华为防火墙Eudemon1000E-D软件(V100R001C30SPC600)出现CPU利用率过高

发布时间:  2017-03-24 浏览次数:  78 下载次数:  0
问题描述

       某局点使用Eudemon1000E-D V100R001C30SPC600 现网策略500条左右,地址对象和服务对象5000条,在线修改策略时设备数据面CPU利用率达到99%,同时穿墙业务时延急剧上升。

告警信息

查看CPU利用率时,显示CPU利用率过高


处理过程

1CPU利用率超过阈值,设备会自动记录当时防火墙各任务的CPU占用情况,通过调取日志发现主要是fpath任务占用CPU资源,fpath主要负责报文转发(包括策略查找、路由等)

2、再检查操作日志,发现CPU冲高的时候正在做配置修改,而这些配置修改会触发策略加速。

3Eudemon1000E-D通过对多条策略生成索引并采用一定的加速算法,使得策略的匹配速度不会因数量的增加而降低。但生成索引会需要一定的时间,策略数量越多生成索引的时间也越长。当频繁新建、修改或删除策略时、由于索引尚未生成,会采用常规的逐条匹配规则,导致策略的匹配速度会大幅下降,影响处理性能,同时策略修改会触发会话刷新,即已建立的会话会重新进行一次策略匹配,这两种情况叠加会触发CPU利用率上升。


4、在策略相关的配置(策略数、策略引用的地址集和服务集等)较多时,我们建议开启策略加速备份查找功能,策略加速查找备份功能是指在新建、修改或删除策略后,临时将这些策略备份出来,单独生成新的索引,而在此过程中Eudemon1000E-D依然使用之前的索引进行策略匹配,保证了较高的处理性能。但是在策略匹配中采用了之前的索引,因此新建、修改或删除后的策略没有立即生效,通常情况下,新的索引会在1-3分钟左右生成,具体时间根据策略的数量而定,之后就会按照新的策略进行匹配。


根因

现网策略和地址对象服务对象比较多,在线修改配置,策略加速导致CPU利用率上升,影响正常业务转发。

解决方案

配置策略加速备份查找功能。
此功能没有默认开启,主要考虑对策略新做的配置修改不会马上生效。
# 开启策略加速查找备份功能。

<sysname> system-view
[sysname] policy accelerate standby enable

建议与总结

END