Cisco路由器的安全配置简易实例(3)

　　如果路由器的多个接口同时丢失报文，则可能由于路由器内存不足或者CPU过载。用户可以使用show memory命令检查内存利用率（如下所示）。CPU利用率可以使用show process命令检查。

　　YH-Router#show memory

　　Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)

　　Processor 60DB19C0 19195456 6162924 13032532 11615164 11250780

　　Fast 60DB19C0 131072 128344 2728 2728 2684

　　show memory的前两行显示了存储器的一般信息，它表明系统有足够可用的内存。同时它还显示内存中没有碎片，因为在13.03兆字节可用内存中最大的可用块接近11.25兆字节。内存碎片表明内存被划分为了许多不连续的块。它将导致内存的利用率降低，严重时可能产生内存错误从而也严重影响路由器的性能。

　　现在看一看路由器中有许多内存碎片的情形（如下所示）。此时我们有足够多的可用内存（8.4兆字节），但是其中最大的块仅为0.5兆字节。连续内存中没有足够大的可用块，这有可能导致严重的内存分配问题。这些问题有时表现为一个或多个接口间歇性的丢失报文。此时路由器产生内存碎片错误消息。

　　HX-Router#sh mem

　　Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)

　　Processor 60DB19C0 19195456 10713712 8481744 192680 586748

　　Fast 60DB19C0 131072 90936 40136 40136 40092

　　使用命令show memory free，用户可以看到可用内存被划分为许多很小的碎片。需要注意的是，路由器中存在一定数量的内存碎片是正常的。虽然并没有一个很严格的界限来划分内存碎片的可接受程度，但是可用块的大小至少应该不小于可用内存的一半。用户可以通过重新启动路由器来解决这个问题。在重新启动时，系统重新分配内存和缓存空间。此时，用户应该监视内存分配的过程。如果再次发生类似的情况，则应该咨询Cisco TAC。

　　用户可以使用show process cpu命令检查路由器的CPU是否过载。该命令将给出路由器CPU的利用率，同时显示路由器中不同进程的CPU占用率。在下述示例中，路由器的CPU工作正常。在通常情况下，在5分钟内CPU的平均利用率小于60%是可以接受的。如果怀疑CPU利用率出现了问题，则需要不断地监视这一参数，因为它可能在短时间内发生变化。最好每10秒钟使用一次该命令。通过这种方法，可以清楚地了解CPU利用率的波动情况。

　　YH-Router#sh process cpu

　　CPU utilization for five seconds:15%/4%;one minute:175;five minutes:19%

　　PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process

　　1 460184 5380085 85 0.00% 0.00% 0.00% 0 NTP

　　2 252749536 2384205 106010 0.00% 2.35% 2.65% 0 Check Heaps

　　......

　　13 26155236 9135958 2862 0.32% 0.25% 0.22% 0 IP Background

　　14 317720 150150 2116 0.00% 0.00% 0.00% 0 IP Cache ager

　　......

　　23 51598380 135094851 381 0.32% 0.24% 0.28% 0 IPX Input

　　24 86792124 23662071 3667 0.98% 0.87% 0.89% 0 IPX RIP

　　25 438480948 123384161 3553 7.94% 3.31% 3.91% 0 IPX SAP

　　......