【路由器】路由器系统类异常，即CPU利用率高，导致设备CLI响应慢、ping设备丢包或延迟大、协议振荡、设备转发异常

1、故障现象

1） show  cpu是日常维护中最常用的查看设备状态的一个命令，show cpu高（超过30%）就要引起注意。

2） 当发现 设备CLI响应慢、ping设备丢包或延迟大、协议振荡、设备转发异常等现象时，首先需要通过show cpu命令确认设备状态。

例如：

Ruijie>show cpu

=======================================

     CPU Using Rate Information

CPU utilization in five seconds: 89%

CPU utilization in one minute  : 42%

CPU utilization in five minutes: 50%

  NO   5Sec   1Min   5Min   Process

  0   0.01%   0.01%   0.01%    LISR INT

  1   0.00%   0.00%   0.00%    HISR INT

...........

2、故障可能原因

1) show run/debug 等操作，会打印大量信息，短时间内CPU会飙高

2) 快转（IP REF）功能没打开，导致设备运行在进程模式，完全依赖CPU转发

3) 路由协议/STP协议/VRRP/BFD等邻居协议频繁震荡，协议重新计算消耗CPU资源

4) 网络攻击

5) 某进程在执行过程中耗费较多CPU资源无法释放。（例如SNMP读取设备相关MIB，设备打印大量Syslog，telnet进程挂死）

3.故障处理流程

4.处理故障

4.1 检查CPU进程信息，查看是否存在特殊进程占用导致CPU利用率增高。

方法：

执行命令show cpu, 连续3次获取CPU利用率信息（间隔5S执行一次）。

Ruijie#sho cpu

=======================================

CPU Using Rate Information

CPU utilization in five seconds: 0%

CPU utilization in one minute  : 0%

CPU utilization in five minutes: 0%

  NO   5Sec   1Min   5Min   Process    

  0     0%     0%     0%    LISR INT

  1     0%     0%     0%    HISR INT

  2     0%     0%     0%    ktimer

  3     0%     0%     0%    atimer

  4     0%     0%     0%    printk_task

  5     0%     0%     0%    waitqueue_process

  6     0%     0%     0%    tasklet_task

  7     0%     0%     0%    kevents

  8     0%     0%     0%    __ef_event_grp_TASK

  9     0%     0%     0%    snmpd

 10     0%     0%     0%    snmp_trapd

......(中间省略)

 96     0%     0%     0%    rl_con

 97   100%   100%   100%    idle

下面则是具体的CPU利用率分布情况。其中，每一列的含义如下：

·    No：序号

·    5Sec：每一行表示的任务最近5秒钟内的CPU利用率

·    1Min：每一行表示的任务最近1分钟内的CPU利用率

·    5Min：每一行表示的任务最近5分钟内的CPU利用率

·    Process：任务名称

在显示的任务信息中，需要关注的是一分钟和5分钟的CPU利用率，5秒钟的CPU利用率可能由于瞬间CPU处理报文过多导致升高，以此数据判断问题不太准确。

在CPU进程中，其中有个idle任务比较特殊，是CPU的空闲任务，越高表明CPU越空闲。其他任务如果比率太高，说明该任务运行可能不正常。

检查标准：

1. 检查输出结果中是否存在5Sec内CPU利用率较高的进程，且在连续3次的收集过程中均发现此进程利用率较高。（某进程CPU利用率达到15%及以上时，通常可定义为较高）

解决方法：

由于CPU进程在执行过程中耗费大量CPU资源且无法释放，将导致CPU利用率增高。查找到CPU高的进程，参考对应进程的处理办法执行，常见的CPU高进程有：

·    LISR/HISR

·    tnet/tnet6

·    ktimer

·    printk_task

·    rl_con

·    vty_connect

·    nsmd/ripd/ospfd/bgpd

·    snmpd

LISR/HISR

router#show cpu

=======================================

     CPU Using Rate Information

CPU utilization in five seconds: 60%

CPU utilization in one minute  : 73%

CPU utilization in five minutes: 63%

  NO   5Sec   1Min   5Min   Process

  0    15%    17%    15%    LISR INT

  1     0%     1%     1%    HISR INT

进程解释：

HISR：高级中断服务程序；

LISR：中断处理程序；

处理步骤：

中断程序用于任务间的中断交替处理，具体作用不必深究。HISR/LISR与后面的进程不同，HISR/LISR服务于所有程序中断，因此这里表示所有LISR的CPU利用率和所有HISR的CPU利用率。

LISR/HISR 占用CPU利用率高，说明系统中断频繁，任务调度处在繁忙状态，但这不能直接说明问题，需要结合其他进程来看。

最常见情况，tnet/tnel6 CPU利用率高时，LISR CPU利用率也高。可以参考”tnet/tnet6进程排查“。

tnet/tnet6

router#show cpu

=======================================

     CPU Using Rate Information

CPU utilization in five seconds: 54%

CPU utilization in one minute  : 57%

CPU utilization in five minutes: 56%

  NO   5Sec   1Min   5Min   Process

  0    14%    15%    15%    LISR INT

  1     1%     1%     1%    HISR INT

  2     0%     0%     0%    ktimer

  3     0%     0%     0%    atimer

.......

 25     0%     0%     0%    tnet6

 26    39%    41%    40%    tnet

进程解释：

tnet：IPv4进程转发进程，有别于锐捷快速转发（IP REF）。

tnet6：即IPv6进程转发进程，和tnet类似，只是用于处理IPv6报文。

进程转发与快速转发的区别：

·    锐捷快速转发是一系列促进报文快速转发提升设备性能的机制集合，比如流机制、多线程、V-CPU等等。而进程转发是传统的、单纯靠CPU按照既定逻辑处理报文的机制，其大量消耗CPU资源，转发性能低下。

·    接口通过命令ip ref启用快速转发机制，没有启用快转的，设备就工作在进程转发模式。

·    接口启用快速转发功能（IP REF）后，还是有部分工作需要由进程转发完成：

1) 所有送往设备本身，或从设备发起的数据流，比如：ftp，telnet，snmp，arp，icmp  （对于穿越设备的数据走快转）

2) 目的地址不可达的报文：目的地址不可达，那么快转层面会把报文交给进程处理，发送ICMP不可达等消息，也消耗CPU

3) 分片报文重组：设备对于分片报文，需要重组后再转发，重组需要送CPU处理

处理步骤：

1、 确认是否所有在使用的三层接口都开启快速转发功能（IP REF）。

判断接口是否开启快转，由于未开启快转所有报文需要上送设备CPU处理，导致CPU利用率升高。可以通过设备所有接口ip ref，等待一段时间后确认CPU利用率是否下降。该点可进一步结合tnet/tnet6线程判断。如果未开启快转，在实际环境中如果报文流量很大，那么tnet/tnet6的线程CPU利用率肯定高。

接口没有开启快转（IP REF）是最常见的CPU高现象。所有设备必须开启快转功能！

哪些设备需要配置REF：

RSR10、RSR20、RSR30、NPE50、RSR50、RSR50E系列路由器。

哪些设备不需要配置REF：

RSR10-02E、RSR20-14E/F、RSR77系列及后续将推出的新产品在所有三层接口下已默认启用ip ref功能，无需手动配置

如何开启REF：

1：在项目测试与工程实施时，确保在路由器所有三层接口下已经配置了ip ref功能。

2：在网络巡检时，关注路由器三层接口的ref的配置情况；若末正确配置ref功能，需及时增加ip ref配置。

      注意：配置ip ref时有可能导致业务的瞬间中断，请在非业务高峰期进行配置。

3：路由器上需要配置ip ref功能的接口如下：

以太网接口：

      interface FastEthernet

   ip ref

      interface GigabitEthernet

   ip ref

虚接口：

      interface Dialer

   ip ref

      interface Group-Async

   ip ref

      interface Multilink

   ip ref

      interface Tunnel

   ip ref

      interface Virtual-ppp

   ip ref

      interface Virtual-template

   ip ref

      interface Vlan

   ip ref

广域网接口：

      interface Async

   ip ref

      interface ATM

   ip ref

      interface  Pos

   ip ref

      interface Serial

   ip ref

      Controller e1

   ip ref

      Controller sonet

   ip ref

注意：老版本在某些接口下可能无法配置ip ref功能，但你不需要去记忆，只要记住配置ref的原则：在进入接口配置模式时，建议习惯性敲ip ref；只要该接口下有ip ref命令，就必须配置；

确认所有三层接口都开启快转后，如果tnet/tnet6进程CPU仍然高，那么请继续排查。

2、 判断网络中是否存在过多分片报文。

由于分片报文需要消耗CPU对报文进行重组或者丢弃，如果未布置防火墙的网络中经常会遭受分片攻击，攻击者会发送大量未能无法重组成功的分片报文耗尽CPU处理资源。可以通过show ip fpm statics中的数字判断（如下红色字体部分）。按照一般网络主机数量判断如果超过1000就必须特别注意，需要分析网络架构是否合理，网络中是否存在攻击源。

show信息举例：

1 Router#show ip fpm sta

The capacity of the flow table:2080000

Number of active flows:517222

Number of the defragment contexts:1705

Number of the buffers hold by FPM:1800

分片报文多，比较难定位，但可以通过配置本地防攻击来对CPU进行保护：

control-plane data

  acpp bw-rate 300 bw-burst-rate 600

注意：这是对送CPU的数据报文进行限速，正常的送CPU报文也会被限制。因此这个值需要根据网络进行调整。（以上是一个推荐值）

3、 判断网络中是否存在对设备的流量攻击攻击。

1）通过show interface对应接口，查看接口流量。

Ruijie#sho int gi2/1/0

Index(dec):10 (hex):a

GigabitEthernet 2/1/0 is DOWN  , line protocol is DOWN   

Hardware is GIGABIT ETHERNET CONTROLLER GigabitEthernet, address is 001a.a93c.1429 (bia 001a.a93c.1429)

Interface address is: no ip address

ARP type: ARPA, ARP Timeout: 3600 seconds

  MTU 1500 bytes, BW 1000000 Kbit

  Encapsulation protocol is Ethernet-II, loopback not set

  Keepalive interval is 10 sec , set

  Carrier delay is 2 sec

  Rxload is 1/255, Txload is 1/255

  Queueing strategy: FIFO

    Output queue 0/40, 0 drops;

    Input queue 0/75, 0 drops

  5 minutes input rate 0 bits/sec, 0 packets/sec    //该接口in方向速率

  5 minutes output rate 0 bits/sec, 0 packets/sec    //该接口out方向速率

2）比较所有接口in方向速率总和与out方向速率总和的关系，确认是否存在攻击

以图为例，该路由器有两个内网口，一个外网口。

（所有接口in方向速率相加的总和）等于或略大于(所有接口out方向速率的总和）表示整体流量平衡，没有对设备的流量攻击

（所有接口in方向速率相加的总和）如果明显大于(所有接口out方向速率的总和），标明有很大的流量被设备吞了，这部分数据就很可能是对设备的攻击。需要根据接口流量，找出攻击源。

4、判断是否存在过多的到达本机的协议报文，

到达本机的报文主要是telnet/icmp/路由不可达报文需送CPU丢弃处理/arp报文。

1）防攻击 ACL配置

现在的网络中存在大量的攻击，外网的TCP 半开放连接攻击，碎片攻击，还有一些迅雷，P2P 的流量虽然内网已经断开了连接，但是外网还是会发大量的数据包过来，占用大量的带宽和浪费路由器的资源。所以在用 NPE 路由器做出口的时候必须要加上防攻击的ACL。放通需要放通的，再 deny所有外网始发的数据，内网到设备的数据。

（1）针对外网口的 ACL

配置阻止所有外网主动访问内网和路由器的流量,放通从外网访问内网服务器的流量.

ip access-list extended 101                      绑定在外网口的 ACL

10 permit tcp any any eq telnet                 开放从外网来的 telnet 数据

20 permit icmp any any                            开放 ping 

30 permit ip any host 60.12.27.181  eq 80      开放内网的相关服务器

40 permit tcp any host 61.153.10.249 eq  ftp          开放内网的相关服务器

50 permit tcp any host 61.153.18.28 eq  8080    开放内网的相关服务器

60 deny ip any any                                  在外网口拒绝所有的流量

（2）针对内网口的 ACL

ip access-list extended 100                         绑定在内网口的 ACL

10 permit tcp any host 192.168.199.1 eq telnet   放通从内网到本机的 telnet

20 permit icmp any host 192.168.199.1               放通从内网到本机的 ping

30 deny ip any host 192.168.199.1                   deny 其它所有内网到本机的数据

40 permit ip any any                                放通所有从内网到外网去的数据

注意：192.168.199.1是 NPE内网接口的 IP

（3）在接口下绑定ACL

ip access-group 100 in                                在内网口配置

ip access-group 101 in                                 在外网口配置

2）配置黑洞路由

为了防止外网的扫描，内网的变换源地址攻击，造成路由循环，浪费路由器的资源，我们需要配置黑洞路由。还有一种情况就是,有时候NAT地址池的网段和出接口 IP 地址在同一个网段时，内网用户直接访问地址池的公网地址，路由发现是直连网段就会去查ARP 表，当然这是查找不到，所以此数据就一直送CPU 处理，造成路由器CPU 升高．  如果NAT地址池的地址为202.56.32.1-202.56.32.127黑洞路由如下配置

ip route 202.56.32.0 255.255.255.128 null0

3）开启半连接防护

开启半连接防护可以防止一部分 tcp syn 攻击：

ip session track-state-strictly

4）在接口下配置 no ip directed-broadcast、no ip mask-reply

可以防止一些攻击报文。

no ip mask-reply

no ip directed-broadcast

5）开启路由器的本地防攻击

如果故障出现，以上优化配置 CPU 都无法降下来，建意开启设备防攻击功能，设备防攻击模块就是对需要进入控制层面处理的数据报文进行分类，过滤，限速，从而达到保护控制层面的关键资源的目的。

我们可以通过限止送 CPU的报文，来防止 CPU资源被耗尽。一般过路数据是不需要送CPU 处理的，所以防攻击策略配置恰当一般不会影响正常业务和用户对设备的管理。

ip access-list extended 111

  10 deny ip host 192.168.1.111 any    //管理主机 IP

  20 permit ip any any 

control-plane

  control-plane protocol

  scpp list 111 bw-rate 500 bw-burst-rate 600

  no acpp     //针对所有送往本地的协议控制流。例如链路层协议的协议报文，路由协议报文等。

control-plane manage

 port-filter log

 arp-car 10 log

 scpp list 111 bw-rate 500 bw-burst-rate 600

 no acpp     //针对所有送往本地的管理协议流。例如 web 管理，telnet，snmp 等，另外 arp 也属于这一类。

control-plane data

 no glean-car

 scpp list 111 bw-rate 300 bw-burst-rate 600 log

 no acpp    //针对所有快转平面无法处理的数据流都属于这一类，如分片报文，另外 icmp 的一些诊断报文也属于这一类。

5、如果无法恢复正常，请跳转到信息收集章节，收集信息，拨打4008111000寻求支持。

ktimer

Ruijie#show cpu

=======================================

     CPU Using Rate Information

CPU utilization in five seconds:  0.01%

CPU utilization in one minute  :  0.01%

CPU utilization in five minutes:  0.00%

  NO   5Sec   1Min   5Min   Process

  0   0.01%   0.01%   0.00%    LISR INT

  1   0.00%   0.00%   0.00%    HISR INT

  2   0.00%   0.00%   0.00%    ktimer

进程解释：

ktimer线程提供给各个模块注册定时器用的。该线程占有CPU比例高，证明有定时器长时间，可能部分调度存在异常。

处理步骤：

该进程CPU占用高，一般需要研发参与定位，请直接跳转到信息收集章节，收集信息，拨打4008111000寻求支持。

printk_task

Ruijie#show cpu

=======================================

     CPU Using Rate Information

CPU utilization in five seconds:  0.01%

CPU utilization in one minute  :  0.01%

CPU utilization in five minutes:  0.00%

  NO   5Sec   1Min   5Min   Process

  0   0.01%   0.01%   0.00%    LISR INT

  1   0.00%   0.00%   0.00%    HISR INT

  2   0.00%   0.00%   0.00%    ktimer

  3   0.00%   0.00%   0.00%    atimer

  4   0.00%   0.00%   0.00%    printk_task

进程解释：

printk_task打印进程，打印日志信息/调试信息。

处理步骤：

有大量打印日志信息或调试信息操作时，将导致该线程占用CPU过多的资源。比如debug/show信息/@@@@@信息等。一般都是在打印时间段内CPU飙高，打印信息完毕后会回归正常。

比如，show ip  fpm flow 会打印整机的流表信息，条目数可能有几万或几十万，打印过程cpu就可能飙高，ctrl+c终止或打印完成后，一般会回归正常值。

比如，打开debug命令，打印量非常大，可以通过 undebug all 关闭所有debug。

通过以上操作后，观察CPU利用率经过一段时间是否恢复。如果无法恢复，请直接跳转到信息收集章节，收集信息，拨打4008111000寻求支持。

rl_con

Ruijie#sho cpu

=======================================

CPU Using Rate Information

CPU utilization in five seconds: 0%

CPU utilization in one minute  : 0%

CPU utilization in five minutes: 0%

  NO   5Sec   1Min   5Min   Process    

  0     0%     0%     0%    LISR INT

  1     0%     0%     0%    HISR INT

......

146   0.00%   0.00%   0.00%    rl_con

147  100.00%  99.97%  99.97%    idle

进程解释：

rl_con 控制台线程，用于处理命令，打印或者命令执行的进程，所执行的命令的执行函数长时间占用CPU。

处理步骤：

比如执行show run、show 命令都会对CPU有所影响，可以在信息收集完一段时间检查cpu利用率是否下降。

可尝试关闭console口的日志输出功能，Ruijie(config)#no logging console

      或限制日志的输出速率， Ruijie(config)# logging rate-limit all 10 except emergencies

通过以上操作后，观察CPU利用率经过一段时间是否恢复。如果无法恢复，请直接跳转到信息收集章节，收集信息，拨打4008111000寻求支持。

vty_connect

Ruijie#sho cpu

=======================================

CPU Using Rate Information

CPU utilization in five seconds: 0%

CPU utilization in one minute  : 0%

CPU utilization in five minutes: 0%

  NO   5Sec   1Min   5Min   Process    

  0     0%     0%     0%    LISR INT

  1     0%     0%     0%    HISR INT

......

 84   0.00%   0.00%   0.00%    vty_connect

进程解释：

vty_connect模块初始化线程，用于创建\断开vty连接；

处理步骤：

1、  telnet线程出错，可能停止在telnet上执行的操作命令，等待一段时间确认CPU利用率是否下降；

2、  如果vty_connect CPU占用未能下降，可以通过清除对应vty进程尝试解决

1）通过show users查看当前vty用户

2）通过执行clear line vty xx将vty连接都清除掉。

3、 通过以上操作后，观察CPU利用率经过一段时间是否恢复。如果无法恢复，请直接跳转到信息收集章节，收集信息，拨打4008111000寻求支持。

nsmd/ripd/ospfd/bgpd/isisd

Ruijie#sho cpu

=======================================

CPU Using Rate Information

CPU utilization in five seconds: 0%

CPU utilization in one minute  : 0%

CPU utilization in five minutes: 0%

  NO   5Sec   1Min   5Min   Process    

  0     0%     0%     0%    LISR INT

  1     0%     0%     0%    HISR INT

......

 60   0.00%   0.00%   0.00%    nsmd

 61   0.00%   0.00%   0.00%    ripd

 62   0.00%   0.00%   0.00%    ospfd

 63   0.00%   0.00%   0.00%    ripngd

 64   0.00%   0.00%   0.00%    ospf6d

 65   0.00%   0.00%   0.00%    bgpd

 66   0.00%   0.00%   0.00%    isisd

进程解释：

nsmd：网络服务模块，管理接口表与路由表，为协议模块与底层模块之间提供各种信息的交互。如接口UPDOWN、路由添加删除等等，因此，nsmd线程处理的东西很多，比如接口创建/删除、VRF绑定/解绑定、接口UP/DOWN、路由震荡等等，都有可能导致nsmd线程占用大量的CPU，这个时候只能结合其他系统信息才能具体分析了。

ospfd/ospf6d ：OSPF协议守护线程/ OSPFv6协议守护进程

ripd/ripngd：RIP协议守护线程/ RIPng协议守护进程

bgpd： BGP协议守护进程

isisd： ISIS协议守护进程

处理步骤：

以上这些进程都和路由协议强相关，在路由协议发生震荡时，特别是网络比较庞大的情况下，需要消耗大量的CPU计算和收敛。

表现出来的现象一般为动态路由协议邻居不断重协商：

日志不断打印信息：

*Aug  9 10:26:10: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet 0/24, changed state to up.

*Aug  9 10:26:20: %OSPF-5-ADJCHG: Process 10, Nbr 10.10.10.1-GigabitEthernet 0/24 from Down to Init, HelloReceived.

*Aug  9 10:26:50: %OSPF-5-ADJCHG: Process 10, Nbr 10.10.10.1-GigabitEthernet 0/24 from Exchange to Full, ExchangeDone.

*Aug  9 10:27:44: %OSPF-5-ADJCHG: Process 10, Nbr 10.10.10.1-GigabitEthernet 0/24 from Full to Init, 1-WayReceived.

*Aug  9 10:27:55: %OSPF-5-ADJCHG: Process 10, Nbr 10.10.10.1-GigabitEthernet 0/24 from Exchange to Full, ExchangeDone.

1、排查路由容量是否达到设备极限

1）可以先通过show memory查看内存情况

路由容量极限和内存强相关，如果内存使用率在85%以上，就很可能是内存不足，路由无法收敛完成进而不断重启路由进程。

2）关闭部分接口

此时需要大约计算下设备的路由条目数，如果数量确实庞大，可以通过关闭部分接口观察CPU是否下降。比如，在政务网MPLS-VPN环境中有多个VRF，可以尝试shutdown几个VRF接口，看路由收敛情况。

2、排查链路是否频繁UP/DOWN

链路的UP/DOWN必然导致动态路由收敛，可以通过show log确认是否有哪些接口链路本身频繁UP/DOWN，找出原因。

由于接口链路问题导致邻居协议频繁UP/Down的，可以临时将物理接口关闭（shutdown）或关闭动态路由协议观察问题是否解决，或继续深入排查接口链路问题

3、 通过以上操作后，观察CPU利用率经过一段时间是否恢复。如果无法恢复，请直接跳转到信息收集章节，收集信息，拨打4008111000寻求支持。

snmpd

Ruijie#sho cpu

=======================================

CPU Using Rate Information

CPU utilization in five seconds: 0%

CPU utilization in one minute  : 0%

CPU utilization in five minutes: 0%

  NO   5Sec   1Min   5Min   Process    

  0     0%     0%     0%    LISR INT

  1     0%     0%     0%    HISR INT

......

 13   0.00%   0.00%   0.00%    snmpd

进程解释：

snmpd ：snmp协议进展。

处理步骤：

SNMP进程占用CPU过多，该进程cpu占用率高的话，通常为大量SNMP报文送CPU或SNMP获取设备某MIB节点占用CPU较多。

SNMP关联ACL只允许合法的SNMP服务器访问配置ACL:

ip access-list standard trust-snmp

 10 permit 10.249.252.0 0.0.0.255

 20 permit 172.18.252.0 0.0.0.255

 30 permit 172.18.126.0 0.0.0.255

 40 permit 172.18.111.0 0.0.0.255

 50 permit 10.247.10.0 0.0.0.255

 60 permit 10.242.252.0 0.0.0.255

 70 permit 172.18.62.0 0.0.0.255

 80 permit 172.18.55.0 0.0.0.255

                 将ACL应用到SNMP：

                   Ruijie(config)#snmp-server community ruijie rw trust-snmp

如果这台设备本身没有网管需求，可以把SNMP功能关闭。关闭SNMP代理 no enable service snmp-agent   //关闭SNMP会导致网管无法管理设备！！！

通过以上操作后，观察CPU利用率经过一段时间是否恢复。如果无法恢复，请直接跳转到信息收集章节，收集信息，拨打4008111000寻求

4.2收集信息,请联系4008111000协助处理

如果经以上步骤排查后故障无法解决，请搜集如下故障信息并联系4008111000协助处理。

1) 收集CPU利用率异常的关键信息：

show cpu   （间隔5s show 3次）

进入debug support模式，方法如下

Ruijie#debug support

Ruijie(support)#

执行

Ruijie(support)#show task             

Ruijie(support)#show core         

Ruijie(support)#show skb

（以上show task/core/skb 收集3次）

Ruijie(support)#exit                     //退出support模式

show cpu

2）收集CPU利用率异常的辅助判断信息：

show run

show version

show slot

show version slots

show memory

show log

show ip fpm stat      （show 3次）

show ip fpm count  (show 3 次)

show ip interface brief

show interface   （如果怀疑有攻击，可以show 3 次）

show vrrp brief

show ef-rnfp all

3）涉及动态路由协议的信息收集：

show ip route

show ip route count

show ip ospf neighber

show ip ospf data

show ip rip peer

show ip rip data

show ip rip inter

show ip bgp   neigh

show bgp all summary

如果控制台挂住且设备死机，请使用@@@@@，@@@@s，@@@@e命令收集信息3次（以上命令属于高风险命令，属于高压线明确禁止操作，设备console口挂住，但设备转发正常的情况禁止操作上述命令。以上命令仅在设备无法正常工作，且console口输出并无其他任何可获取信息手段的前提下使用）