Interfaces et modules Cisco : Module de services pare-feu de la gamme Cisco Catalyst 6500

Problèmes de connectivité de Module de services de Pare-feu devant commuter le maintien de l'ordre d'ARP

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit un problème rencontré spécifique de Connectivité quand vous utilisez le Module de services de Pare-feu (FWSM) dans une gamme Cisco 6500 ou 7600 commutez.

Contribué par geai Johnston et Magnus Mortensen, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Commutateur de gamme Cisco 6500
  • Plateformes de routeur de gamme Cisco 7600
  • FWSM

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Problème

Pour cette problématique spécifique, on pourrait observer l'un de ces symptômes :

  • La connexion réseau ou par au FWSM pourrait échouer par intermittence.
  • La connexion réseau par le commutateur (pas par le FWSM) pourrait échouer par intermittence. 

Cette situation spécifique est provoqué par quand le régulateur configuré de Resoution Protocol (ARP) d'adresse sur la gamme Cisco 6500/7600 commute des paquets d'ARP de baisses parce que le montant du trafic ARP global monte au-dessus du seuil configuré de régulateur d'ARP.

La configuration de commutateur qui pose ce problème est :

mls qos protocol ARP police 32000 1000 mls qos


Ces valeurs minimum font maintenir l'ordre le périphérique le trafic ARP par et au périphérique à approximativement 60 paquets d'ARP par seconde (30 demandes et réponses). Les valeurs numériques de régulateur précédemment indiquées représentent les valeurs en minium absolues qui sont reçues par le programme d'analyse syntaxique. Souvent, ces valeurs ne sont pas appropriées pour la quantité du trafic ARP légitime qui traverse le commutateur.

Cette sortie prouve que le régulateur d'ARP relâche le trafic ARP qui traverse le commutateur (AgPoliced-par indique le nombre d'octets qui sont abandonnés pour le protocole) :

6500#show mls qos protocol
Modes: P - police, M - marking, * - passthrough
Module: All - all EARL slots; Dir: I&O - In & Out; F - Fail

Proto Mode Mod Dir AgId Prec Cir Burst AgForward-By AgPoliced-By
--------------------------------------------------------------------------------
OSPF * All I&O - - - - - -
ARP P 7 In 7 - 32000 1000 28207242542 7633398736
ARP P 13 In 1 - 32000 1000 7990748006 4555958320
6500#

Dans ce cas, 27% (7633398736 octets relâchés contre 28207242542 octets passés) du trafic ARP est relâché par le commutateur.

Solution

Si le commutateur relâche () le trafic ARP non fait une boucle légitime, les valeurs configurées de régulateur d'ARP sur le commutateur pourraient être si basses. Déterminez la valeur correcte pour le régulateur basé sur le profil du trafic réseau, et modifiez le régulateur convenablement pour ces valeurs.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116330