1、 Hillstone CPU高排查指南 Hillstone CPU高排查指南 2012/03/01 Hillstone CPU高排查指南 1. 概述 防火墙作为企业核心网络中的关键设备, 需要为所有进出网络的 信息流提供安全保护。而 CPU 作为防火墙一个非常重要的枢纽,在数 据转发时起到绝对关键的作用。Hillstone 防火墙采用自主研发的 64位多处理器全并行架构,所有 CPU并行实时处理数据包转发。 2. Hillstone CPU 高排查方法 CPU作为设备的核心,防火墙的任何模块的处理(或任何功能的 开启)都需要占用CPU资源。围绕防火墙在出现 CPU高时能够快速定 位并解决这一目
2、标,Hillstone给出一些具体排查方法。 一、检查设备开启的功能,具体如下: 1)Show statistics-set /查看设备开启统计集,如果 开启统计集较多,建议关闭一些没用的统计集。 2) 、查看设备是否开启 debug,并在不用时将其关闭。 Show debug /查看debug开启情况 Undebug all或连续按两下Esc /关闭debug 3 ) Show session-limit /查看设备是否开启 session-limit,查看 session-limit 是否有 drop,如有没有 drop 记录建议关闭相应session-limit。 二、分析实际情况: 1
3、) 、查看设备是否有攻击。 Hillstone CPU高排查指南 Show logging security 和show ad zone trust statistics 查 看 AD攻击情况。 2) 、show statistics-set predef_rampup_ip 查看设备当前新 建会话情况,看看有没有新建会话数很高的ip。 开启此统计集方法: cli 下如下: config statistics-set predef_rampup_ip target-data rampup-rate record-history group-by ip active exit 在查看完毕时可以适
4、当关闭此统计集,方法如下: No statistics-set predef_rampup_ip 3) 、比对现有配置与原配置区别。在情况允许的情况下查看配置 日志,主要观察在cpu高之前的一些配置信息。 4) 、通过 show process 命令查看当前占用 CPU 较多的进程,重 点关注 D_plane之外的进程,看哪些比较高,如果都是D_plane进程 占用的最高,基本上可以确认是性能达到了极限。设备process进程 数很多,具体进程表示什么意思请联系 Hillstone厂商工程师咨询。 5) 、show cpu detail /查看 CPU 按时间、按 core的分布情况,查看具体
5、哪些 core较高。 Hillstone CPU高排查指南 6) 、通过show logging 查看相应的日志开启及发送情况,将不 必要的日志关闭。 Show logging /查看系统日志开启情况 No logging traffic on /关闭traffic log No logging alarm to console /关闭 alarm 日志发送到 console 7) 、查看设备目前流量情况,看是否达到设备的性能处理极限。 通过 Show controller slot X port X statistic 查看网络中 实际的数据包的类型,及 show statistics in
6、terface-counter interface interface-name second 查看实际流量。根据这两个数据 计算出当前 CPU的可能范围,计算方法: (各种字节的包)除以(所有包之和)乘以(实际接口总转发数 据)用这个数据与实际防火墙的吞吐能力做比较(实际防火墙的吞吐 能力请联系 Hillstone工程师) 。 举例如下(重点关注红色部分) : G5150# show controller slot 0 port 2 statistic clear Ethernet0/2: InGoodOctets: 149459273057976 InBadOctets: 0 InGood
7、Pkts: 1041320608 InBadPkts: 0 InUnicastPkts: 1039308946 InBroadcastPkts: 30548 InMulticastPkts: 1981114 InControlPkts: 1841818 InUndersizePkts: 0 InOversizePkts: 0 InFragments: 0 InJabbers: 0 InMACRcvErrors: 0 InCRCAlignErrors: 0 Hillstone CPU高排查指南 DropEvents: 0 OutGoodOctets: 3298330207036 OutGoodP
8、kts: 1658292589 OutUnicastPkts: 1658289639 OutBroadcastPkts: 2950 OutMulticastPkts: 0 OutControlPkts: 0 Collisions: 0 OutDropDeferrals: 0 SingleCollisions: 0 MultipleCollisions: 0 ExcessiveCollisions: 0 LateCollisions: 0 Pkts64Octets: 1066118462 Pkts65to127Octets: 962721469 Pkts128to255Octets: 1811399299 Pkts256to511Octets: 629952481 Pkts512to1023Octets:3589872214 Pkts1024toMaxOctets: 3229483598 如果想计算网络中10241516 字节的包的比例那么这个数值为: N=3229483598/(1066118462+962721469+629952481+1811399299+3589872214+3229483598)=0.32 由此可以看出网络中10241518字节的包的比例为32% (其他字 节的包的比例算法一样) , 再结合当前的接口流量来分析防火墙的cpu 是否属于正常范围。
