思科路由器查看cpu
今天和朋友们分享思科路由器查看cpu相关的知识,相信大家通过本文介绍也能对思科路由器查看日志有自已的收获和理解。自己轻松搞问题。
本文内容目录一览:
- 1、思科路由器怎么查看cpu利用率
- 2、思科最技术命令
- 3、思科路由show processes cpu看不出来哪些进程占用CPU高,但CPU使用率却是99%,请高手指点。
- 4、查看cisco路由器cpu温度,具体命令是什么?
- 5、思科路由器怎么查看cpu利用率?
思科路由器怎么查看cpu利用率
show processes cpu
可以看到CPU占用
show processes memory
可以看到内存占用
思科最技术命令
思科最实用的技术命令大全
本文为大家分享的是CISCO Trouble Shooting的实用命令,希望能帮助到大家!
一、故障处理命令
1、show命令:
1) 全局命令:
show version ;显示系统硬件和软件版本、DRAM、Flash
show startup-config ;显示写入NVRAM中的配置内容
show running-config ;显示当前运行的配置内容
show buffers ;详细输出buffer的名称和尺寸
show stacks ;提供路由器进程和处理器利用率信息, 用stack decode
show tech-support ;显示几个show命令的输出
show access-lists ;查看访问列表配置
show memory ;用于测试内存问题
2) 接口相关命令
show queueing [fair|priority|custom]
show queue e0/1 ;查看接口上队列的设置和操作
show interface e0/1 ;Cisco缺省的Ethernet封装方法是ARPA
show ip interface e0/1 ;显示指定接口的TCP/IP配置信息
3) 进程相关命令
show processes cpu ;显示路由器CPU的使用率和当前的进程
show processes memory ;显示路由器当前进程的内存使用情况
4) TCP/IP协议相关命令
Show ip access-list ;显示IP访问列表(1-199)
Show ip arp ;显示路由器的ARP缓存(IP、MAC、封装类型、接口)
Show ip protocols ;显示运行在路由器上的IP路由协议的信息
Show ip route ;显示IP路由表中的信息
Show ip traffic ;显示IP流量统计信息
2、debug命令
DEBUG不应在CPU使用率超过50%的路由器上运行。
1) 限制debug输出
在使用DEBUG获得所需数据后,要关闭Debug
使路由器对所有消息都配置使用时间戳:
Router#service timestamps debug datetime msec localtime
Router#service timestamp log datetime msec localtime
缺省,error和debug信息仅发送到console,telnet到路由器上看不到debug和log的信息。想在telnet中看到debug和log信息:
Router#terminal monitor
Router#terminal monitor ;关闭信息输出
Router#undebug all ;关闭debug进程及所有相关信息的输出
可以应用ACL到debug以限定仅输出要求的debug信息。
如仅查看从10.0.1.1到10.1.1.1的ICMP包:
Router(config)#access-list 101 permit icmp host 10.0.1.1 host 10.1.1.1
Router#debug ip packet detail 101
2) 全局debug命令:
3) 接口debug
4) 协议debug
5) IP debug
debug ip packets
3、logging命令
输出error和其它信息到console、terminal、路由器内部buffer或一台syslog服务器:
Routershow logging
Cisco路由器有8种可能的logging级:0-7
Logging级别 名称 描述
1 Emergencies 系统不能用的信息
2 Alerts 直接行动
3 Critical 紧急情形
4 Errors 错误信息
5 Warnings 警告信息
6 Notifications 正常但重要的情形
7 Informational 信息
8 Debugging 调试
缺省地,console、monitor、buffer的logging被设置为debugging级,而trap(syslog)服务器的logging被设置为informational。
4、执行路由核心复制
core dump包含一份当前系统内存中信息的精确拷贝。捕捉包含在内存中信息的方法有:
1) 配置路由器在崩溃时执行Core Dump,存储到TFTP、FTP、RCP服务器:
对TFTP协议,只需指定TFTP服务器IP,不需要任何附加的配置:
Router(config)#exception dump 192.168.1.1 ;TFTP服务器的IP地址
对FTP协议的配置:
Router(config)#exception dump 192.168.1.1 ;FTP服务器的IP地址
Router(config)#ip ftp username Kevin
Router(config)#ip ftp password aloha
Router(config)#ip ftp source-interface e0
Router(config)#exception protocol ftp
对RCP协议的配置:
Router(config)#exception protocol rcp
Router(config)#exception dump 192.168.1.1 ;RCP服务器的IP地址
Router(config)#ip rcmd remote-username Kevin
Router(config)#ip rcmd rcp-enable
Router(config)#ip rcmd rsh-enable
Router(config)#ip rcmd remote-host Kevin 192.168.1.1 kevin ;
2) 在系统没有崩溃的情况下,执行Core Dump命令。
Router#write core
Core Dump仅在Cisco工程师测试和解决路由器问题时有用。
5、ping命令
ping用于测试整个网络可达性和连通性。可在用户EXEC模式和特权EXEC模式下使用。
IP的ping使用ICMP协议提供连通性和可能性信息,缺省只发送5个echo信息。
扩展Ping的选项有:源IP地址;服务类型;数据;包头选项。
Ping的响应字符集
字符 解释 字符 解释
! Received an echo-reply message Q Source quench
. Timeout M Unable to fragment
U/H Destination unreachable A Administratively denied
N Network unreachable ? Unknown packet-type
P Protocol unreachable
6、traceroute命令
traceroute用于显示到达目标的包路径。可在用户模式和特权模式下使用。
Traceroute的响应:
字符 解释 字符 解释
Xx msec The RTT for each packet * Timeout
H Host unreachable U Port unreachable
N Network unreachable P Protocol unreachable
A Administratively denied Q Source quench
? Unknown packet type
二、LAN连接问题
1、获得IP地址
主机可以动态或静态获得IP地址。
1) DHCP:DHCP比BootP多了地址池和租期。
2) BootP:
3) Helper Addresses:指定集中放置的DHCP服务器的IP地址
Ip helperaddress ip-address ;
No ip forward-protocol udp 137 ;
4) 路由器上的DHCP服务:配置路由器为一台DHCP服务器
5) DHCP和BootP故障处理
Show dhcp server ;
Show dhcp lease ;
2、ARP
ARP映射第2层MAC地址到第3层地址。
Show arp ;显示路由器的ARP表
Debug arp ;
1) ARP代理:缺省Cisco路由器的ARP代理是启用的
在下列情况下,CISCO路由器将用自身的MAC地址响应ARP请求:
? 接收到ARP的接口上的Proxy ARP是启用的;
? ARP请求的地址不在本地子网;
? 路由器的路由表中包含ARP请求地址的子网;
3、TCP连接示例
三、IP访问列表
1、标准ACL:基于IP包的源IP地址允许或禁用
2、扩展ACL:提供源地址、目标地址、端口号、会话层协议进行过滤。
3、命名ACL:可以是标准ACL,也可以是扩展ACL。
命名ACL与编号ACL的区别:命名ACL有一个逻辑名,可以删除命名ACL中单独一行。
Ip access-list extended Example-Named-ACL
Deny tcp any any eq echo
Deny tcp any any eq 37
Permit udp host 172.16.10.2 any eq snmp
Permit tcp any any
第6章 TCP/IP路由协议故障处理
一、缺省网关
当包的目的地址不在路由器的路由表中,如路由器配置了缺省网关,则转发到缺省网关,否则就丢弃。
Show ip route ;查看Cisco路由器的缺省网关
二、静态和动态路由
三、处理k_protocal/04937.htm" target="_blank"RIP故障
RIP是距离矢量路由协议,度量值是跳数。RIP最大跳数为15,如果到目标的跳数超过15,则为不可达。
RIP V1是有类别路由协议,RIP V2是非分类路由协议,支持CIDR、路由归纳、VLSM,使用多播(224.0.0.9)发送路由更新。
RIP相关的show命令:
Show ip route rip ;仅显示RIP路由表
Show ip route ;显示所有IP路由表
Show ip interface ;显示IP接口配置
Show running-config
Debug ip rip events ;
常见的RIP故障:RIP版本不一致、RIP使用UDP广播更新
四、处理IGRP故障
IGRP是Cisco专用路由协议,距离矢量协议。IGRP的度量值可以基于五个要素:带宽、延时、负载、可靠性、MTU,缺省只使用带宽和延时。
IGRP相关的show命令:
Show ip route igrp ;显示IGRP路由表
Debug ip igrp events ;
Debug ip igrp transactions ;
常见的IGRP故障:访问列表、不正确的.配置、到相邻路由器的line down
五、处理EIGRP故障
EIGRP是链路状态协议和距离矢量混合协议,是CISCO专用路由协议。EIGRP使用多播地址224.0.0.10发送路由更新,使用DUAL算法计算路由。EIGRP的度量值可以基于带宽、延时、负载、可靠性、MTU,缺省仅使用带宽和延时。
EIGRP使用3种数据库:路由数据库、拓扑数据库、相邻路由器数据库。
EIGRP相关的show命令:
Show running-config
Show ip route
Show ip route eigrp ;仅显示EIGRP路由
Show ip eigrp interface ;显示该接口的对等体信息
Show ip eigrp neighbors ;显示所有的EIGRP邻居及其信息
Show ip eigrp topology ;显示EIGRP拓扑结构表的内容
Show ip eigrp traffic ;显示EIGRP路由统计的归纳
Show ip eigrp events ;显示最近的EIGRP协议事件记录
EIGRP相关的debug命令:
Debug ip eigrp as号
Debug ip eigrp neighbor
Debug ip eigrp notifications
Debug ip eigrp summary
Debug ip eigrp
常见的EIGRP故障:相邻关系、缺省网关等的丢失、老版本IOS的路由、stuck in active。
处理EIGRP故障时,先用show ip eigrp neighbors查看所有相邻路由器,然后再用show ip route gigrp查看路由器的路由表,再用show ip eigrp topology查看路由器的拓扑结构表,也可用show ip eigrp traffic查看路由更新是否被发送。
六、处理OSPF故障
OSPF是链路状态协议,维护3个数据库:相邻数据库、拓扑结构数据库、路由表。
OSPF相关的show命令:
Show running-config
Show ip route
Show ip route ospf ;仅显示OSPF路由
Show ip ospf process-id ;显示与特定进程ID相关的信息
Show ip ospf ;显示OSPF相关信息
Show ip ospf border-routers ;显示边界路由器
Show ip ospf database ;显示OSPF的归纳数据库
思科路由show processes cpu看不出来哪些进程占用CPU高,但CPU使用率却是99%,请高手指点。
你的路由可能被攻击了,最好把路由器恢复到出厂设置,在重新设置下,另外就是检查下端口,对端口进行监控,观察一段时间看下
你看下show processes cpu | exclude 0.00%
然后看看那个线程CPU usage会比较高...
不知道有没有loop....
检测下有没有环路
再就是用排除法来分析了
把端口逐个断开,观察cpu利用率,很快就能找出故障的端口。或者进一步用排除发找出网络分支上的故障点。
1、判断故障原因
原理上,是在路由器上创建一个permit ip any any的access-list(访问列表),然后,把这个acl应用到故障端口上,打开ip包的debug,分析故障原因。例子如下:
1.1创建一个access-list ,允许ip包通过
route(config)# access-list 120 permit ip any any
1.2把此acl应用的故障端口上
route((config-if)#ip access-group 120 in
这样做的目的是因为,下面要打开debug,就是要根据这个acl,来抓通过这个端口的包。
1.3打开debug进行抓包
route#debug ip packet 120
debug应该在console上进行
1.4停止debug
route#no debug all
注意debug可能会把路由器冲死,所以应该尽快停止。
1.5分析抓到的包
抓到的包,可以分析出原地址,目的地址,源端口,目的端口,用于判断故障的根源。
当然,有时遇到攻击软件,会用IP欺骗的方式进行攻击,例如下面看到的抓包信息
2:54:56: IP:
s=180.93.127.229 (FastEthernet0/0), d=193.151.73.76 (FastEthernet0
1), g=211.138.74.97, len 40, forward
2:54:56: TCP src=1232, dst=80, seq=1632305152, ack=0, win=16384 SYN
2:54:56: IP: s=180.93.128.205 (FastEthernet0/0), d=193.151.73.76 (FastEthernet0
1), g=211.138.74.97, len 40, forward
2:54:56: TCP src=1839, dst=80, seq=1144193024, ack=0, win=16384 SYN
2:54:56: IP: s=180.93.129.212 (FastEthernet0/0), d=193.151.73.76 (FastEthernet0
1), g=211.138.74.97, len 40, forward
2:54:56: TCP src=1116, dst=80, seq=1918435328, ack=0, win=16384 SYN
2:54:56: IP: s=180.93.130.223 (FastEthernet0/0), d=193.151.73.76 (FastEthernet0
1), g=211.138.74.97, len 40, forward
2:54:56: TCP src=1302, dst=80, seq=1559429120, ack=0, win=16384 SYN
上面这个例子可以看出,攻击行为用虚拟源地址180.x.x.x想目的地址192.151.73.76发包,这些包都被发到了网关,也就是路由器的FastEthernet0/0。
2、解决方法
首先,当然应该先找到罪魁祸首,如果在路由器上debug不是很清晰能找出故障源,就用sniffer或者ethereal这样的抓包工具找出那台机器。
另外,在路由器上,也可以针对攻击的特性,做访问列表,关闭相关的端口。
下面是在路由器上一个典型的acl
! --- 禁止ICMP协议
access-list 115 deny icmp any any echo
access-list 115 deny icmp any any echo-reply
! --- 禁止冲击波135端口的数据包.
access-list 115 deny tcp any any eq 135
access-list 115 deny udp any any eq 135
access-list 115 deny udp any any eq 4444
! --- 禁止TFTP应用的端口的数据包
access-list 115 deny udp any any eq 69
! --- 禁止其他微软的有漏洞的协议端口.
access-list 115 deny udp any any eq 137
access-list115denyudpanyanyeq138
access-list115denytcpanyanyeq139
access-list115denyudpanyanyeq139
access-list115denytcpanyanyeq445
access-list115denytcpanyanyeq593
! --- 允许其他的IP包通过路由器端口.
access-list 115 permit ip any any
! --- 把以上的访问列表应用的端口上.
interface
ip access-group 115 in
ip access-group 115 out
另外还有和你一样有故障的人的结局方法:你可以参考下
1. IP
NAT导致路由器cpu利用率高的情况比较常见,查了nat表 发现我的静态映射条目只有5个不算多 这个应该不需要考虑
2.
在inside、outside端口增加no ip redirect和no ip
direct-broadcast等语句以减少cpu处理的数据包,这个是非常重要的一步,很多时候,路由器死机就是因为没有做这一步防范
3.
启用了service tcp-keepalive-in功能和scheduler process-watchdog
terminat功能,开启了看门狗进程,检查已经建立的tcp连接,如果发生不激活或者长时间挂起的情况,立刻中断这个连接。个人认为只对路由器自身发
起的链接有效,
4. 使用no ip source-route命令关于对于源ip地址的路由检查,这个避免了不必要的资源占用
5.
关闭一些不需要的服务 比如 no ip finger ,no service tcp-small-servers,no service
udp-small-servers等等
6. 关闭对直接广播的转发 no ip direct-broadcast
这样可以防治路由器对一些大量的广播包进行应答
7. 关闭了路由器的http服务
8. 关闭cdp服务
9.
最后一个,就是在路由器的outside口上,加上acl来防止一些主要的工具,在网上看了下,这个acl比较全
access-list 101 deny
tcp anyanyeq 135
access-list 101 deny tcp any any eq 139
access-list 101
deny tcp any any eq 389
access-list 101 deny tcp any any eq
420
access-list 101 deny tcp any any eq 445
access-list 101 deny tcp any
any eq 449
access-list 101 deny tcp any any eq 593
access-list 101 deny
tcp any any eq 1025
access-list 101 deny tcp any any eq 1092
access-list
101 deny tcp any any eq 1434
access-list 101 deny tcp any any eq
2745
access-list 101 deny tcp any any eq 3127
access-list 101 deny tcp any
any eq 4444
access-list 101 deny tcp any any eq 5354
access-list 101 deny
tcp any any eq 5554
access-list 101 deny tcp any any eq 5555
access-list
101 deny tcp any any eq 5800
access-list 101 deny tcp any any eq
5900
access-list 101 deny tcp any any eq 6129
access-list 101 deny tcp any
any eq 6667
access-list 101 deny tcp any any eq 9604
access-list 101 deny
tcp any any eq 9995
access-list 101 deny tcp any any eq 9996
access-list
101 deny tcp any any eq 16881
access-list 101 deny tcp any any eq
20168
access-list 101 deny udp any any eq 135
access-list 101 deny udp any
any eq netbios-ns
access-list 101 deny udp any any eq
netbios-dgm
access-list 101 deny udp any any eq 389
access-list 101 deny
udp any any eq 445
access-list 101 deny udp any any eq 449
access-list 101
deny udp any any eq 1068
access-list 101 deny udp any any eq
1092
access-list 101 deny udp any any eq 1433
access-list 101 deny udp any
any eq 1434
access-list 101 deny udp any any eq 5300
access-list 101 deny
udp any any eq 5554
access-list 101 deny udp any any eq 5800
access-list
101 deny udp any any eq 6667
access-list 101 deny udp any any eq
7995
access-list 101 deny udp any any eq 9800
access-list 101 deny udp any
any eq 16881
access-list 101 deny udp any any eq 20168
access-list 101
deny udp any any eq tftp
access-list 101 deny udp any any eq
netbios-ss
access-list 101 permit ip any any
查看cisco路由器cpu温度,具体命令是什么?
show environment all 查看温度
netemu-core1#show environment all
Power Supplies:
Power Supply 1 is Zytek AC Power Supply. Unit is on.
Power Supply 2 is empty.
Temperature readings:
NPE Inlet measured at 20C/68F
NPE Outlet measured at 23C/73F
CPU Die measured at 39C/102F
Voltage readings:
+3.30 V measured at +3.26 V
+1.50 V measured at +1.48 V
+2.50 V measured at +2.48 V
+1.80 V measured at +1.79 V
+1.20 V measured at +1.19 V
VDD_CPU measured at +1.27 V
VDD_MEM measured at +2.46 V
VTT measured at +1.24 V
+3.45 V measured at +3.39 V
-11.95 measured at -11.89 V
+5.15 V measured at +4.96 V
+12.15 V measured at +12.07 V
Envm stats saved 0 time(s) since reload
思科路由器怎么查看cpu利用率?
show process cpu,可以拉出详单,所有进程占用的比率,三列百分比数字分别是5秒,1分钟和5分钟的情况。show process cpu history,看简报,有三个输出分别是过去60秒,60分钟和72小时的大致情况。
路由器的cpu使用率 :100%怎么解决:
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上。
2、设置静态的MAC--IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用""proxy""代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。
思科路由器查看cpu的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于思科路由器查看日志、思科路由器查看cpu的信息别忘了在本站进行查找喔。
