- 1Python入门题031:excel表格筛选重复数据_python查找 excel重复字段
- 2element plus中tree组件选中、悬停背景颜色和字体颜色设置_element plus tree 修改鼠标移入颜色
- 3大语言模型(LLMs)综合调研_llms模型
- 4解决安卓:Execution failed for task ‘:processDebugResources‘. / Unknown chunk type ‘200‘. / AAPT2 aapt2-_unknown chunk type '200'.
- 5Python数据分析案例-中国电影网电影数据可视化分析_电影数据分析
- 6JVM调优常用的工具JPS、JMAP、JSTAT、JSTACK和JCMD的使用详解_jmap和jstack区别
- 7uniApp中使用小程序XR-Frame创建3D场景(2)加载模型_wxml中3d模型展示
- 8【map】【滑动窗口】【字典树】C++算法:2781最长合法子字符串的长度
- 92021-02-05_2021.2.5怎么变成2021.02.05
- 10Knn算法的实现_knn算法实现
高cpu_交换机CPU占用率高案例汇总
赞
踩
问题现象描述
部署了组播业务的交换机CPU占用率高,同时发现交换机上存在大量239.255.255.250的组播组的转发表项,占用了较多的转发表项资源,而实际组播业务中并没有规划该组播组地址。
例如:某局点的一个用户子网启用IPTV业务后,交换机CPU占用率高,同时发现交换机上出现大量源IP地址为某品牌机顶盒的IP地址,组IP地址为239.255.255.250的组播路由表项,并且这些组播表项扩散到其他用户子网络,设备上都可以查看到大量该组播组地址的转发表项。
问题根因说明
239.255.255.250地址属于SSDP(Simple Service Discovery Protocol)简单服务发现协议使用的组播地址,因此当网络中存在服务器或者终端PC默认启用SSDP服务时,便会发送对应组播报文到交换机上。
由于239.255.255.250地址不属于组播地址的永久组地址(永久组地址也称为保留组地址,用于标识一组特定的网络设备,供路由协议、拓扑查找等使用,不用于组播转发)224.0.0.X范围之内,交换机将该组播组地址作为一个正常普通的组播组来处理,因此会生成对应的组播转发表项。
本案例中,初步分析是这种品牌的机顶盒默认启用了SSDP服务,会发送对应“ssdp:discover”消息报文到源DR交换机触发组播转发表项,同时向RP注册成功后,其他用户子网中的终端设备发送该组播组的Report报文,导致各子网交换机均出现大量不同源IP,相同组IP的组播转发表项。
问题判断方法
1.执行display cpu-usage命令,查看交换机CPU占用率,发现CPU占用率在80%以上,并且查看CPU占用率较高的任务,发现收包任务“bcmRx/FTS/VPR/SOCK”占用率最高。
2.使用display cpu-defend statistics命令查看上送CPU报文的统计信息,判断是否存在过多IGMP协议报文。
a.执行reset cpu-defend statistics命令,清除上送CPU报文的统计信息。
b.执行display cpu-defend statistics packet-type igmp all命令,查看上送CPU的IGMP报文统计信息。
3.找出组播攻击源。
可以通过以下三种方式来找出组播攻击源:
−端口镜像获取报文信息
端口镜像获取报文信息是最直接的获取报文详细特征的方式,且对设备的CPU不会造成任何影响,建议在上送CPU的报文的入方向端口进行镜像。交换机端口镜像配置方式请参考产品文档的“配置指南-网络管理与监控配置-镜像配置”章节。
−查看组播表项
n如果配置的二层组播,执行display igmp-snooping port-info命令,会发现有不同主机端口都收到了239.255.255.250组播组的Report请求。
如果配置的三层组播,执行display multicast forwarding-table命令,会发现存在较多不同源地址、相同组播地址239.255.255.250的组播转发表项。
−配置基于攻击溯源的本机防攻击策略
执行display auto-defend attack-source和display auto-defend attack-source slot slot-id命令,查看主控板和接口板的攻击源信息。
4.通过以上方法,同时结合实际组播业务部署中没有规划239.255.255.250的组播组地址,确定设备受到239.255.255.
