SecPath F100-C-HI CPU占用率高 怎么排查

转发进程高 

排查 SecPath F100-C-HI 防火墙 CPU 占用率高的问题，关键在于输出结果。为了系统地定位并解决问题，可以按照下面的步骤来操作。

⚡ 第一步：立即执行诊断命令

通过以下命令收集第一手证据，重点识别是“整体负载高”还是“单个核心被占满”-30：（注意部分命令需在 _h 隐含视图下执行）。

• 显示整体CPU使用率趋势：display cpu-usage-

  • 分析：观察 Last 5 sec, Last 1 min, Last 5 min 的数值。如果持续高于 70%，表示系统持续处于高负载状态。

• 检查整体CPU历史记录：display cpu-usage history-

  • 分析：以图形化方式呈现CPU使用率的历史趋势，帮助你判断问题是突发性的，还是持续恶化的。

• 定位高负载进程（推荐）：display process cpu

  • 分析：这是最核心的命令。它会列出所有进程及其CPU占用率。重点关注占用率异常高的进程。此命令可用于快速明确占用CPU的具体功能模块（例如，SEC 代表安全策略，NAT 代表地址转换，QOS 代表QoS/限速）。

• 检查多核负载均衡（关键）：display process cpu | include kdrv

  • 分析：kdrv 是防火墙数据转发平面（kdrvdp）的内核进程。单个 kdrv 核心的使用率接近阈值（单核最大使用率 = 100% / 系统总核数）时，表示该核心已接近满载，可能导致业务卡顿、丢包。例如，48核设备的单核最大使用率约为 2.08%。

• 查看系统日志和告警：display logbuffer

  • 分析：关注 CORE_EXCEED_THRESHOLD（单核过载）-1或接口震荡等告警信息-。

🔎 第二步：深入分析常见原因

在获取诊断数据后，结合输出进行分析，通常可从以下几个方面定位根源。

1. 网络攻击（最常见）

   • 现象：display process cpu 显示某个进程（如 ARP, ICMP）异常高；display logbuffer 显示大量攻击日志；display session table 统计会话数量巨大-。

   • 根源：外部攻击，或内网中毒终端发起的扫描、DoS攻击，导致防火墙忙于处理攻击报文。

2. 网络攻击排查（高级）
   如果怀疑遭受攻击，可以使用以下命令进一步确认。

   • 检查控制面丢包统计：display system internal control-plane statistics slot <slot-id>。

     • 分析：查看 Dropped 字段。如果 Dropped 数值较大，说明可能存在报文攻击。

   • 检查攻击防御统计：display attack-defense statistics

     • 分析：该命令可以显示是否发生了特定类型的攻击，例如ICMP攻击。

3. 协议震荡（常见）

   • 现象：display logbuffer 显示接口状态不断 up/down 或路由邻居反复建立、断开。

   • 根源：物理链路质量差（如光衰）、网络环路、或STP（生成树协议）重新计算，都会导致路由协议频繁摆动，迫使CPU不断进行昂贵计算并更新路由表。

4. 配置与策略问题（常见）

   • 现象：display process cpu 显示 SEC（安全策略）或 NAT 进程过高。

   • 根源：安全策略（Security Policy）匹配效率低下（如大量长ACL）、NAT规则过多或排序不合理，或者流量检查功能过重（如深度包检测的流量速率过大），都可能导致防火墙CPU忙于匹配和计算。

5. 软件与业务特性（较少见）

   • 现象：display process cpu 显示某个特定进程（如 AGNT 代理进程）异常高；业务卡顿但无明显攻击或震荡。

   • 根源：存在已知Bug；启用了过多日志（快速外发日志可缓解）；开启了不必要的功能，最后才考虑硬件性能瓶颈。

6. 日志与网管风暴（较少见）

   • 现象：display process cpu 显示 DIME（管理平面），AGNT（SNMP代理）或日志进程过高。

   • 根源：设备短时间内产生大量日志（如10万条/秒），网管软件频繁轮询MIB节点，或启用了过流采样等功能。

🛠️ 第三步：定位到具体原因后，执行针对性解决

🔥 核心手段：利用 display process cpu 定位高负载进程

• QOS → 排查方向：限速策略过多或配置不当。

  • 解决步骤：检查 QoS 配置（display qos policy interface），优化或移除不必要的策略。

• SEC → 排查方向：安全策略或包过滤配置问题。

  • 解决步骤：审查安全策略（display security-policy ip），优化规则顺序，合并规则，或调整策略复杂度-。常用命令：display security-policy ip-。

• NAT → 排查方向：NAT 会话过多或配置复杂。

  • 解决步骤：检查 NAT 会话表（display nat session table），确认是否存在过多异常会话。优化 NAT 规。常用命令：display nat session table。

• IPS → 排查方向：入侵防御策略占用过高。

  • 解决步骤：检查入侵防御配置，调整签名集或策略。

• ROUT → 排查方向：路由计算或震荡。

  • 解决步骤：检查各路由协议邻居状态（display ospf peer, display bgp peer）和路由表大小（display ip routing-table statistics），排查链路质量问题。

• AGNT → 排查方向：SNMP 网管代理。

  • 解决步骤：暂时关闭 SNMP 功能测试，或调整网管软件的轮询间隔。

• DIME → 排查方向：Web/CLI 管理平面。

  • 解决步骤：如暂时不需要，可退出管理界面。检查是否配置了过多的管理访问控制列表。

• 其他命名进程 → 排查方向：软件缺陷。

  • 解决步骤：记录下进程全名，查询 H3C 知识库或联系技术支持，确认是否为已知 Bug