诊断思路:

    1. show xlate count 查看连接数
    2. show blocks 查看块分配
    3. 验证ACL是否过多
    4. show memory detail
    5. show processes cpu-hog and show processes memory
    6. 流量过大检查
    7. 双工和速率不匹配
    8. 组播路由过多,show mroute 检查
    9. show local-host 检查是否遭到拒绝服务攻击

    10. BUG CSCsq48636

      思科建议您在所有接口上启用ip verify reverse-path interface命令,因为它将丢弃没有有效源地址的数据包,从而减少CPU使用率。

    流量溢出
    如果有突发流量唱过NIC上的FIFO缓冲区和接收缓冲区,则可能会发生丢包启用流量控制暂停帧可以缓解此问题,当缓冲区过高时发送暂停帧。

    1. hostname(config)#interface tengigabitethernet 1/0
    3. hostname(config-if)# flowcontrol send on

    显示CPU利用率

    1. Ciscoasa#show cpu usage
    3. CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%

    显示流量统计
    该命令显示在指定之间内通过ASA 的流量,结果基于上次发出该命令时间以来。可以配合clear traffic 命令,等待1-10分钟后再发出 show traffic 命令。然后再等待1-10分组后 show traffic 命令。
    如果ASA有多个接口,该命令可以确定那个接口发送和接受的数据多讲多。外部接口的入站和出站流量总和应等于内部接口的入站出站流量综合。

    1. Ciscoasa#show traffic
    2. outside:
    3.         received (in 124.650 secs):
    4.                 295468 packets  167218253 bytes
    5.                 2370 pkts/sec   1341502 bytes/sec
    6.         transmitted (in 124.650 secs):
    7.                 260901 packets  120467981 bytes
    8.                 2093 pkts/sec   966449 bytes/sec
    9. inside:
    10.         received (in 124.650 secs):
    11.                 261478 packets  120145678 bytes
    12.                 2097 pkts/sec   963864 bytes/sec
    13.         transmitted (in 124.650 secs):
    14.                 294649 packets  167380042 bytes
    15.                 2363 pkts/sec   1342800 bytes/sec