为何总在深夜CPU飙升？这个隐藏设置坑了多少人！

嘿！兄弟们

今天和大家唠唠一个世纪难题—— 明明配置纹丝未动，交换机/路由器的CPU占用率却突然飙到70%+，网速比树懒还慢？更神奇的是，有时微调某个参数，性能竟能原地起飞！ 

咱搬好小板凳、开罐冰阔落，一起扒扒这个能让设备原地起飞的神操作！

今日文章阅读福利：《常用命令手册》

联系在线客服发送“cpu”，即可获取，提升你的技术水平。

一、CPU 占用率高？先搞懂这货到底在忙啥！

简单来说，CPU 占用率就是设备的搬砖强度—— 比如你让交换机同时处理 1000 个快递（数据包）和 10 个快递，累不累自然一目了然。

当你用display cpu-usage看到数值飙过 70%，别慌！先记下罪魁祸首任务名 —— 就像抓小偷得先看监控，有的任务天生劳模---比如正常路由计算，有的可能在摸鱼划水---比如被攻击时的无效报文处理。

二、实战诊断：四步揪出占用CPU的罪魁祸首

第一步：查看上送CPU报文的统计信息

执行display cpu-defend statistics，看看哪些报文被疯狂丢弃。

arp-request 和 dhcp-client 的Drop计数如果像窜天猴一样，妥妥的攻击现场！

这时候就得给设备套上流量过滤策略，把恶意快递直接拒之门外。

<Huawei> display cpu-defend statistics all  

-----------------------------------------------------------------------  

Packet Type               Pass Packets        Drop Packets                      

-----------------------------------------------------------------------  

arp-request                    1450113               25597                      

dhcp-client                     114693              136586                      

...

第二步：有没有乱扔 TC 报文

STP 协议本是防环小能手，但总有攻击者伪造 TC-BPDU 报文搞破坏。用display stp interface看看接口收到的 TC 报文计数，如果数值狂涨，赶紧给 STP 套上过滤器：

stp tc-protection threshold 5  # 每个Hello周期只处理5个TC报文  

stp timer hello 4  # 延长检查周期，减少无效劳动  

第三步：查有没有环路问题

网络环路就像家里偷偷接了N条电话线，信号绕圈圈跑到天荒地老。先执行loop-detect eth-loop alarm-only开启防环警报，要是看到这种日志：

Feb 22 2022 ... MAC_FLAPPING_ALARM: 同一个MAC地址在Eth1/0/0和Eth1/0/1反复横跳！  

别犹豫，直接拔掉其中一根或者 shutdown 端口，或者启用 STP 让设备自己断舍离。

第四步：查日志情况

设备跟咱们一样，遇到糟心事会疯狂写日志。用display logbuffer看看是不是在狂刷 “端口 Up/Down”“认证失败” 这类重复信息 —— 好比有人在你耳边唠叨同一句话三小时，CPU 能不炸毛吗？关掉无用日志功能，瞬间还设备一片清净。

三、终极彩蛋：那些年踩过的 CPU 优化坑

别迷信 70% 警戒线：有的设备跑满 80% 依然稳如老狗，有的 50% 就开始抽风，一切以业务流畅度为准！

批量操作请错峰：半夜没人用网时再搞配置升级，别学某些狠人中午午休时批量重启设备。

硬件该换就换：就像用十年前的老电脑跑 3A 大作，实在带不动就给设备升级硬件，别硬撑！

今晚就去检查下设备 CPU 吧，说不定能抢救出几台濒临退休的老路由！记得联系客服发送 “cpu”，领走《常用命令手册》，里面藏着更多神秘命令