-
مشکل: CPU Load
سلام
مرسی از این سایت جذاب
من از As5300 هشت E1 استفاده میکنم که 64 تا رم داره و 4 تا از E1 هاش رو فعال کردم ولی متاسفانه همش سی پی یو لودم بالاست و بخاطر همین هم برای User ها که می خوان وصل شن خطای 718 میگیره .و Ping این روتر هم خیلی بالا میره . توی اکانتینگ که نگاه میکنم میبینم که send بعضی از User بالاست یعنی ویروسی هستند . وقتی اون User ها رو قطع می کنم تا حدودی خوب میشه .می خواستم بدونم ئستوری هست که بتونم port های اضافه و ویروسی رو از توی As5300 ببندم و سی پی یو ود رو پائین بیارم .
در ضمن این access-list ها رو هم دارم
لطفا من رو راهنمائی کنید.
با تشکر
access-list 15 permit 100.10.10.2
access-list 100 permit tcp x.x.X.0 0.0.0.255 any eq www
access-list 100 deny ip any any
access-list 130 permit icmp any any echo
access-list 130 permit icmp any any echo-reply
access-list 130 deny icmp any any
access-list 135 deny tcp any any eq 135
access-list 135 deny udp any any eq 135
access-list 135 deny tcp any any eq 139
access-list 135 deny udp any any eq 445
access-list 135 deny tcp any any eq 445
access-list 135 deny udp any any eq 1434
access-list 135 permit ip any any
access-list 150 deny tcp any any eq 135
access-list 150 deny tcp any any eq 139
access-list 150 deny tcp any any eq 445
access-list 150 deny tcp any any eq 593
access-list 150 deny tcp any any eq 1214
access-list 150 deny tcp any any eq 2535
access-list 150 deny tcp any any eq 2745
access-list 150 deny tcp any any eq 4444
access-list 150 deny tcp any any eq 5554
access-list 150 deny tcp any any eq 6129
access-list 150 deny tcp any any eq 9996
access-list 150 deny tcp any any range 1022 1025
access-list 150 deny tcp any any range 1035 1037
access-list 150 deny udp any any range 135 netbios-ss
access-list 150 deny udp any any eq 1434
access-list 150 permit ip any any
-
acc هاتون تقريباً كامل هست. فقط براي اينكه بتونم بهتر كمكتون كنم access-group هاي in و out خودتونم با interface يا serial كه تعريف شده اينجا بگذاريد.
-
سلام
کانفیگ روتر به قرار زیره
sh
AS5300#show run
Building configuration...
Current configuration : 6774 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXXXXXX
!
boot system tftp c5300-js-mz122-10a.bin x.x.x.x
aaa new-model
aaa authentication ppp isputil group radius local
aaa authorization network isputil group radius local
aaa accounting update newinfo periodic 1
aaa accounting network isputil start-stop group radius
enable secret 5 $1$t6X8$.VtsZuKs/DKpZ39lmbrxF.
!
username XXXXXXX password 7 XXXXX
username XXXXXXXXX password 7 XXXXX
spe 1/0 2/9
firmware location system:/ucode/mica_port_firmware
!
!
resource-pool disable
!
call rsvp-sync
ip subnet-zero
ip name-server X.X.X.X
ip name-server 192.9.9.3
!
ip cef
isdn switch-type primary-net5
isdn voice-call-failure 0
!
!
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 0
framing NO-CRC4
ds0-group 1 timeslots 1-15,17-31 type r2-digital
--cas-custom 1
!
controller E1 1
framing NO-CRC4
clock source line secondary 1
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
controller E1 2
framing NO-CRC4
clock source line secondary 2
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
controller E1 3
shutdown
clock source line secondary 1
pri-group timeslots 1-31
!
controller E1 4
framing NO-CRC4
clock source line secondary 4
ds0-group 1 timeslots 1-15,17-31 type r2-digital
--cas-custom 1
!
controller E1 5
framing NO-CRC4
clock source line secondary 5
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
controller E1 6
shutdown
framing NO-CRC4
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
controller E1 7
shutdown
framing NO-CRC4
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
!
!
interface Ethernet0
--no ip address
no ip mroute-cache
shutdown
!
interface Serial0
no ip address
no ip mroute-cache
load-interval 30
shutdown
no fair-queue
clockrate 2015232
!
interface Serial1
no ip address
ip nat outside
no ip mroute-cache
shutdown
no fair-queue
clockrate 2015232
!
interface Serial2
no ip address
no ip mroute-cache
--shutdown
no fair-queue
clockrate 2015232
!
interface Serial3
no ip address
no ip mroute-cache
shutdown
no fair-queue
clockrate 2015232
!
interface Serial3:15
ip unnumbered FastEthernet0
encapsulation ppp
ip mroute-cache
dialer idle-timeout 0
isdn switch-type primary-net5
isdn incoming-voice modem
isdn map address .* plan isdn type unknown
isdn send-alerting
isdn sending-complete
peer default ip address pool validpool
ppp authentication pap isputil
-- ppp accounting isputil
ppp multilink
!
interface FastEthernet0
ip address X.X.X.X 255.255.255.0 secondary
ip address 100.100.10.1 255.255.255.0
no ip mroute-cache
load-interval 30
duplex auto
speed auto
no cdp enable
!
interface Group-Async1
ip unnumbered FastEthernet0
ip access-group 135 in
encapsulation ppp
ip tcp header-compression
no ip mroute-cache
ip policy route-map cache-nachi
async mode interactive
peer default ip address pool validpool
no fair-queue
compress mppc
--ppp authentication pap isputil
ppp authorization isputil
ppp accounting isputil
group-range 1 120
!
interface Group-Async2
ip unnumbered FastEthernet0
ip access-group 135 in
encapsulation ppp
ip tcp header-compression
no ip mroute-cache
ip policy route-map cache-nachi
async mode interactive
peer default ip address pool validpool
no fair-queue
compress mppc
ppp authentication pap isputil
ppp authorization isputil
ppp accounting isputil
group-range 121 240
!
ip local pool validpool 217.219.X.x 217.219.X.x
ip classless
ip route 0.0.0.0 0.0.0.0 217.219.X.X
ip route 217.219.X.0 255.255.255.0 FastEthernet0
no ip http server
ip pim bidir-enable
!
access-list 15 permit 100.100.10.2
access-list 100 permit tcp 217.219.X.0 0.0.0.255 any eq www
access-list 100 deny ip any any
access-list 130 permit icmp any any echo
access-list 130 permit icmp any any echo-reply
access-list 130 deny icmp any any
access-list 135 deny tcp any any eq 135
access-list 135 deny udp any any eq 135
access-list 135 deny tcp any any eq 139
access-list 135 deny udp any any eq 445
access-list 135 deny tcp any any eq 445
access-list 135 deny udp any any eq 1434
access-list 135 permit ip any any
access-list 150 deny tcp any any eq 135
access-list 150 deny tcp any any eq 139
access-list 150 deny tcp any any eq 445
access-list 150 deny tcp any any eq 593
access-list 150 deny tcp any any eq 1214
access-list 150 deny tcp any any eq 2535
access-list 150 deny tcp any any eq 2745
access-list 150 deny tcp any any eq 4444
access-list 150 deny tcp any any eq 5554
access-list 150 deny tcp any any eq 6129
access-list 150 deny tcp any any eq 9996
access-list 150 deny tcp any any range 1022 1025
access-list 150 deny tcp any any range 1035 1037
access-list 150 deny udp any any range 135 netbios-ss
access-list 150 deny udp any any eq 1434
access-list 150 permit ip any any
route-map cache-nachi permit 5
match ip address 130
match length 90 4096
set interface Null0
!
route-map cache-nachi permit 10
match ip address 100
set ip next-hop 217.219.X.x
!
route-map cache permit 5
match ip address 100
set ip next-hop 217.219.X.x
!
!
snmp-server community public RW 15
--snmp-server community SHABNAM RO
--snmp-server enable traps tty
--radius-server host 192.168.10.2 auth-port 2222 acct-port 2223
radius-server retransmit 5
--radius-server key 7 12485744
!
!
--line con 0
-- exec-timeout 0 0
--logging synchronous
--line 1 240
--M no flush-at-activation
-- modem Dialin
--modem autoconfigure discovery
--autocommand ppp
-- transport preferred none
- transport input all
-- autoselect during-login
-- autoselect ppp
--line aux 0
line vty 0
password XXXXXXXXXXXXXXXXXXXXXXXXXX
line vty 1 4
password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
end
AS5300#
-
دوست عزيز مشكل در تعريف كردن acc هاي شماست. interface Group-Async1 و interface Group-Async1 كه acc 135 در آنها in شده كاري جز بالا بردن Cpu Load انجام نميده.
شما بايد acc ها را از interface Group-Async1 و interface Group-Async1 حذف كنيد و آنها را بصورت يكجا مثلاً در interface FastEthernet0 خودتون به صورت 135 in و 150 out تعريف كنيد. اينطوري همه چيز به حالت نرمال بر مي گرده.
-
سلام
مرسی از راهنمائیتون
میشه بگین یعنی دقیقا باید از چه دستور هائی استفاده کنم .
متشکرم
-
عزيز من خودت يكم برو دنبالش، خيلي بيشتر لذت مي بري. نتيجه كار رو هم اينجا بگو.
من براي تكميل شدن كار كمكت مي كنم.
-
البته تو Interface serial هم می تونی.
پیشنهاد من اونجاست.
-
دقيقاً. interface Serial3:15 هم جاي خوبيه.
-
[right]پورتهای 135 تا 139 و 445 و 593 و 1434 و 4444 TCP و پورتهای 1434 995-999 UDP روببندی کافیه بعضی از پورتهایی که بستی بنظر من اضافه است
البته Finger و Telnet رو هم ببندی بد نیست
[/right]
-
ممنون از راهنمائیتون
cpu Load داره من رو دیوونه میکنه . لطفا بیشتر راهنمائی کنید. اگر براتون امکان داره . من از سریال های این رو تر استفاده نمیکنم .
فقط از Fast Eth اسفاده میکنم . میتونم از اونجا ببندم ؟
interface FastEthernet0
ip address 217.219.X.x 255.255.255.0 secondary
ip address 100.100.10.1 255.255.255.0
ip access-group 135 in
ip access-group 150 out
no ip mroute-cache
load-interval 30
duplex auto
speed auto
no cdp enable
حالا درست شد ؟
-
-
interface FastEthernet0
ip address 217.219.X.x 255.255.255.0 secondary
ip address 100.100.10.1 255.255.255.0
ip access-group 135 in
ip access-group 150 out
no ip mroute-cache
load-interval 30
duplex auto
speed auto
no cdp enable
الان این کانفیگ که انجام دادم درسته ؟
-
الآن كاملاً درسته. فقط بايد محدوديت access-group رو از روي interface Group-Async1 و interface Group-Async1 برداري.
-----
موفق باشيد
-
دوست عزیزم سلام..
قبل از هر چیزی دستور
sh prco cpu
رو استفاده کنید و ببینید چه Taskی هست که CPU شما رو اشغال میکنه!!
اگر IP INPUT باعث بالا رفتن CPU شده اونوقت مشکل تویه Access-List ها دارید.
موفق باشید
-
[left]من از cpu گزارش گرفتم که به شرح زیر هست .[/left]
بیشترین درگیری ها به ترتیب برای
30.28% 0 IP Input
22.26% 0 TTY Background
10.89% 0 CCP manager
نظرتون چیه ؟