本帖最后由 suzhouxiaoniu 于 2016-12-12 20:17 编辑 通常情况下,6506 CPU 负载高有两种情况,一种是内部服务器感染病毒,对外伪造源IP乱发数据包,另一种情况是内部服务器遭受DOS攻击,通常是syn攻击。6506正常情况下CPU的负载在10%以下,如果高于10%,一般是不正常的情况。我们可以登录到负载不正常的交换机上,用
Show mls ip
命令查看网络流的情况,如果很多行的dstIP 出现为同一IP,基本可断定该机器遭受DOS攻击,可以配置访问控制列表使用在6506 和GSR相连的接口上,在IN 方向上使用。
比如在6506-1上发现XX.177.56.251受攻击,设置访问列表:
Access-list 100 deny tcp any host XX.177.56.251
Access-list 100 permit ip any any
然后:
IDC6506-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
IDC6506-1(config)#int rang g3/1 - 5
IDC6506-1(config-if-range)#ip access-group 101 in
IDC6506-1(config-if-range)#end
如果在6506-2上发现XX.177.56.251受攻击,设置访问列表:
Access-list 100 deny tcp any host XX.177.56.251
Access-list 100 permit ip any any
然后:
IDC6506-2#config t
Enter configuration commands, one per line. End with CNTL/Z.
IDC6506-2(config)#int rang g2/1 – 3 , g3/1 – 2
IDC6506-2(config-if-range)#ip access-group 101 in
IDC6506-2(config-if-range)#end
配置access-list 100 时要先确认access-list 100 这个编号没有被使用,如果已经配置了但没使用可在配置模式下 no access-list 100 清除。
一般不会出现内部服务器伪造源IP的情况,因为所有服务器的交换接口上都作了防止该问题出现的安全配置。
