DLSw导致的高CPU利用率过滤技术

下载选项

PDF (197.1 KB)
在各种设备上使用 Adobe Reader 查看
ePub (82.3 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (65.8 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2014 年 7 月 15 日

文档 ID:117786

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何排除由于数据链路交换(DLSw)而导致的高CPU利用率故障。

诊断高CPU利用率

完成以下步骤以确定DLSw是导致CPU使用率较高的原因。

输入show proc cpu sort命令。
```
CISCO-2821-P1#show proc cpu sort
CPU utilization for five seconds: 98%/16%; one minute: 98%; five minutes: 98%
 PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
 366    40569376    27522064       1474 72.31% 74.57% 74.62%   0 DLSw msg proc
 371     2099016    27845490         75  3.83%  3.93%  3.94%   0 HyBridge Input P
  13      134172        1263     106232  2.15%  0.27%  0.18%   0 Licensing Auto U
 367      779500    27475147         28  1.27%  1.35%  1.35%   0 CLS Background
```
在上一输出中，DLSw消息进程指示桥接到DLSw的某种流量，DLSw尝试将其发送到所有对等体。这可以是实际系统网络架构(SNA)浏览器流量、SNAP（子网络访问协议）帧(SNA是服务接入点(SAP)封装)、DECnet或NetBIOS。即使它未发送到对等体，也会由DLSw处理并占用CPU利用率，因为DLSw流量是进程交换的。

Hybridge输入是线索，因为这表示以太网桥接的流量。还涉及思科链路服务(CLS)背景。
输入show proc cpu history命令以确定CPU使用率高的时间。

输入show dlsw peer ssp-dlx命令，以便查看对等体上的流量。

CISCO-2821-P1#show dlsw peer ssp-dlx
Peer: 192.168.2.1                           received transmitted
    CUR_ex Can U Reach Explorers                   0           3
    DATA Data Frame                                0      205842
    --> DSAP: SNAP (0xAA)                          0      205789
    --> DSAP: Other                                0          53
    CAPX Capabilities Exchange                   102         111
    Total SSP Primatives                         102      205956

    DLX Peer Test Request                          0         347
    DLX Peer Test Response                       347           0
    Last SSP Sent:  DATA

Total number of connected peers: 1
Total number of connections:     1

位交换MAC地址

流量可能会在通过以太网接口上的网桥获取的MAC地址上快速增加。

Address          Action    Interface        Age   RX count   TX count
90fb.a616.4e77   forward   Gi0/0.1           0       1696       1968
54ee.7505.86b9   forward   Gi0/0.1           0    1448758          0
0200.ae00.0080   forward   DLSw Port0        0     306187     232570
54ee.7505.8705   forward   Gi0/0.1           0    1448766          0
0011.258d.a82d   forward   Gi0/0.1           0     119501     184767
a820.6604.f332   forward   Gi0/0.1           1       1294          0

注意上一输出中具有Rx计数且没有Tx计数的地址。这些是问题解决的方法。

您可以使用Bitswap工具将MAC地址位交换为以太网地址。

DLSw中的MAC 0088.a4b1.15b4是以太网地址0011.258D.A82D。
DLSw中的MAC 09df.6568.72ee是以太网地址90FB.A616.4E77。
DLSw中的MAC 4000.7500.0001是以太网地址0200.ae00.0080。

确定SNA终端

您需要知道哪些MAC地址和SAP构成SNA终端。如果所有内容都联机且工作正常，则可以使用show dlsw circuit命令来确定此项：

CISCO-2821-P1#show dlsw cir
Index           local addr(lsap)    remote addr(dsap)  state          uptime
369099416       0088.a4b1.15b4(04)  4000.7500.0001(04) CONNECTED         1d02h
3607102105      09df.6568.72ee(04)  4000.7500.0001(04) CONNECTED      00:57:43
Total number of circuits connected: 2

在上一输出中，本地MAC地址是MAC地址的非规范（令牌环）形式。这意味着需要进行位交换才能看到MAC地址在以太网上显示。括号(04)中的数字是此连接使用的SAP。上一输出中的所有终端站都使用0x04。所以使用的SAP是0和4。SAP 0x0用于探索器。

在SAP上过滤

现在，您可以过滤SAP。您必须至少允许0和4。最好始终允许0、4、8和C。

有关详细信息，请参阅DLSw+ SAP/MAC过滤技术。

假设您有如下配置：

dlsw local-peer peer-id 192.168.1.1 
dlsw remote-peer 0 tcp 192.168.2.1  
dlsw bridge-group 15

!

interface GigabitEthernet0/0.1
 description **Production LAN Segment**
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.0.0
 bridge-group 15

!

bridge 1 protocol vlan-bridge

您首先需要过滤DLSw对等体之间发送的内容，因为这会产生最大影响。您可以阻止SAP AA(SNAP)、E0(Novell NetWare)和F0(NetBIOS)。此配置实施安全。

  conf t
  dlsw icannotreach saps AA E0 F0
  exit
  wr

如果知道客户使用的SNA SAP和列表是小的，则可以使用过滤器的permit版本。示例如下：

  conf t
  dlsw icanreach saps 0 4 8 C
  exit
  wr

过滤不需要的流量

您可以过滤以太网接口上网桥组上不需要的流量：

  conf t
  access-list 200 permit 0x0000 0x0D0D  

  access-list 201 deny 0x0000 0xFFFF 

  exit
  wr

注意：此示例使用access-list 200以允许0、4、8和C具有高位（命令/响应）位。此示例使用access-list 201以阻止SNAP（子网络访问协议）和其他不需要的流量。

在以太网接口上应用过滤器：

  conf t
  interface GigabitEthernet0/0.1
  bridge-group 15 input-lsap-list 200
  bridge-group 15 input-type-list 201
  exit
  wr

以下是以太网上的配置示例：

interface GigabitEthernet0/0.1
 description **Production LAN Segment**
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.0.0
 bridge-group 15
 bridge-group 15 input-lsap-list 200
 bridge-group 15 input-type-list 201

这应该是DLSw停止高CPU利用率所需的全部。

仅允许SNA使用的MAC地址

您还可以执行另一个步骤，以仅允许用于SNA的MAC地址被桥接。确保所有SNA设备都在线且运行正常，以便使用以下命令获取完整列表：

CISCO-2821-P1#show dlsw cir
Index           local addr(lsap)    remote addr(dsap)  state          uptime
369099416       0088.a4b1.15b4(04)  4000.7500.0001(04) CONNECTED         1d02h
3607102105      09df.6568.72ee(04)  4000.7500.0001(04) CONNECTED      00:57:43
Total number of circuits connected: 2

MAC 0088.a4b1.15b4  in DLSw is ethernet address 0011.258D.A82D.
MAC 09df.6568.72ee in DLSw is ethernet address 90FB.A616.4E77.

access-list 701 permit 0011.258D.A82D 0000.0000.0000

access-list 701 permit  0FB.A616.4E77 0000.0000.0000

access-list 701 deny 0000.0000.0000 ffff.ffff.ffff

conf t

interface GigabitEthernet0/0.1
bridge-group 1 input-address-list 701
exit
wr

如果完成此步骤后CPU使用率仍然较高，请联系思科技术支持中心(TAC)以上报问题。

修订历史记录

版本	发布日期	备注
1.0	15-Jul-2014	初始版本

由思科工程师提供

Jim Hicks and Bill Douglas
Cisco TAC Engineers.