Resolución de problemas de uso elevado de la CPU debido al proceso de entrada

Actualizado:11 de julio de 2023
ID del documento:220563

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo resolver problemas de uso elevado de la CPU debido al proceso de entrada de IP.

    Prerequisites

    Requirements

    Cisco recomienda leer Troubleshooting High CPU Utilization on Cisco Routers antes de continuar con este documento.

    Componentes Utilizados

    Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Convenciones

    Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

    note-icon

    Nota: este documento no proporciona estrategias para evitar diferentes tipos de ataques.

    Entrada de IP

    El proceso de software de Cisco IOS® llamado entrada IP se encarga de los paquetes IP de conmutación de procesos. Si el proceso de entrada IP utiliza recursos de CPU inusualmente altos, el router está conmutando por proceso gran cantidad de tráfico IP. Compruebe estos problemas:

    • La conmutación por interrupción está deshabilitada en una interfaz (o interfaces) que tiene (tiene) mucho tráfico

      La conmutación por interrupción se refiere al uso de algoritmos de conmutación distintos de la conmutación por proceso. Algunos ejemplos incluyen fast switching, optimum switching, switching de Cisco Express Forwarding, etc. (consulte Aspectos básicos del ajuste del rendimiento para obtener más detalles). Examine el resultado de la show interfaces switching   para ver qué interfaz está sobrecargada de tráfico. Puede consultar la show ip interface para ver qué métodos de conmutación se utilizan en cada interfaz. Vuelva a habilitar la interrupción de conmutación en esa interfaz. Recuerde que el fast switching regular se configura en las interfaces de salida: si el fast switching se configura en una interfaz, los paquetes que salen de esa interfaz se conmutan rápidamente. La conmutación de Cisco Express Forwarding se configura en las interfaces de entrada. Para crear entradas de Base de información de reenvío (FIB) y tabla de adyacencia en una determinada interfaz, configure conmutación de Cisco Express Forwarding en todas las interfaces que enrutan a esa interfaz.

    • La conmutación rápida en la misma interfaz está inhabilitada

      Si una interfaz tiene muchas direcciones o subinterfaces secundarias y hay mucho tráfico originado en la interfaz y destinado a una dirección en esa misma interfaz, entonces todos esos paquetes son conmutados por proceso. En esta situación, debe habilitar  ip route-cache same-interface en la interfaz. Cuando se usa la conmutación de Cisco Express Forwarding, no necesita habilitar esta conmutación en la misma interfaz por separado.

    • Fast Switching en una interfaz que proporciona que el ruteo de políticas está inhabilitado

      Si se ha configurado un route-map en una interfaz y el route-map maneja gran cantidad de tráfico, el proceso del router conmuta este tráfico. En esta situación, debe habilitar ip route-cache policy en la interfaz. Verifique las restricciones mencionadas en la sección Habilitación del Ruteo Basado en Políticas Fast-Switched de Configuración del Ruteo Basado en Políticas.

    • Llega el tráfico que no se puede conmutar por interrupción

      Puede ser cualquiera de los tipos de tráfico enumerados. Haga clic en los elementos vinculados para obtener más información.

      • Paquetes que aún no tienen una entrada en la memoria caché de conmutación.

        Incluso si se configura fast, optimum o Cisco Express Forwarding switching (CEF), se procesa un paquete para el cual no hay coincidencia en la memoria caché de fast switching o FIB y las tablas de adyacencia. Luego se crea una entrada en la memoria caché o tabla apropiada, y todos los paquetes subsiguientes que coinciden con los mismos criterios son rápidos, óptimos o conmutados por CEF. En circunstancias normales, estos paquetes procesados no causan una alta utilización de la CPU. Sin embargo, si hay un dispositivo en la red que 1) genera paquetes a una velocidad extremadamente alta para los dispositivos alcanzables a través del router, y 2) utiliza diferentes direcciones IP de origen o destino, no hay una coincidencia para estos paquetes en la memoria caché o tabla de conmutación, por lo que son procesados por el proceso de entrada IP (si se configura la conmutación de NetFlow, los puertos TCP de origen y destino también se verifican contra entradas en la memoria caché de NetFlow). Este dispositivo de origen puede ser un dispositivo no funcional o, más probablemente, un dispositivo que intenta realizar un ataque.

        (*) Sólo con adyacencias de recolección. Consulte Comprensión de Cisco Express Forwarding para obtener más información sobre las adyacencias de Cisco Express Forwarding.

      • Paquetes destinados para el router

        Estos son ejemplos de paquetes destinados al router:

        • Actualizaciones de routing que llegan a una velocidad extremadamente alta. Si el router recibe una enorme cantidad de actualizaciones de ruteo que deben ser procesadas, esta tarea puede sobrecargar la CPU. Normalmente, esto no puede ocurrir en una red estable. La forma en que puede reunir más información depende del protocolo de ruteo que haya configurado. Sin embargo, puede empezar a comprobar el resultado del  show ip route summary periódicamente. Los valores que cambian rápidamente son un signo de una red inestable. Los cambios frecuentes en la tabla de ruteo significan un mayor procesamiento del protocolo de ruteo, lo que resulta en una mayor utilización de la CPU. Para obtener más información sobre cómo resolver este problema, refiérase a la sección Troubleshooting de TCP/IP de la Guía de Troubleshooting de Internetwork.

        • Cualquier otro tipo de tráfico destinado al router. Compruebe quién ha iniciado sesión en el router y las acciones del usuario. Si alguien ha iniciado sesión y ejecuta comandos que producen resultados largos, la alta utilización de la CPU por el proceso de "entrada IP" va seguida de una utilización de la CPU mucho mayor por el proceso Virtual Exec.

        • Ataque de simulación. Para identificar el problema, ejecute el comando  show ip traffic para verificar la cantidad de tráfico IP. Si hay un problema, el número de paquetes recibidos con un destino local es significativo. A continuación, examine el resultado de la  show interfaces  y  show interfaces switching  comandos para verificar en qué interfaz entran los paquetes. Una vez que haya identificado la interfaz de recepción, active ip accounting en la interfaz de salida y ver si hay un patrón. Si hay un ataque, la dirección de origen es casi siempre diferente, pero la dirección de destino es la misma. Se puede configurar una lista de acceso para resolver el problema temporalmente (preferiblemente en el dispositivo más cercano al origen de los paquetes), pero la solución real es rastrear el dispositivo de origen y detener el ataque.

      • Tráfico de broadcast

        Compruebe el número de paquetes de difusión en el show interfaces resultado del comando. Si compara la cantidad de difusiones con la cantidad total de paquetes que se recibieron en la interfaz, puede hacerse una idea de si hay una sobrecarga de difusiones. Si hay una LAN con varios switches conectados al router, esto puede indicar un problema con el árbol de expansión.

      • Paquetes IP con opciones

      • Paquetes que requieren la traducción del protocolo

      • Protocolo punto a punto multilink (compatible con switching de Cisco Express Forwarding)

      • Tráfico comprimido

        Si no hay un adaptador de servicio de compresión (CSA) en el router, los paquetes comprimidos deben conmutarse por proceso.

      • Tráfico cifrado

        Si no hay un Encryption Service Adapter (ESA) en el router, los paquetes cifrados deben conmutarse por proceso.

      • Paquetes que pasan por interfaces seriales con encapsulación X.25

        En el conjunto de protocolos X.25, el control de flujo se implementa en la segunda capa de interconexión de sistemas abiertos (OSI).

    • Una gran cantidad de paquetes, que llegan a una velocidad extremadamente alta, para un destino en una subred conectada directamente, para la que no hay ninguna entrada en la tabla del Protocolo de resolución de direcciones (ARP). No se espera que esto ocurra con el tráfico TCP debido al mecanismo de ventanas, pero puede suceder con el tráfico de protocolo de datagramas de usuario (UDP). Para identificar el problema, repita las acciones sugeridas para rastrear un ataque de simulación.

    • Gran parte del tráfico de multidifusión pasa a través del router. Desafortunadamente, no hay una manera fácil de examinar la cantidad de tráfico multicast. show ip traffic solo muestra información de resumen. Sin embargo, si ha configurado el ruteo multicast en el router, puede habilitar el fast switching de paquetes multicast con el ip mroute-cache comando interface configuration (conmutación rápida de paquetes multicast está desactivado de forma predeterminada).

    • El router está sobresuscrito. Si el router está sobreutilizado y no puede manejar esta cantidad de tráfico, intente distribuir la carga entre otros routers o compre un router de gama alta.

    • La traducción de direcciones de red IP (NAT) se configura en el router y muchos paquetes del sistema de nombres de dominio (DNS) pasan a través del router. Los paquetes UDP o TCP con el puerto de origen o de destino 53 (DNS) siempre se puntean a nivel de proceso mediante NAT.

    • Existen otros tipos de paquetes que son impulsados al procesamiento.

    • Hay fragmentación del datagrama IP. Hay un pequeño aumento en la sobrecarga de memoria y CPU debido al fragmento de un datagrama IP. Refiérase a Resolución de Problemas de Fragmentación IP, MTU, MSS y PMTUD con GRE e IPSEC para obtener más información sobre cómo resolver este problema.

    caution-icon

    Precaución: cualquiera que sea la razón de la alta utilización de la CPU en el proceso de entrada IP, se puede rastrear el origen del problema si se depuran los paquetes IP. Dado que el uso de la CPU ya es alto, el proceso de depuración debe realizarse con extrema precaución.

    El proceso de depuración produce muchos mensajes, por lo que sólo se debe configurar el registro almacenado en búfer.

    El registro en una consola provoca interrupciones innecesarias en la CPU y aumenta el uso de la CPU. El registro en un host (o el registro del monitor) genera tráfico adicional en las interfaces.

    El proceso de depuración se puede iniciar con el comando  debug ip packet detail  exec comando. Esta sesión no debe durar más de tres a cinco segundos. Los mensajes de depuración se escriben en el búfer de registro. Una captura de una sesión de depuración IP de ejemplo se proporciona en la sección Sesión de depuración de paquete IP de ejemplo de este documento. Una vez que se encuentra el dispositivo de origen de los paquetes IP no deseados, este dispositivo se puede desconectar de la red o se puede crear una lista de acceso en el router para descartar paquetes de ese destino.

    Sesión de depuración de paquete del IP de muestra

    Los destinos de registro configurados deben comprobarse primero con el  show logging comando:

    router#show logging
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) 
    Console logging: level debugging, 52 messages logged 
    Monitor logging: level debugging, 0 messages logged 
    Buffer logging: level debugging, 148 messages logged 
    Trap logging: level informational, 64 message lines logged 
        Logging to 192.168.100.100, 3 message lines logged 
        Logging to 192.168.200.200, 3 message lines logged 
 --More--

    Inhabilite todos los destinos de registro excepto el buffer de registro y borre el buffer de registro:

    router#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z. 
router(config)#no logging console 
router(config)#no logging monitor 
router(config)#no logging 192.168.100.100 
router(config)#no logging 192.168.200.200 
router(config)#^Z 
router#clear logging 
Clear logging buffer [confirm]
router#

    Para una mejor legibilidad del resultado de la depuración, se deben habilitar las marcas de fecha y hora en milisegundos:

    router#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z. 
router(config)#service timestamps log datetime msec 
router(config)#service timestamps debug datetime msec 
router(config)#end 
router#

    Ahora se puede iniciar una sesión de depuración:

    router#debug ip packet detail 
IP packet debugging is on (detailed)

    La depuración no debe durar más de tres a cinco segundos. La sesión se puede detener con el comando  undebug all exec comando:

    router#undebug all 
All possible debugging has been turned off

    Los resultados se pueden comprobar con el show logging exec comando:

    router#show logging 
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) 
    Console logging: disabled 
    Monitor logging: disabled 
    Buffer logging: level debugging, 145 messages logged 
    Trap logging: level informational, 61 message lines logged 
Log Buffer (64000 bytes): 

*Mar  3 03:43:27.320: IP: s=192.168.40.53 (Ethernet0/1), d=10.254.2.204 
   (Ethernet0/0), g=10.200.40.1, len 100, forward 
*Mar  3 03:43:27.324: ICMP type=8, code=0      
*Mar  3 03:43:27.324: IP: s=192.168.40.53 (Ethernet0/1), d=10.254.2.205 
   (Ethernet0/0), g=10.200.40.1, len 100, forward 
*Mar  3 03:43:27.324: ICMP type=8, code=0      
*Mar  3 03:43:27.328: IP: s=192.168.40.53 (Ethernet0/1), d=10.254.2.206 
   (Ethernet0/0), g=10.200.40.1, len 100, forward 
*Mar  3 03:43:27.328: ICMP type=8, code=0      
...

    El registro muestra que:

    • Se ha recibido un paquete cada cuatro milisegundos

    • La dirección IP de origen es 192.168.40.53

    • Los paquetes han ingresado en la interfaz Ethernet0/1

    • Los paquetes tienen direcciones IP de destino diferentes.

    • Los paquetes han sido enviados en la interfaz Ethernet0/0

    • La dirección IP del salto siguiente es 10.200.40.1

    • Los paquetes eran solicitudes ICMP (tipo=8)

      En este ejemplo, puede ver que la alta utilización de la CPU en el proceso de entrada IP ha sido causada por una inundación de ping de la dirección IP 192.168.40.53.

      Las inundaciones SYN se pueden detectar fácilmente de esta manera porque la presencia de la bandera SYN se indica en la salida de información de depuración:


    *Mar 3 03:54:40.436: IP: s=192.168.40.53 (Ethernet0/1), d=10.254.2.204 
   (Ethernet0/0), g=10.200.40.1, len 44, forward     
*Mar 3 03:54:40.440: TCP src=11004, dst=53, 
   seq=280872555, ack=0, win=4128 SYN

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    11-Jul-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos