华为S系列交换机CPU占用率高问题排查与解决方案

摘要：在华为S系列交换机(V100&V200版本)运行过程中，CPU占用率过高是一个常见问题，可能导致设备性能下降甚至业务中断。根据华为官方维护宝典，导致CPU占用率高的主要原因可分为四大类：网络攻击、网络震荡、网络环路和硬件故障。

在华为S系列交换机(V100&V200版本)运行过程中，CPU占用率过高是一个常见问题，可能导致设备性能下降甚至业务中断。根据华为官方维护宝典，导致CPU占用率高的主要原因可分为四大类：网络攻击、网络震荡、网络环路和硬件故障。

网络攻击的特征与类型

网络攻击是导致CPU占用率高的常见原因，主要表现为攻击源产生大量非正常网络交互请求，使交换机忙于处理这些请求而无法正常运行业务。常见的网络攻击类型包括：

arp协议报文攻击ARP和ARP-Miss泛洪攻击ARP欺骗攻击

1.查看设备基本信息

display versiondisplay device

2.检查上送CPU报文统计

display cpu-defend statistics reset cpu-defend statistics # 清除统计信息 display cpu-defend statistics all # 隔几秒后再次查看Packet TypePass(Bytes)Drop(Bytes)Pass(Packets)Drop(Packets)arp-miss0000arp-request408003576860052600

如果观察到某种协议报文异常增多，且现网不可能出现这么多报文，则可判断为协议报文攻击。

1. 配置攻击溯源功能

system-viewacl number 2000rule 5 permit source 10.1.1.1 0 # 10.1.1.1为网关IP地址quitcpu-defend policy policy1auto-defend enable # 使能攻击溯源功能undo auto-defend trace-type source-portVLAN # 配置溯源模式undo auto-defend protocol 8021x dhcp icmp igmp tcp telnet ttl-expired udp # 删除不需要的溯源协议auto-defend whitelist 1 acl 2000 # 将网关IP加入白名单quit

对于V200R009之后版本：

cpu-defend policy policy1auto-defend protocol arp # 只溯源ARP报文auto-defend whitelist 1 acl 2000quit

2. 应用防攻击策略

框式交换机配置：

# 主控板应用策略system-viewcpu-defend-policy policy1quit# 所有接口板应用策略system-viewcpu-defend-policy policy2 global# 指定接口板应用策略system-viewslot 1cpu-defend-policy policy2

盒式交换机配置：

# 非堆叠情况system-viewcpu-defend-policy policy1 global# 堆叠情况# 主设备应用策略system-viewcpu-defend-policy policy1# 所有堆叠设备应用策略system-viewcpu-defend-policy policy1 global

3. 查看攻击源信息

display auto-defend attack-sourcedisplay auto-defend attack-source slot slot-id

4. 网络攻击处理建议

配置ARP安全功能：参考产品文档"配置指南-安全配置-ARP安全配置"启用攻击溯源惩罚功能：cpu-defend policy policy1 auto-defend enable auto-defend action deny timer 300 # 300秒内丢弃攻击报文配置黑名单：acl number 2001 rule permit source 1.1.1.0 0.0.0.255 quit cpu-defend policy policy1 blacklist 1 acl 2001关闭攻击源接口（谨慎使用）：cpu-defend policy policy1 auto-defend enable auto-defend action error-down

STP震荡问题

定位方法

查看STP拓扑变化信息display stp topology-change观察"Number of topology changes"是否有增长。查看TC-BPDU统计display stp tc-bpdu statistics

示例输出：

MSTID Port TC(Send/Receive) TCN(Send/Receive) 0 GigabitEthernet2/0/6 21/4 0/1处理建议开启TC保护告警snmp-agent trap enable feature-name mstp stp tc-protection根据拓扑变化情况处理接入侧端口Up/Down：配置为边缘端口并开启BPDU保护stp edged-port enable stp bpdu-protection 根桥非预期变化：开启根保护功能stp root-protection

定位方法

查看OSPF邻居状态display ospf peer last-nbr-down display logbuffer检查OSPF报文统计display cpu-defend statistics packet-type ospf

处理建议

调整OSPF邻居失效时间ospf timer dead interval # 建议设置为20s以上使能sham-hello功能sham-hello enable检查OSPF认证配置display ospf error

如果"Bad authentication type"或"Bad authentication key"计数增长，需配置相同认证信息：

定位方法

网络环路通常表现为：

设备CPU占用率超过80%VLAN接口指示灯频繁闪烁频繁MAC漂移管理操作延迟Ping测试严重丢包接口收到大量广播报文

处理建议

通过接口指示灯和流量情况确认存在广播风暴的接口根据链路拓扑逐跳排查环路设备判断并断开产生环路的接口

硬件故障导致的CPU高问题

如果排除了网络攻击、震荡和环路等因素，仍存在CPU占用率高的问题，可能是硬件故障导致。此时建议：