Falls man bei einer ZyXEL-Firewall einen erhöhte Prozessauslastung feststellt, kann folgendes Vorgehen helfen.
Wenn man sich auf das Webinterface verbunden hat, sieht man unter „System Resources“ die aktuelle CPU-Last. Im Normalfall ist die CPU-Last je nach Systemkonfiguration bei 30% bis 60%.
Für die Analyse wer die hohe CPU-Last zu verantworten hat, muss man den Umweg über das CLI nehmen. Hier für loggt man sich per SSH auf die Firewall ein und gibt folgenden Befehl ein:
debug system ps
.
Falls nun der Prozess „[kthreadd]“ am meisten CPU-Leistung benötigt, kann man mit dieser Anleitung weiterfahren (sieh unten).
Fall es ein andere Prozess ist, bitte an den ZyXEL-Support wenden.
Dieser Fehler deutet auf, dass das Routing von einem Netzwerk in das andere Netzwerk das System belastet (sieh unten).
Nun muss der Fehler noch eingegrenzt werden. Hier für kann man wieder mit dem Web-Interface arbeiten. Als ersten Schritt ermittel man den betroffenen Port, hier für in das Menü „Monitor/System Status/Port Statistics“ wechseln. Hier sieht man die Statistik für jeden einzelnen Port (siehe unten), nun merkt man sich den Port mit dem höchsten Traffic.
Nun muss noch ermittelt werden in welchen Netz sich der Verursacher versteckt. Hier für wechselt man in das Menü „Monitor/System Status/Interface Statistics“ und schaut sich die Interface mit dem höchsten Traffic an, es ist auch hilfreich sich nur auf die Port's mit dem hohen Traffic zu konzentrieren (siehe unten).
Als nächster Schritt ist es oft noch hilfreich den Traffic generierenden Host zu ermittel, dieser Schritt muss aber nicht zwingend durchgeführt werden. Hier für wechselt man in das Menü „Monitor/System Status/Traffic Statistics“ und wählt das betroffene Interface aus. Hier tauchen nun die Host's mit all ihrem Traffic auf (siehe unten).
Es gibt nun gibt es zwei Möglichkeiten den Fehler zu beheben, die einfache ist den Client vom Netzwerk zu trennen bzw. auszuschalten. Die andere Möglichkeit ist, weiter zu analysieren warum der Host diesen Traffic verursacht.
Eine gute Möglichkeit zur Analyse ist Wireshark bzw. tcpdump
. tcpdump
ist auf der Firewall vorhanden und kann auch dementsprechend genutzt werden.
Zum einen kann man tcpdump
über das Webinterface anstossen und sich danach eine entsprechende Wireshark-Datei herunterladen und analysieren. Ich persönlich bevorzuge in diesem Fall aber die CLI, da man hier keine zusätzliche Datei machen muss.
Es wird in diesem Beitrag keine Anleitung für Wireshark bzw. ''tcpdump'' gegeben.
Anhand des Ergebnisses von tcpdump
können entsprechende Rückschlüsse gezogen werden und auch entsprechende Massnahmen eingeleitet werden.