Cisco Interfaces and Modules : Módulo de serviços de firewall Cisco Catalyst 6500 Series

Problemas de conectividade do módulo de serviços de firewall devendo comutar o policiamento ARP

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve um problema de conectividade específico encontrado quando você usa o módulo de serviços de firewall (FWSM) em um Cisco 6500 ou 7600 Series Switch.

Contribuído pelo gaio Johnston e Magnus Mortensen, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • Cisco 6500 Series Switch
  • Plataformas do Cisco 7600 Series Router
  • FWSM

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Problema

Para esta edição específica, qualquens um sintomas puderam ser observados:

  • A conectividade de rede ou com ao FWSM pôde falhar intermitentemente.
  • A conectividade de rede através do interruptor (não com o FWSM) pôde falhar intermitentemente. 

Esta situação específica está causada quando o vigilante do protocolo de Resoution do endereço configurado (ARP) no 6500/7600 Series de Cisco comuta pacotes ARP das gotas porque a quantidade de tráfego ARP agregada aumenta acima do ponto inicial configurado do vigilante ARP.

A configuração de switch que causa este problema é:

mls qos protocol ARP police 32000 1000 mls qos


Estes valores mínimos fazem com que o dispositivo policie o tráfego ARP com e ao dispositivo em aproximadamente 60 pacotes ARP por segundo (30 pedidos e respostas). Os valores numéricos do vigilante indicados previamente representam os valores absolutos do minium que são aceitados pelo parser. Frequentemente, estes valores não são apropriados para a quantidade de tráfego ARP legítimo que passa através do interruptor.

Esta saída mostra que o vigilante ARP deixa cair o tráfego ARP que passa através do interruptor (AgPoliced-por indica o número de bytes que é deixado cair para o protocolo):

6500#show mls qos protocol
Modes: P - police, M - marking, * - passthrough
Module: All - all EARL slots; Dir: I&O - In & Out; F - Fail

Proto Mode Mod Dir AgId Prec Cir Burst AgForward-By AgPoliced-By
--------------------------------------------------------------------------------
OSPF * All I&O - - - - - -
ARP P 7 In 7 - 32000 1000 28207242542 7633398736
ARP P 13 In 1 - 32000 1000 7990748006 4555958320
6500#

Neste caso, 27% (7633398736 bytes deixados cair contra 28207242542 bytes passados) do tráfego ARP é deixado cair pelo interruptor.

Solução

Se o interruptor deixa cair () o tráfego ARP não dado laços legítimo, os valores configurados do vigilante ARP no interruptor puderam ser demasiado baixos. Determine o valor correto para o vigilante baseado no perfil do tráfego de rede, e reconfigure o vigilante apropriadamente para aqueles valores.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116330