思科路由器对指定IP限流

show process cpu sorted | ex 0.00

发现CPU负载接近100%


sh ip nat statistics
show ip cache flow  查看ip是否有异常流量
发现192.168.0.21有大量异常流量
全局限制连接数
ip nat translation max-entri all-host 1000  限制单一IP连接数为1000
NAT 会话长时间不释放会导致 NAT 表膨胀，增加 CPU 负担。降低超时时间可以缓解：
ip nat translation timeout 120
ip nat translation tcp-timeout 300
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 30
120 秒：全局 NAT 连接超时。
300 秒：TCP 连接超时（默认 86400 秒）。
60 秒：UDP 连接超时。
30 秒：TCP FIN/RST 连接超时，加速 NAT 连接回收。

禁用0.21上网后，cpu负载降下来，然后取消禁用

禁用上网命令，已取消
access-list 121 deny ip host 192.168.0.21 any
access-list 121 permit ip any any
interface GigabitEthernet0/1
ip access-group 121 in

对0.21进行QOS限流，限速1024kbps



access-list 21 permit ip host 192.168.0.21 any


class-map match-any LIMIT_021
match access-group 21

policy-map POLICE_021
class LIMIT_021
  police 1024000 conform-action transmit exceed-action drop

interface GigabitEthernet0/1
service-policy input POLICE_021