AR3260配置DSN Mapping后,CPU占用率高

发布时间:  2015-03-31 浏览次数:  419 下载次数:  0
问题描述
组网情况:



现象描述:


用户期望内部PC通过公网域名去直接访问内部服务器。配置文件如下:

nat alg dns enable
#
nat dns-map ztbzx.huangshi.gov.cn 61.184.106.138 80 tcp
nat dns-map www.hsztbzx.com 61.184.106.138 80 tcp
#
配置完成后,发现设备的CPU占用率会很高,有告警提示。

Jun 5 2013 08:57:55+00:00 AR3260 %%01MON/4/CPU_USAGE_HIGH(l)[0]:The CPU is overloaded, and the tasks with top three CPU occupancy are VALP(91%), SOCK(0%), AREM(0%). (CpuUsage=97%, Threshold=80%)
Jun 5 2013 08:56:48+00:00 AR3260 %%01MON/4/CPU_USAGE_HIGH(l)[1]:The CPU is overloaded, and the tasks with top three CPU occupancy are VALP(87%), SOCK(0%), QADP(0%). (CpuUsage=93%, Threshold=80%)
Jun 5 2013 08:54:13+00:00 AR3260 %%01MON/4/CPU_USAGE_HIGH(l)[2]:The CPU is overloaded, and the tasks with top three CPU occupancy are VALP(94%), QADP(1%), SOCK(0%). (CpuUsage=100%, Threshold=80%)
处理过程
了解到现网的内部网络有大量的主机,使能DNS ALG后,当内部主机转发报文携带域名时,均需要上送AR进行解析,导致CPU占用率高。

解决方法如下:

1、删除DNS ALG和DNS Mapping的配置,配置文件如下:

undo nat alg dns enable
undo nat dns-map ztbzx.huangshi.gov.cn 61.184.106.138 80 tcp
undo nat dns-map www.hsztbzx.com 61.184.106.138 80 tcp

2、在GE1/0/0上配置NAT Server,配置文件如下:
#
acl number 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 61.184.106.138 0
#
interface GigabitEthernet1/0/0
ip address 192.168.1.1 255.255.255.0
nat outbound 3000 //内网主机直接访问61.184.106.138时做Easy IP,将源地址改为GE1/0/0的地址,保证内网服务器和内网主机间的交互都经过Router转发
nat server protocol tcp global 61.184.106.138 www inside 192.168.1.2 www  //内网主机直接访问61.184.106.138时,将目的地址改为私网地址
建议与总结
使能ALG(Application Level Gateway)功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息,并根据映射表项进行替换,实现报文正常穿越NAT。目前设备的ALG功能所支持的协议包括:DNS、FTP、SIP、PPTP和RTSP。

过多的内网主机同时用域名方式访问内网服务器时,如果使能了NAT ALG,会导致设备的CPU占用率高,因此,可以采用NAT Outbound和NAT Server的方式来规避此问题。

END