简介
本文档介绍如何排除由于数据链路交换(DLSw)而导致的高CPU利用率故障。
诊断高CPU利用率
完成以下步骤以确定DLSw是导致CPU使用率较高的原因。
- 输入show proc cpu sort命令。
CISCO-2821-P1#show proc cpu sort
CPU utilization for five seconds: 98%/16%; one minute: 98%; five minutes: 98%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
366 40569376 27522064 1474 72.31% 74.57% 74.62% 0 DLSw msg proc
371 2099016 27845490 75 3.83% 3.93% 3.94% 0 HyBridge Input P
13 134172 1263 106232 2.15% 0.27% 0.18% 0 Licensing Auto U
367 779500 27475147 28 1.27% 1.35% 1.35% 0 CLS Background
在上一输出中,DLSw消息进程指示桥接到DLSw的某种流量,DLSw尝试将其发送到所有对等体。这可以是实际系统网络架构(SNA)浏览器流量、SNAP(子网络访问协议)帧(SNA是服务接入点(SAP)封装)、DECnet或NetBIOS。即使它未发送到对等体,也会由DLSw处理并占用CPU利用率,因为DLSw流量是进程交换的。
Hybridge输入是线索,因为这表示以太网桥接的流量。还涉及思科链路服务(CLS)背景。
- 输入show proc cpu history命令以确定CPU使用率高的时间。
- 输入show dlsw peer ssp-dlx命令,以便查看对等体上的流量。
CISCO-2821-P1#show dlsw peer ssp-dlx
Peer: 192.168.2.1 received transmitted
CUR_ex Can U Reach Explorers 0 3
DATA Data Frame 0 205842
--> DSAP: SNAP (0xAA) 0 205789
--> DSAP: Other 0 53
CAPX Capabilities Exchange 102 111
Total SSP Primatives 102 205956
DLX Peer Test Request 0 347
DLX Peer Test Response 347 0
Last SSP Sent: DATA
Total number of connected peers: 1
Total number of connections: 1
位交换MAC地址
流量可能会在通过以太网接口上的网桥获取的MAC地址上快速增加。
Address Action Interface Age RX count TX count
90fb.a616.4e77 forward Gi0/0.1 0 1696 1968
54ee.7505.86b9 forward Gi0/0.1 0 1448758 0
0200.ae00.0080 forward DLSw Port0 0 306187 232570
54ee.7505.8705 forward Gi0/0.1 0 1448766 0
0011.258d.a82d forward Gi0/0.1 0 119501 184767
a820.6604.f332 forward Gi0/0.1 1 1294 0
注意上一输出中具有Rx计数且没有Tx计数的地址。这些是问题解决的方法。
您可以使用Bitswap工具将MAC地址位交换为以太网地址。
- DLSw中的MAC 0088.a4b1.15b4是以太网地址0011.258D.A82D。
- DLSw中的MAC 09df.6568.72ee是以太网地址90FB.A616.4E77。
- DLSw中的MAC 4000.7500.0001是以太网地址0200.ae00.0080。
确定SNA终端
您需要知道哪些MAC地址和SAP构成SNA终端。如果所有内容都联机且工作正常,则可以使用show dlsw circuit命令来确定此项:
CISCO-2821-P1#show dlsw cir
Index local addr(lsap) remote addr(dsap) state uptime
369099416 0088.a4b1.15b4(04) 4000.7500.0001(04) CONNECTED 1d02h
3607102105 09df.6568.72ee(04) 4000.7500.0001(04) CONNECTED 00:57:43
Total number of circuits connected: 2
在上一输出中,本地MAC地址是MAC地址的非规范(令牌环)形式。这意味着需要进行位交换才能看到MAC地址在以太网上显示。括号(04)中的数字是此连接使用的SAP。上一输出中的所有终端站都使用0x04。所以使用的SAP是0和4。SAP 0x0用于探索器。
在SAP上过滤
现在,您可以过滤SAP。您必须至少允许0和4。最好始终允许0、4、8和C。
有关详细信息,请参阅DLSw+ SAP/MAC过滤技术。
假设您有如下配置:
dlsw local-peer peer-id 192.168.1.1
dlsw remote-peer 0 tcp 192.168.2.1
dlsw bridge-group 15
!
interface GigabitEthernet0/0.1
description **Production LAN Segment**
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.0.0
bridge-group 15
!
bridge 1 protocol vlan-bridge
您首先需要过滤DLSw对等体之间发送的内容,因为这会产生最大影响。您可以阻止SAP AA(SNAP)、E0(Novell NetWare)和F0(NetBIOS)。 此配置实施安全。
conf t
dlsw icannotreach saps AA E0 F0
exit
wr
如果知道客户使用的SNA SAP和列表是小的,则可以使用过滤器的permit版本。示例如下:
conf t
dlsw icanreach saps 0 4 8 C
exit
wr
过滤不需要的流量
您可以过滤以太网接口上网桥组上不需要的流量:
conf t
access-list 200 permit 0x0000 0x0D0D
access-list 201 deny 0x0000 0xFFFF
exit
wr
注意:此示例使用access-list 200以允许0、4、8和C具有高位(命令/响应)位。此示例使用access-list 201以阻止SNAP(子网络访问协议)和其他不需要的流量。
在以太网接口上应用过滤器:
conf t
interface GigabitEthernet0/0.1
bridge-group 15 input-lsap-list 200
bridge-group 15 input-type-list 201
exit
wr
以下是以太网上的配置示例:
interface GigabitEthernet0/0.1
description **Production LAN Segment**
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.0.0
bridge-group 15
bridge-group 15 input-lsap-list 200
bridge-group 15 input-type-list 201
这应该是DLSw停止高CPU利用率所需的全部。
仅允许SNA使用的MAC地址
您还可以执行另一个步骤,以仅允许用于SNA的MAC地址被桥接。确保所有SNA设备都在线且运行正常,以便使用以下命令获取完整列表:
CISCO-2821-P1#show dlsw cir
Index local addr(lsap) remote addr(dsap) state uptime
369099416 0088.a4b1.15b4(04) 4000.7500.0001(04) CONNECTED 1d02h
3607102105 09df.6568.72ee(04) 4000.7500.0001(04) CONNECTED 00:57:43
Total number of circuits connected: 2
MAC 0088.a4b1.15b4 in DLSw is ethernet address 0011.258D.A82D.
MAC 09df.6568.72ee in DLSw is ethernet address 90FB.A616.4E77.
access-list 701 permit 0011.258D.A82D 0000.0000.0000
access-list 701 permit 0FB.A616.4E77 0000.0000.0000
access-list 701 deny 0000.0000.0000 ffff.ffff.ffff
conf t
interface GigabitEthernet0/0.1
bridge-group 1 input-address-list 701
exit
wr
如果完成此步骤后CPU使用率仍然较高,请联系思科技术支持中心(TAC)以上报问题。