cisco 3825 不堪重负还是我的网络有问题？跪求解答！！急急急！

1081302221 · 发表于 2012-6-22 11:27:44

最近公司网络出现了一些问题，qq总是莫名其妙的掉线，然后cisco 3825 路由器过一段时间cpu就飙升到90%多，然后清一下nat表，cpu又会降下来，以前没有出现这种情况，我在怀疑是不是网络中病毒了，还是cisco 3825 路由器由于硬件原因处理不过来这么多的nat条目，导致的网络问题？我的网络架构是一台cisco3825 作为出口，下面连3层交换机cisco3750 ，cisco3750每个端口划分一个vlan，vlan 的ip地址作为pc的网关，然后pc通过cisco 2950连接到cisco3750上，网络拓扑就这么简单，公司现在上网人数差不多70人左右，请问我的网络怎么了，问题出在哪个地方呀？跪求告诉解答！！
下面我把我的配置贴出了
cisco 3825路由器配置信息：
interface GigabitEthernet0/0
ip address 192.168.100.254 255.255.255.0
ip nat inside
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address 58.210.148.2 255.255.255.240
ip accounting output-packets
ip nat outside
duplex auto
speed auto
media-type rj45
!
no ip classless
ip route 0.0.0.0 0.0.0.0 58.210.148.1
ip route 10.10.0.0 255.255.0.0 192.168.100.253
!
no ip http server
ip nat translation tcp-timeout 20
ip nat translation udp-timeout 20
ip nat translation icmp-timeout 20
ip nat translation max-entries 12000
ip nat pool nyy 58.210.148.3 58.210.148.3 netmask 255.255.255.240
ip nat pool nyy-1 58.210.148.7 58.210.148.7 netmask 255.255.255.240
ip nat pool nyy-office 58.210.148.8 58.210.148.8 netmask 255.255.255.240
ip nat inside source list nyy pool nyy overload
ip nat inside source list nyy-1 pool nyy-1 overload
ip nat inside source list nyy-office pool nyy-office overload
ip nat inside source static 10.10.10.4 58.210.148.4
ip nat inside source static tcp 10.10.60.100 2700 58.210.148.5 2700 extendable
ip nat inside source static tcp 10.10.60.100 6666 58.210.148.5 6666 extendable
ip nat inside source static tcp 10.10.60.100 3389 58.210.148.5 53389 extendable
ip nat inside source static tcp 10.10.60.100 8080 58.210.148.5 54480 extendable
ip nat inside source static 10.10.10.111 58.210.148.6
!
ip access-list standard nyy
permit 10.10.30.240 0.0.0.15
permit 10.10.20.240 0.0.0.15
permit 10.10.40.240 0.0.0.15
permit 10.10.40.16 0.0.0.15
ip access-list standard nyy-1
permit 10.10.60.0 0.0.0.255
ip access-list standard nyy-office
permit 10.10.50.0 0.0.0.255

cisco 3750 全部配置：
switch 1 provision ws-c3750g-24t
ip subnet-zero
ip routing
ip dhcp excluded-address 10.10.60.2 10.10.60.5
ip dhcp excluded-address 10.10.40.240 10.10.40.254
ip dhcp excluded-address 10.10.20.240 10.10.20.254
ip dhcp excluded-address 10.10.30.240 10.10.30.254
ip dhcp excluded-address 10.10.60.110 10.10.60.254
ip dhcp excluded-address 10.10.40.16 10.10.40.31
!
ip dhcp pool vlan20
network 10.10.20.0 255.255.255.0
default-router 10.10.20.1
dns-server 61.177.7.1
!
ip dhcp pool vlan30
network 10.10.30.0 255.255.255.0
default-router 10.10.30.1
dns-server 61.177.7.1
!
ip dhcp pool vlan40
network 10.10.40.0 255.255.255.0
default-router 10.10.40.1
dns-server 61.177.7.1
!
ip dhcp pool vlan50
network 10.10.50.0 255.255.255.0
default-router 10.10.50.1
dns-server 61.177.7.1
!
ip dhcp pool vlan60
network 10.10.60.0 255.255.255.0
default-router 10.10.60.1
dns-server 61.177.7.1
!
no ip domain-lookup
ip cef accounting prefix-length
vtp mode transparent
!
mls qos
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
vlan 10,20,30,40,50,60
!
interface GigabitEthernet1/0/1
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet1/0/2
switchport access vlan 20
switchport mode access
!
interface GigabitEthernet1/0/3
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet1/0/4
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet1/0/5
switchport access vlan 50
switchport mode access
!
interface GigabitEthernet1/0/6
switchport access vlan 60
switchport mode access
speed 10
!
interface GigabitEthernet1/0/7
switchport access vlan 60
speed 10
!
interface GigabitEthernet1/0/8
switchport access vlan 60
speed 10
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
!
interface GigabitEthernet1/0/19
!
interface GigabitEthernet1/0/20
!
interface GigabitEthernet1/0/21
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
!
interface GigabitEthernet1/0/24
no switchport
ip address 192.168.100.253 255.255.255.0
!
interface Vlan1
no ip address
shutdown
!
interface Vlan10
ip address 10.10.10.1 255.255.255.0
!
interface Vlan20
ip address 10.10.20.1 255.255.255.0
!
interface Vlan30
ip address 10.10.30.1 255.255.255.0
!
interface Vlan40
ip address 10.10.40.1 255.255.255.0
!
interface Vlan50
ip address 10.10.50.1 255.255.255.0
!
interface Vlan60
ip address 10.10.60.1 255.255.255.0
ip access-group 101 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.100.254
ip route 10.10.0.0 255.255.0.0 Null0
ip http server
!
arp 10.10.30.253 0000.0000.0000 ARPA
arp 10.10.30.248 0000.0000.0000 ARPA
arp 10.10.30.249 0000.0000.0000 ARPA
arp 10.10.30.246 0000.0000.0000 ARPA
arp 10.10.30.245 0000.0000.0000 ARPA

该贴已经同步到 1081302221的微博

A.P.J通明(笨笨 · 发表于 2012-6-22 14:33:02

查询一下NAT表出现高CPU时候有多少NAT呀,有可能内部机器中毒一直在和外面进行通信NAT高也正常的也是有可能的

A.P.J通明(笨笨 · 发表于 2012-6-22 14:37:12

查询NAT转换多的那个内网IP地址是多少
排查那机器是否中毒,因为又可能中毒,一直在外进行通信,比如向外DDOS等,导致说转换条数多,导致出现问题

1081302221 · 发表于 2012-6-22 15:09:28

A.P.J通明(笨笨发表于 2012-6-22 14:37
查询NAT转换多的那个内网IP地址是多少
排查那机器是否中毒,因为又可能中毒,一直在外进行通信,比如向外DDOS ...

我也感觉像是内网中毒了，现在还有一种状况，就是接入层pc ping三层交换机与路由器连接接口的ip地址正常，然后ping路由器内网地址（也就是路由器与三层交换机相连的接口的地址）就不通，我登陆到三层交换机上直接ping路由器内网地址（路由器与交换机直连的线路）也不通（我就想直连怎么也不通啊？我的端口都up，也正常），我把交换机与路由器直接的交叉线拔了之后，过一会儿再插上，又能通了，这是什么原因啊？？

ufd_苜 · 发表于 2012-6-23 11:15:58

1081302221 发表于 2012-6-22 15:09
我也感觉像是内网中毒了，现在还有一种状况，就是接入层pc ping三层交换机与路由器连接接口的ip地址正常， ...

就是接入层pc ping三层交换机与路由器连接接口的ip地址正常，然后ping路由器内网地址（也就是路由器与三层交换机相连的接口的地址）就不通

这两句能麻烦解释下吗？怎么感觉有些矛盾呢？

1081302221 · 发表于 2012-6-23 13:15:16

ufd_苜发表于 2012-6-23 11:15
就是接入层pc ping三层交换机与路由器连接接口的ip地址正常，然后ping路由器内网地址（也就是路由器与三层 ...

出口路由器g0/0口与三层交换机g0/24口直连，接入层的pc能ping通g0/24口，但ping不通g0/0口，在三层交换机上ping g0/0口也不通，端口都是双up的，什么原因啊？

wantccie · 发表于 2012-6-23 22:16:23

ip nat translation tcp-timeout 20
ip nat translation udp-timeout 20
ip nat translation icmp-timeout 20
ip nat translation max-entries 12000

这几条在3825上是默认的吗？

关于6楼提到的问题，建议用traceroute跟踪一下路由。

关于NAT转换的问题，你可以试着撤掉其中一组地址转换来看看效果。

另外为了防止广播风暴导致的网络问题，建议在交换机上启用风暴控制

wantccie · 发表于 2012-6-23 22:18:00

三层交换机上ping G0/0直连不通，
先重启下试试
换根网线或光纤看看
再不行，升级下ios

wantccie · 发表于 2012-6-23 22:19:41

另外，建议楼主在3825上用show process cpu sorts命令查看CPU的利用率，然后对某个占用高比率的进程进行分析，看看到底是什么原因导致的。

wantccie · 发表于 2012-6-23 22:21:06

我把交换机与路由器直接的交叉线拔了之后，过一会儿再插上，又能通了，这是什么原因啊？？

交换机和路由器属于不同种设备，应该用直连线。。。

账号		自动登录	找回密码
密码			立即注册

[讨论/求助] cisco 3825 不堪重负还是我的网络有问题？跪求解答！！急急急！