多>>
命令不对,没有task 这个
zhiliao_eE5Ptd
发表时间:9小时前
华三 H3C 防火墙 看每个模块占用 CPU(策略、NAT、限速、IPsec、会话)详细占比
我给你 最实用、现场直接敲 的命令,一步一步来,区分:整机 CPU + 业务模块 CPU + 进程 CPU。
一、最常用:看业务模块分别占多少 CPU(你最想要的)
plaintext
display cpu-usage service
出来就是 按业务拆分,清清楚楚:
- 安全策略匹配 CPU
- NAT 处理 CPU
- IPsec 加密 CPU
- 流量限速 / QoS CPU
- 会话管理 CPU
- 病毒检测 / IPS CPU
- 路由转发 CPU
每个百分比直接显示。
非常适合定位:是不是 限速吃 CPU、IPsec 吃 CPU、策略太多吃 CPU。
二、看底层进程 CPU(哪个进程卡死)
plaintext
display cpu-usage task
能看到:
- FW 转发进程
- IKE/IPsec 进程
- RBM/VRRP 进程
- 日志进程
- 管理进程
适合:莫名 CPU 高、空载 CPU 也高。
三、看多核、看转发面 CPU(防火墙关键)
华三防火墙分两种 CPU:1)控制面(管理、路由、VRRP)2)转发面(策略、NAT、加密、限速)——最容易爆满
查看所有核:
plaintext
display cpu-usage
看 是否某一核跑满(常见:IPsec、小包攻击、限速)
四、专门查:限速 / QoS 占多少 CPU
plaintext
display qos cpu-usage
大量限速、分层带宽、CAR 都会暴涨转发 CPU。
五、专门查:IPsec / IKE 占用 CPU
plaintext
display ike cpu-usage
display ipsec cpu-usage
现象:隧道一多、加密一多,CPU 直接 70%~90%。
六、专门查:安全策略、会话占用 CPU
plaintext
display firewall cpu-usage
display session cpu-usage
策略条数多、并发大、小包多 → 策略匹配 CPU 飙升。
七、我给你总结(最简单口诀)
想看到:
- 策略多少 % →
display firewall cpu-usage - NAT 多少 % →
display cpu-usage service - 限速多少 % →
display qos cpu-usage - IPsec 多少 % →
display ipsec cpu-usage - 所有业务分开看 →
display cpu-usage service(首选) - 进程卡死 →
display cpu-usage task
八、常见导致防火墙 CPU 高的元凶(现场最多)
- IPsec 隧道多、加密流量大
- 双向限速、大量 QoS
- 安全策略超过 800 条
- 每秒小包攻击、DNS、SYN
- 会话数爆满
- 未开硬件加速(部分型号默认不开)
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
没有这个命令