用户网关配置错误导致S3526E CPU占用率过高

现象描述

S3526E上行通过GE接入C公司 6509，下行通过FE和光电转换器接入网吧和小区用户，部分网吧和所有小区用户通过PPPOE方式上网，S3526E做二层VLAN透传，另一部分用户和企业用户通过专线方式接入S3526E，网关配置在S3526E上，S3526E通过三层转发方式上网。

发生故障时，S3526E的CPU占用率非常高，经常在100%左右，查看所有端口的统计数据，发现0/24口的广播流量非常大。

告警信息

无

原因分析

由于S3526E的0/24端口通过专线方式接入用户，用户地址为X.X.X.18，配置在S3526E上做为网吧网关的地址为X.X.X.17，掩码为255.255.255.252，但网吧侧使用的PC机的网关设置为X.X.X.19，为该网吧的广播地址，这样网吧所有需向外访问的包都通过X.X.X.19的广播地址转发出去，而因X.X.X.19为该网吧的广播地址，网吧侧的PC就将所有的包在进行二层MAC封装时，使用的了广播方式的全1 MAC进行封装，导致到达S3526E的报文全是广播报文，从而导致S3526E的CPU占用率过高，达到100%。

处理过程

1、远程登录S3526E，查看所有端口的统计数据，发现只有0/24端口的广播流量非常大；

2、此时0/24口的广播抑制已经是5%，无法改得更小，通过修改寄存器的值将广播抑制改为0%，即不允许有广播报文，但此时已经没有任何流量了，说明该网吧的正常流量也是使用广播方式封装的；

3、现场使用串口登录S3526E，通过RMON统计方法查出0/24端口统计出该端口几乎全是广播报文，在现场使用端口镜像的方式进行抓包，使用SNIFFER软件进行捕捉，在SNIFFER上可以看出所有用户报文全是全1MAC方式的广播报文，并在串口DEBUG NI EVENT、DEBUG IP PACKET，进一步证实了用户报文全是广播报文。

4、到网吧现场，在网吧的代理服务器上使用ARP -A查看PC的ARP表，发现有一条X.X.X.19 00-e0-fc-xx-xx-xx的表项，而网关地址应该是X.X.X.17，此时通过IPCONFIG查看PC的IP配置，发现网关配置成了X.X.X.19，而正确的应为X.X.X.17；

5、修改该网吧的PC网关地址为X.X.X.17，此时再到S3526E上查看CPU占用率，发现CPU占用率已经只有20%~30%，正常。

建议与总结

建议在出现S3526E占用率过高的情况下查看一下各端口的广播报文情况是否有异常。