Cisco 基于软件的路由器使用软件来处理和路由数据包。当路由器执行更多数据包处理和路由操作时，Cisco 路由器上的 CPU 使用率势必增加。因此，show processes cpu 命令可对路由器上的数据流处理负载提供一个相当准确的指示。

Catalyst 6500/6000 交换机使用 CPU 的方式不同。这些交换机在硬件而不是软件中做出转发决策。因此，当交换机对通过交换机的大多数帧做出转发或交换决策时，进程不会占用 Supervisor 引擎 CPU。

在 Catalyst 6500/6000 交换机上，有两个 CPU。一个 CPU 是 Supervisor 引擎 CPU，称为网络管理处理器 (NMP) 或交换机处理器 (SP)。另一个 CPU 是第 3 层路由引擎 CPU，称为 MSFC 或路由处理器 (RP)。

SP CPU 执行以下功能：

· 帮助执行 MAC 地址识别和老化操作

注意：MAC 地址识别也称为路径设置。

· 运行提供网络控制的协议和进程

示例包括生成树协议 (STP)、Cisco 发现协议 (CDP)、VLAN 中继协议 (VTP)、动态中继协议 (DTP) 和端口聚合协议 (PAgP)。

· 处理发往交换机 CPU 的网络管理数据流

示例包括 Telnet、HTTP 和简单网络管理协议 (SNMP) 数据流。

RP CPU 执行以下功能：

· 构建和更新第 3 层路由和地址解析协议 (ARP) 表

· 生成 Cisco 快速转发 (CEF) 转发信息库 (FIB) 和邻接表，并将这些表下载到 Policy Feature Card (PFC)

· 处理发往 RP 的网络管理数据流

示例包括 Telnet、HTTP 和 SNMP 数据流。

发往交换机的任何数据包都会进入软件。此类数据包包括：

· 控制数据包

对于 STP、CDP、VTP、热备用路由器协议 (HSRP)、PAgP、链路聚合控制协议 (LACP) 和单向链路检测 (UDLD)，将收到控制数据包。

· 路由协议更新

这些协议的示例包括路由信息协议 (RIP)、增强型内部网关路由协议 (EIGRP)、边界网关协议 (BGP) 和开放最短路径优先（OSPF 协议）。

· 发往交换机的 SNMP 数据流

· 对交换机的Telnet和安全套接协议(SSH)流量。

高CPU ultilization由于SSH被看到如下：

00:30:50.793 SGT Tue Mar20 2012CPU utilization for five seconds: 83%/11%; one minute: 15%; fiveminutes: 8% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTYProcess 3 6468 8568 75469.30% 7.90% 1.68% 1 SSH Process

当CPU上升时，请包括这些in命令EEM脚本为了验证SSH会话数量建立：

· show users

· 对 ARP 请求的 ARP 响应

此列表提供强制数据包在软件中进行处理的特定数据包类型和情况：

· 具有 IP 选项、过期存活时间 (TTL) 或非高级研究项目管理局 (ARPA) 封装的数据包

· 需要特殊处理（如建立隧道）的数据包

· IP 分段

· 需要来自 RP 或 SP 的 Internet 控制消息协议 (ICMP) 消息的数据包

· 最大传输单元 (MTU) 检查失败

· 具有 IP 错误（包括 IP 校验和长度错误）的数据包

· 如果输入信息包返回位错误(例如一位错误(SBE))数据包被发送对处理的软件的CPU和被更正。系统分配他们的一缓冲区并且使用CPU资源更正它。

· 当PBR和自反访问列表在通信流的路径时，数据包是交换的软件，要求另外的CPU周期。

· 邻接同一接口

· 未能通过反向路径转发 (RPF) 检查的数据包 - rpf-failure

· 收集/接收

收集是指需要 ARP 解析的数据包，接收是指归入接收情况的数据包。

· Supervisor 引擎 720 上在 Cisco IOS 软件和 CatOS 中都进行软件交换的互联网分组交换(IPX) 数据流

IPX 数据流在 Supervisor 引擎 2/Cisco IOS 软件上也进行软件交换，但该数据流在Supervisor 引擎 2/CatOS 上进行硬件交换。IPX 数据流在 Supervisor 引擎 1A 上对于两个操作系统都进行硬件交换。

· AppleTalk 数据流

· 硬件资源已满情况

这些资源包括 FIB、内容可寻址存储器 (CAM) 和三重 CAM (TCAM)。

· 已打开“ICMP 不可达”功能的被访问控制列表 (ACL) 拒绝的数据流

注意：这是默认设置。

如果已启用“IP 不可达”功能，则 ACL 拒绝的某些数据包将被泄漏给 MSFC。需要“ICMP 不可达”的数据包将以用户可配置的速率泄漏。默认情况下，速率为每秒 500 个数据包（500 pps）。

· IPX 根据不支持的参数（如源主机）进行过滤

在 Supervisor 引擎 720 上，第 3 层 IPX 数据流的处理始终在软件中进行。

· 具有 log 关键字的，需要日志记录的访问控制项(ACE)

这适用于 ACL 日志和 VLAN ACL (VACL) 日志功能。同一 ACL 中不需要日志记录的 ACE 仍在硬件中进行处理。具有 PFC3 的 Supervisor 引擎 720 支持对因 ACL 和 VACL 日志记录而重定向到 MSFC 的数据包进行速率限制。Supervisor 引擎 2 支持对因 VACL 日志记录而重定向到 MSFC 的数据包进行速率限制。Supervisor 引擎 2 上对 ACL 日志记录的支持计划在 Cisco IOS 软件版本 12.2S 分支中提供。

· 策略路由的数据流（使用 match length、set ip precedence 或其他不支持的参数）

软件中支持 set interface 参数。但是，set interface null 0 参数是一个例外。在具有 PFC2 的 Supervisor 引擎 2 和具有 PFC3 的 Supervisor 引擎 720 上，此数据流在硬件中进行处理。

· 非 IP 和非 IPX 路由器 ACL (RACL)

非 IP RACL 适用于所有 Supervisor 引擎。非 IPX RACL 仅适用于具有 PFC 的 Supervisor 引擎 1a 和具有 PFC2 的 Supervisor 引擎 2。

· 在 RACL 中被拒绝的广播数据流

· 在单播 RPF (uRPF) 检查中被拒绝的数据流，ACL ACE

此 uRPF 检查适用于具有 PFC2 的 Supervisor 引擎 2 和具有 PFC3 的 Supervisor 引擎 720。

· 身份验证代理

在 Supervisor 引擎 720 上可以对受身份验证代理控制的数据流进行速率限制。

· Cisco IOS 软件 IP 安全 (IPSec)

在 Supervisor 引擎 720 上可以对受 Cisco IOS 加密控制的数据流进行速率限制。

本部分介绍的基于 NetFlow 的功能仅适用于 Supervisor 引擎 2 和 Supervisor 引擎 720。

· 基于 NetFlow 的功能总是需要在软件中看到数据流的第一个数据包。数据流的第一个数据包到达软件后，将对同一数据流的后续数据包进行硬件交换。

此数据流安排适用于自反 ACL、Web 缓存通信协议 (WCCP) 和 Cisco IOS 服务器负载均衡 (SLB)。

注意：在 Supervisor 引擎 1 上，自反 ACL 依靠动态 TCAM 条目创建特定数据流的硬件快捷方式。原理是相同的：数据流的第一个数据包进入软件。该数据流的后续数据包进行硬件交换。

· 使用 TCP 拦截功能，三次握手和会话关闭将在软件中进行处理。数据流的其余部分在硬件中进行处理。

注意：同步 (SYN)、SYN 确认 (SYN ACK) 和 ACK 数据包构成三次握手。会话关闭发生在完成 (FIN) 或重置 (RST) 时。

· 使用网络地址转换 (NAT)，数据流按如下方式进行处理：

· 在 Supervisor 引擎 720 上：

需要 NAT 的数据流在初始转换后在硬件中进行处理。流的第一个数据包的转换在软件中进行，该流的后续数据包进行硬件交换。对于 TCP 数据包，将在完成 TCP 三次握手后在 Netflow 表中创建硬件快捷方式。

· 在 Supervisor 引擎 2 和 Supervisor 引擎 1 上：

需要 NAT 的所有数据流都进行软件交换。

· 基于上下文的访问控制 (CBAC) 使用 Netflow 快捷方式将需要检查的数据流分类。然后，CBAC 仅将此数据流发送到软件。CBAC 是一个仅限软件的功能；受检查控制的数据流不进行硬件交换。

注意：在 Supervisor 引擎 720 上可以对受检查控制的数据流进行速率限制。

· 独立于协议的多播 (PIM) 监听

· Internet 组管理协议 (IGMP) 监听 (TTL = 1)

此数据流实际上被发往路由器。

· 多播监听程序发现 (MLD) 监听 (TTL = 1)

此数据流实际上被发往路由器。

· FIB 缺失

· 与多播源直接连接的用于注册的多播数据包

这些多播数据包通过隧道被传输到集合点。

· IP 版本 6 (IPv6) 多播

· 基于网络的应用程序识别 (NBAR)

· ARP 检查，仅适用于 CatOS

· 端口安全，仅适用于 CatOS

· DHCP 监听

· 具有逐跳选项报头的数据包

· 与路由器具有相同目标 IPv6 地址的数据包

· 未能通过范围实施检查的数据包

· 超出输出链路的 MTU 的数据包

· TTL 小于或等于 1 的数据包

· 输入 VLAN 等于输出 VLAN 的数据包

· IPv6 uRPF

软件为所有数据包执行此 uRPF。

· IPv6 自反 ACL

软件处理这些自反 ACL。

· IPv6 站内自动隧道编址协议 (ISATAP) 隧道的 6to4 前缀

软件处理此隧道。所有其他进入 ISATAP 隧道的数据流进行硬件交换。