Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Troubleshooting da taxa de transferência e da velocidade de conexão ASA e capturas de pacote de informação da análise

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como resolver problemas de throughput do Cisco Adaptive Security Appliance (ASA) e problemas de velocidade de conexão.

Nota: Contribuído pelo gaio Johnston, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na ferramenta de segurança adaptável de Cisco (ASA).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Alguns clientes puderam experimentar um problema quando distribuem primeiramente um ASA ou quando testam a Conectividade nova. O problema foi o throughput de tráfego para as conexões que correm através do ASA são muito mais baixas do que quando o ASA não está no caminho de conexão (ou nas conexões seja muito mais lento do que antes que o ASA esteve executado na rede).

Por exemplo, um cliente pôde substituir um roteador baixo da gama do D-link (ou o outro dispositivo de roteamento) com um ASA 5505 ou um ASA 5510; contudo, uma vez que o roteador é substituído, a velocidade de conexão é reduzida extremamente. O cliente pôde aumentar um caso com tac Cisco porque acreditam que o ASA causou a redução na velocidade de conexão.

Metodologia de Troubleshooting

Os fluxos de TCP retardam quando há uma perda de pacotes ou um retardo do pacote na rede. A fim compreender a causa exata do problema, os dados devem mostrar os pacotes de TCP reais no fio para essa conexão e como a rede pôde os afetar. Um administrador de rede é alertado geralmente ao problema quando executam uma ação específica, tal como transferência de arquivo FTP ou um teste de velocidade em linha. O mais frequentemente o problema pode ser reproduzido. Consequentemente, o administrador pode recolher os dados obrigatórios a fim encontrar a causa de raiz.

A fim recolher os dados obrigatórios, o comando show tech deve ser executado do ASA antes e depois do teste. Este comando mostra a configuração e as estatísticas de pacote (principalmente da serviço-política da mostra) e igualmente as mostras se os erros de interface incrementam.

As capturas de pacote de informação bidirecionais, simultâneas (tomadas das duas relações ASA afetadas que as travessias da conexão) são exigidas diagnosticar inteiramente a causa da edição.

Refira estes documentos para exemplos de como aplicar capturas de pacote de informação ao ASA:

Análise de dados

Uma vez que você recolhe os dados obrigatórios, você pode usar as capturas de pacote de informação a fim determinar qual destas edições pôde ter ocorrido:

  • Os pacotes do host exterior estão deixados cair ou atrasados antes que alcancem a interface externa do ASA.

  • Os pacotes são atrasados ou deixados cair pelo ASA.

  • Os pacotes são atrasados ou deixados cair em algum lugar na rede interna.

Nota: Esta análise supõe que os dados estão enviados de um host na interface externa a um host na interface interna.

Este vídeo mostra um exemplo de como executar a análise em uma captura de pacote de informação:

O córrego TCP que coalesce é um específico técnico da consideração a este problema porque, quando você contrata determinadas características no ASA, o Firewall coalesce inteiramente o córrego TCP que passa com ele.

Por exemplo, se o ASA descobre um pacote ausente na rede (desde que não está recebido no ASA), envia um ACK em nome do outro ponto final de TCP para os dados faltantes. Esta encenação é a mais comum. Se o ASA descobre os pacotes que chegam fora de serviço, o ASA requisita novamente os pacotes e passa-os ao receptor na ordem apropriada. Se não há nenhum gota ou pacote da rede que requisitam novamente, não há nenhum efeito secundário a permitir esta característica. Se todos os pacotes enviados por um ou outro ponto final de TCP passado com sucesso com a rede e o ASA, você não saberiam esta característica é permitida desde que não toma a ação nos fluxos de pacote de informação. Somente quando há o problema com a conexão de TCP na rede permitindo esta característica mais de retardar o tráfego de rede. O ato da coalescência o córrego TCP é muito repleto de recursos para o ASA. Para cada pacote deixado cair na rede o ASA não deve somente enviar a um pedido do pacote de TCP a retransmissão desse pacote, mas deve igualmente proteger os pacotes que o remetente continuou a enviar depois que o pacote foi faltar.

Problemas comuns

Valores desconfigurados da velocidade e duplexação na relação que conecta o ASA ao dispositivo adjacente

Esta edição ocorre frequentemente quando um dispositivo é substituído por um ASA. Se os valores da velocidade e duplexação na relação ASA não são os mesmos que os valores no dispositivo adjacente, as quedas de pacote de informação ocorrem nessa relação. Verifique os valores da velocidade e duplexação na relação ASA assim como na relação adjacente.

Verifique as saídas de interface da mostra do ASA para ver se há erros óbvios que são sintomas deste problema:

Interface Ethernet0/0 "Outside", is up, line protocol is up
  Hardware is i82546GB rev03, BW 100 Mbps
        Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
        MAC address 0019.2f58.c324, MTU 1500
        IP address 192.168.222.122, subnet mask 255.255.255.252
        124047996 packets input, 35340918453 bytes, 0 no buffer
        Received 3 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 L2 decode drops
        156918660 packets output, 40931551514 bytes, 0 underruns
        1 output errors, 4286634 collisions, 0 interface resets
        0 babbles, 123332 late collisions, 4752834 deferred
        0 lost carrier, 0 no carrier
        input queue (curr/max blocks): hardware (0/0) software (0/0)
        output queue (curr/max blocks): hardware (0/245) software (0/0)
  Traffic Statistics for "Outside":
        124047995 packets input, 33107957301 bytes
        157041993 packets output, 38195084709 bytes
        103480 packets dropped
      1 minute input rate 2140 pkts/sec,  477200 bytes/sec
      1 minute output rate 2630 pkts/sec,  396763 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 2152 pkts/sec,  525496 bytes/sec
      5 minute output rate 2701 pkts/sec,  421215 bytes/sec
      5 minute drop rate, 0 pkts/sec

Enviando o tráfego ao módulo ips

Quando o ASA é configurado para enviar o tráfego ao módulo ips, a característica de coalescência do córrego TCP está contratada no ASA. Refira a seção da análise de dados deste documento para obter mais informações sobre da característica de coalescência do córrego TCP.

A alteração ASA de causas da opção MSS TCP menospreza a diminuição do desempenho

À revelia o ASA ajusta a opção MSS TCP nos pacotes SYN a 1380. Consequentemente, os pontos finais de TCP não devem transmitir bytes maiores de um segmento TCP de 1380. Este valor é mais baixo do que frequentemente o valor padrão de 1460 bytes e representa uma gota do Desempenho do TCP de ao redor seis por cento (6%). O desempenho pôde melhorar é você aumento o ajuste do máximo MSS no ASA ou desabilitar o ajuste MSS. Antes que você altere o comando default no ASA, compreenda os riscos envolvidos no que diz respeito à fragmentação potencial se o pacote é encapsulado mais no trajeto em algum lugar.

Para mais informação, refira a seção dos tcpmss da conexão do sysopt da referência de comandos do 5500 Series de Cisco ASA.


Informações Relacionadas


Document ID: 113393