مشکل: CPU Load

Printable View

2005-08-24, 10:33 PM
kopoly

مشکل: CPU Load

سلام
مرسی از این سایت جذاب
من از As5300 هشت E1 استفاده میکنم که 64 تا رم داره و 4 تا از E1 هاش رو فعال کردم ولی متاسفانه همش سی پی یو لودم بالاست و بخاطر همین هم برای User ها که می خوان وصل شن خطای 718 میگیره .و Ping این روتر هم خیلی بالا میره . توی اکانتینگ که نگاه میکنم میبینم که send بعضی از User بالاست یعنی ویروسی هستند . وقتی اون User ها رو قطع می کنم تا حدودی خوب میشه .می خواستم بدونم ئستوری هست که بتونم port های اضافه و ویروسی رو از توی As5300 ببندم و سی پی یو ود رو پائین بیارم .
در ضمن این access-list ها رو هم دارم
لطفا من رو راهنمائی کنید.
با تشکر

access-list 15 permit 100.10.10.2
access-list 100 permit tcp x.x.X.0 0.0.0.255 any eq www
access-list 100 deny ip any any
access-list 130 permit icmp any any echo
access-list 130 permit icmp any any echo-reply
access-list 130 deny icmp any any
access-list 135 deny tcp any any eq 135
access-list 135 deny udp any any eq 135
access-list 135 deny tcp any any eq 139
access-list 135 deny udp any any eq 445
access-list 135 deny tcp any any eq 445
access-list 135 deny udp any any eq 1434
access-list 135 permit ip any any
access-list 150 deny tcp any any eq 135
access-list 150 deny tcp any any eq 139
access-list 150 deny tcp any any eq 445
access-list 150 deny tcp any any eq 593
access-list 150 deny tcp any any eq 1214
access-list 150 deny tcp any any eq 2535
access-list 150 deny tcp any any eq 2745
access-list 150 deny tcp any any eq 4444
access-list 150 deny tcp any any eq 5554
access-list 150 deny tcp any any eq 6129
access-list 150 deny tcp any any eq 9996
access-list 150 deny tcp any any range 1022 1025
access-list 150 deny tcp any any range 1035 1037
access-list 150 deny udp any any range 135 netbios-ss
access-list 150 deny udp any any eq 1434
access-list 150 permit ip any any
2005-08-24, 10:58 PM
masood_y

acc هاتون تقريباً كامل هست. فقط براي اينكه بتونم بهتر كمكتون كنم access-group هاي in و out خودتونم با interface يا serial كه تعريف شده اينجا بگذاريد.
2005-08-25, 08:19 AM
kopoly

سلام
کانفیگ روتر به قرار زیره

sh
AS5300#show run
Building configuration...
Current configuration : 6774 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXXXXXX
!
boot system tftp c5300-js-mz122-10a.bin x.x.x.x
aaa new-model
aaa authentication ppp isputil group radius local
aaa authorization network isputil group radius local
aaa accounting update newinfo periodic 1
aaa accounting network isputil start-stop group radius
enable secret 5 $1$t6X8$.VtsZuKs/DKpZ39lmbrxF.
!
username XXXXXXX password 7 XXXXX
username XXXXXXXXX password 7 XXXXX
spe 1/0 2/9
firmware location system:/ucode/mica_port_firmware
!
!
resource-pool disable
!
call rsvp-sync
ip subnet-zero
ip name-server X.X.X.X
ip name-server 192.9.9.3
!
ip cef
isdn switch-type primary-net5
isdn voice-call-failure 0
!
!
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 0
framing NO-CRC4
ds0-group 1 timeslots 1-15,17-31 type r2-digital
--cas-custom 1
!
controller E1 1
framing NO-CRC4
clock source line secondary 1
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
controller E1 2
framing NO-CRC4
clock source line secondary 2
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
controller E1 3
shutdown
clock source line secondary 1
pri-group timeslots 1-31
!
controller E1 4
framing NO-CRC4
clock source line secondary 4
ds0-group 1 timeslots 1-15,17-31 type r2-digital
--cas-custom 1
!
controller E1 5
framing NO-CRC4
clock source line secondary 5
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
controller E1 6
shutdown
framing NO-CRC4
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
controller E1 7
shutdown
framing NO-CRC4
ds0-group 1 timeslots 1-15,17-31 type r2-digital
cas-custom 1
!
!
!
interface Ethernet0
--no ip address
no ip mroute-cache
shutdown
!
interface Serial0
no ip address
no ip mroute-cache
load-interval 30
shutdown
no fair-queue
clockrate 2015232
!
interface Serial1
no ip address
ip nat outside
no ip mroute-cache
shutdown
no fair-queue
clockrate 2015232
!
interface Serial2
no ip address
no ip mroute-cache
--shutdown
no fair-queue
clockrate 2015232
!
interface Serial3
no ip address
no ip mroute-cache
shutdown
no fair-queue
clockrate 2015232
!
interface Serial3:15
ip unnumbered FastEthernet0
encapsulation ppp
ip mroute-cache
dialer idle-timeout 0
isdn switch-type primary-net5
isdn incoming-voice modem
isdn map address .* plan isdn type unknown
isdn send-alerting
isdn sending-complete
peer default ip address pool validpool
ppp authentication pap isputil
-- ppp accounting isputil
ppp multilink
!
interface FastEthernet0
ip address X.X.X.X 255.255.255.0 secondary
ip address 100.100.10.1 255.255.255.0
no ip mroute-cache
load-interval 30
duplex auto
speed auto
no cdp enable
!
interface Group-Async1
ip unnumbered FastEthernet0
ip access-group 135 in
encapsulation ppp
ip tcp header-compression
no ip mroute-cache
ip policy route-map cache-nachi
async mode interactive
peer default ip address pool validpool
no fair-queue
compress mppc
--ppp authentication pap isputil
ppp authorization isputil
ppp accounting isputil
group-range 1 120
!
interface Group-Async2
ip unnumbered FastEthernet0
ip access-group 135 in
encapsulation ppp
ip tcp header-compression
no ip mroute-cache
ip policy route-map cache-nachi
async mode interactive
peer default ip address pool validpool
no fair-queue
compress mppc
ppp authentication pap isputil
ppp authorization isputil
ppp accounting isputil
group-range 121 240
!
ip local pool validpool 217.219.X.x 217.219.X.x
ip classless
ip route 0.0.0.0 0.0.0.0 217.219.X.X
ip route 217.219.X.0 255.255.255.0 FastEthernet0
no ip http server
ip pim bidir-enable
!
access-list 15 permit 100.100.10.2
access-list 100 permit tcp 217.219.X.0 0.0.0.255 any eq www
access-list 100 deny ip any any
access-list 130 permit icmp any any echo
access-list 130 permit icmp any any echo-reply
access-list 130 deny icmp any any
access-list 135 deny tcp any any eq 135
access-list 135 deny udp any any eq 135
access-list 135 deny tcp any any eq 139
access-list 135 deny udp any any eq 445
access-list 135 deny tcp any any eq 445
access-list 135 deny udp any any eq 1434
access-list 135 permit ip any any
access-list 150 deny tcp any any eq 135
access-list 150 deny tcp any any eq 139
access-list 150 deny tcp any any eq 445
access-list 150 deny tcp any any eq 593
access-list 150 deny tcp any any eq 1214
access-list 150 deny tcp any any eq 2535
access-list 150 deny tcp any any eq 2745
access-list 150 deny tcp any any eq 4444
access-list 150 deny tcp any any eq 5554
access-list 150 deny tcp any any eq 6129
access-list 150 deny tcp any any eq 9996
access-list 150 deny tcp any any range 1022 1025
access-list 150 deny tcp any any range 1035 1037
access-list 150 deny udp any any range 135 netbios-ss
access-list 150 deny udp any any eq 1434
access-list 150 permit ip any any
route-map cache-nachi permit 5
match ip address 130
match length 90 4096
set interface Null0
!
route-map cache-nachi permit 10
match ip address 100
set ip next-hop 217.219.X.x
!
route-map cache permit 5
match ip address 100
set ip next-hop 217.219.X.x
!
!
snmp-server community public RW 15
--snmp-server community SHABNAM RO
--snmp-server enable traps tty

--radius-server host 192.168.10.2 auth-port 2222 acct-port 2223
radius-server retransmit 5
--radius-server key 7 12485744
!
!
--line con 0
-- exec-timeout 0 0
--logging synchronous
--line 1 240
--M no flush-at-activation
-- modem Dialin
--modem autoconfigure discovery
--autocommand ppp
-- transport preferred none
- transport input all
-- autoselect during-login
-- autoselect ppp
--line aux 0
line vty 0
password XXXXXXXXXXXXXXXXXXXXXXXXXX
line vty 1 4
password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
end
AS5300#
2005-08-25, 09:46 AM
masood_y

دوست عزيز مشكل در تعريف كردن acc هاي شماست. interface Group-Async1 و interface Group-Async1 كه acc 135 در آنها in شده كاري جز بالا بردن Cpu Load انجام نميده.
شما بايد acc ها را از interface Group-Async1 و interface Group-Async1 حذف كنيد و آنها را بصورت يكجا مثلاً در interface FastEthernet0 خودتون به صورت 135 in و 150 out تعريف كنيد. اينطوري همه چيز به حالت نرمال بر مي گرده.
2005-08-25, 12:24 PM
kopoly

سلام
مرسی از راهنمائیتون
میشه بگین یعنی دقیقا باید از چه دستور هائی استفاده کنم .
متشکرم
2005-08-25, 12:29 PM
masood_y

عزيز من خودت يكم برو دنبالش، خيلي بيشتر لذت مي بري. نتيجه كار رو هم اينجا بگو.
من براي تكميل شدن كار كمكت مي كنم.
2005-08-25, 12:53 PM
milad22

البته تو Interface serial هم می تونی.
پیشنهاد من اونجاست.
2005-08-25, 03:52 PM
masood_y

دقيقاً. interface Serial3:15 هم جاي خوبيه.
2005-08-25, 08:51 PM
y_yavari

[right]پورتهای 135 تا 139 و 445 و 593 و 1434 و 4444 TCP و پورتهای 1434 995-999 UDP روببندی کافیه بعضی از پورتهایی که بستی بنظر من اضافه است
البته Finger و Telnet رو هم ببندی بد نیست

[/right]
2005-08-25, 09:43 PM
kopoly

ممنون از راهنمائیتون
cpu Load داره من رو دیوونه میکنه . لطفا بیشتر راهنمائی کنید. اگر براتون امکان داره . من از سریال های این رو تر استفاده نمیکنم .
فقط از Fast Eth اسفاده میکنم . میتونم از اونجا ببندم ؟

interface FastEthernet0
ip address 217.219.X.x 255.255.255.0 secondary
ip address 100.100.10.1 255.255.255.0
ip access-group 135 in
ip access-group 150 out
no ip mroute-cache
load-interval 30
duplex auto
speed auto
no cdp enable

حالا درست شد ؟
2005-08-25, 10:48 PM
milad22

بله که می تونی عزیز
2005-08-26, 04:29 PM
kopoly

interface FastEthernet0
ip address 217.219.X.x 255.255.255.0 secondary
ip address 100.100.10.1 255.255.255.0
ip access-group 135 in
ip access-group 150 out
no ip mroute-cache
load-interval 30
duplex auto
speed auto
no cdp enable

الان این کانفیگ که انجام دادم درسته ؟
2005-08-27, 08:55 AM
masood_y

الآن كاملاً درسته. فقط بايد محدوديت access-group رو از روي interface Group-Async1 و interface Group-Async1 برداري.

-----
موفق باشيد
2005-08-27, 09:41 AM
sdsl

دوست عزیزم سلام..

قبل از هر چیزی دستور

sh prco cpu

رو استفاده کنید و ببینید چه Taskی هست که CPU شما رو اشغال میکنه!!

اگر IP INPUT باعث بالا رفتن CPU شده اونوقت مشکل تویه Access-List ها دارید.

موفق باشید
2005-08-27, 08:35 PM
kopoly

[left]من از cpu گزارش گرفتم که به شرح زیر هست .[/left]

بیشترین درگیری ها به ترتیب برای
30.28% 0 IP Input
22.26% 0 TTY Background
10.89% 0 CCP manager

نظرتون چیه ؟
2005-08-29, 10:20 AM
ssa1357

یک تجربه

سلام

اجازه بدین چیزی که خودم تجربه کردم بگم. اکسس لیست بار کمی رو cpu میذاره. شما compress mppc رو از اینترفیس Group-Async بردارید مطمئنا بار سی پی یو به اندازه قابل ملاحظه ای کم میشه.
2005-08-30, 09:01 AM
masood_y

مورد compress mppc رو من باهاش برخورد نكردم. اما در هر صورت حذفش كنيد ببينيد تاثيري داره يا نه؟
نتيجه رو اينجا بنويسيد تا بتونيم كمك كنيم به شما.
2005-08-30, 09:30 AM
ssa1357

این طور بگم ما تو یکی از سایتهامون cpu load 5300 حدود 4 ساعت به 100 درصد می رسید با حذف compress mppc الان حداکثر به 25 درصد می رسه. با همون بار و همون شرایط . :) :rolleyes:
2005-08-30, 10:43 AM
milad22

[QUOTE=ssa1357]این طور بگم ما تو یکی از سایتهامون cpu load 5300 حدود 4 ساعت به 100 درصد می رسید با حذف compress mppc الان حداکثر به 25 درصد می رسه. با همون بار و همون شرایط . :) :rolleyes:[/QUOTE]

ممنون از اینکه تجربتون رو در اختیار دیگران قرار دادید.
2005-08-30, 11:41 AM
ssa1357

بابا من از بروبکس قدیمی این فرمم اینجا خیلی چیزا یاد گرفتم ولی الان یه مدت که نمیتونم سر بزنم اینجا :( خلاصه ما مخلص استادامونیم
2005-08-30, 10:46 PM
kopoly

سلام
مرسی از اینکه من رئ راهنمائی کردید.
با اجرا کردن این دستور مشکل حل شد.:D
ازتون ممنوونم .
1-می خوام بدونم این دستور چه کاری رو از روی روتر برداشت ؟
2-میخوام بدونم چه طور میشه Memory Load رو کم کرد .در حال حاظر 64 تا Ram داره ؟

مرسی
2005-08-31, 08:37 AM
ssa1357

خواهش میکنم

1- اینکه این دستور جلوی فشرده سازی اطلاعات رو لایه سوم تو هر Async رو حذف کرد. در واقع وقتی شما فشرده سازی mppc رو فعال می کنید هر یوزر که به شما کانکت میشه داده ها رو به صورت فشره به شما ارسال میکنه و از شما دریافت میکنه. حالا فکر کنید این عمل فشرده سازی و بازگشائی چه بار بزرگی رو cpu شما ایجاد میکنه.

2- برای اینکه بار کمتری روی RAM داشته باشید سعی کنید NAT رو از روش بردارید و با اعمال access-list های مناسب از حمله ویروسهایی چون Blaster و ایجاد RAM Overflow جلوگیری کنید. باز هم اگر کمبود رم داشتید Fair-queue رو از اینترفیس سریال بردارید.

موفق باشید.
2005-08-31, 09:25 AM
mercury_367

مرسي از حواب قسمت اول . كاملا متوجه شدم.

براي قسمت دوم بايد بگم كه ما از هيچكدوم از Seriyal ها استفاده نميكنيم .در حقيقت روتر Getway ما از سريال استفاده ميكنه .
نظرتون چيه ؟
مرسي
2005-08-31, 11:51 AM
jaavid

IOS روترتو عوض کنی باز هم cpu load کمتر میشه(c5300-is-mz.123-10.bin)...این خوبه!
2005-08-31, 09:47 PM
kopoly

مرسي از حواب قسمت اول . كاملا متوجه شدم.

براي قسمت دوم بايد بگم كه ما از هيچكدوم از Seriyal ها استفاده نميكنيم .در حقيقت روتر Getway ما از سريال استفاده ميكنه .
نظرتون چيه ؟
مرسي
2005-09-01, 03:27 PM
ssa1357

خوب همون طور که دوستمونم گفتن یه IOS خوب و منم که گفتم یه اکسس لیست خوب برای تمام اینترفیس های فعال.
2005-09-01, 10:50 PM
kopoly

باز هم کمک !!!

سلام
Cpu Load من چند روزی بود کخ درست شده بود ولی الان دوباره زدخ بالا .
64.08% 0 TTY Background ولی فقط است.
این چیه و چطور میشه کمش کرد ؟
مرسی
2005-09-04, 01:07 AM
kopoly

[QUOTE=kopoly]سلام
Cpu Load من چند روزی بود کخ درست شده بود ولی الان دوباره زدخ بالا .
64.08% 0 TTY Background ولی فقط است.
این چیه و چطور میشه کمش کرد ؟
مرسی[/QUOTE]

سلام
اساتید محترم تو رو خدا این تاپیک رو بخونین
مرسی