问题描述

S6700 CPU使用率最高79%,最低58%,平均70%

告警信息

Aug  9 2017 09:50:31 BZ_SH_LR_4F_Core_S6720 %%01DEFD/4/CPCAR_DROP_MPU(l)[0]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=ssh, CIR/CBS=64/12032, ExceededPacketCount=501)
Aug  9 2017 09:50:31 BZ_SH_LR_4F_Core_S6720 %%01DEFD/4/CPCAR_DROP_MPU(l)[1]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=icmp, CIR/CBS=128/24064, ExceededPacketCount=15)
Aug  9 2017 09:50:31 BZ_SH_LR_4F_Core_S6720 %%01DEFD/4/CPCAR_DROP_MPU(l)[2]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=arp-request, CIR/CBS=128/24064, ExceededPacketCount=54)

==============display cpu-usage===============
=====================================================
CPU Usage Stat. Cycle: 60 (Second)
CPU Usage            : 58% Max: 79%
CPU Usage Stat. Time : 2017-08-09  09:49:32
CPU utilization for five seconds: 58%: one minute: 58%: five minutes: 54%
Max CPU Usage Stat. Time : 2017-06-29 03:31:02.

TaskName             CPU  Runtime(CPU Tick High/Tick Low)  Task Explanation
VIDL                42%         7/ a71c7fe       DOPRA IDLE
AGNT                19%         3/4d6eaa00       AGNTSNMP agent task
OS                 12%         2/ 2fbeffe       Operation System
bmLINK.0              10%         1/b2290500
SFPT                4%         0/b9f76c00       SFPT Timer
VT0                 4%          0/bcd3d800       VT0 Line user's task
bcmCNTR.0              3%         0/85099e00

处理过程

1.从日志信息:Rate of packets to cpu exceeded the CPCAR limit on the MPU,查询手册得知:大量协议报文上送CPU通常会伴随着相关协议业务模块任务CPU占用率升高,可以利用协议任务CPU占用率信息判断是哪一类的报文大量上送CPU。

2.通过查看CPU的使用率发现最高的是AGNT,查询资料发现,AGNT进程代表着是实现IPv4 SNMP协议栈任务。该任务占用率高,是存在频繁的网管操作导致的。

3.当关闭SNMP时,CPU利用率就在21%,是一个正常的范围了。关闭SNMP的命令是undo snmp-agent命令用来去使能SNMP Agent。但是又必须需要网管的时候降低CPU的使用率,就需要调用命令Snmp agent acl限制能够访问的用户IP。

根因

CPU利用率高是SNMP协议中有频繁的网管操作导致的

解决方案

调用命令Snmp agent acl限制能够访问的用户IP。

snmp-agent acl

命令功能

snmp-agent acl命令用于配置SNMP的访问控制列表。

undo snmp-agent acl命令用于取消配置的SNMP访问控制列表。

缺省情况下,SNMP没有配置访问控制列表。

命令格式

snmp-agent acl { acl-number | acl-name }

undo snmp-agent acl

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当使用网管管理设备时,通过执行snmp-agent acl命令在设备上为SNMP协议配置访问控制列表,限制访问设备的网管,从而提高安全性。

注意事项

snmp-agent acl命令配置的访问控制表优先过滤,再根据SNMP团体名、SNMP组或SNMP用户配置的ACL进行过滤。

snmp-agent acl命令配置的访问控制表在IPv4和IPv6网络中同时生效。

使用实例

# 设置满足ACL 2000匹配条件的网管可以通过SNMP访问设备。

<HUAWEI> system-view [HUAWEI] acl 2000 [HUAWEI-basic-2000] rule permit source 192.168.10.10 0 [HUAWEI-basic-2000] quit [HUAWEI] snmp-agent acl 2000