Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Interrogation SNMP ASA pour des statistiques liées à la mémoire

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment employer le Protocole SNMP (Simple Network Management Protocol) afin de questionner les statistiques de mémoire de l'appliance de sécurité adaptable Cisco (ASA) — telles que la mémoire disponible, mémoire utilisée, et ainsi de suite.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont valides seulement pour des périphériques d'appliance de sécurité adaptable Cisco.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Vous pouvez surveiller la mémoire disponible et les statistiques utilisées de mémoire afin d'identifier le périphérique de performance du réseau de mémoire. Cisco ASA prend en charge des statistiques de mémoire à voter par le SNMP et utilise ces OID pris en charge :

  • compteurs de 32 bits de mémoire

    Utilisez l'objet de « CiscoMemoryPoolEntry ». L'objet et les mappages d'ID sont affichés dans cette sortie témoin.

    ciscoMemoryPoolType		1.3.6.1.4.1.9.9.48.1.1.1.1
     ciscoMemoryPoolName		1.3.6.1.4.1.9.9.48.1.1.1.2
     ciscoMemoryPoolAlternate		1.3.6.1.4.1.9.9.48.1.1.1.3
     ciscoMemoryPoolValid		1.3.6.1.4.1.9.9.48.1.1.1.4
     ciscoMemoryPoolUsed		1.3.6.1.4.1.9.9.48.1.1.1.5
     ciscoMemoryPoolFree		1.3.6.1.4.1.9.9.48.1.1.1.6
     ciscoMemoryPoolLargestFree	1.3.6.1.4.1.9.9.48.1.1.1.7
  • compteurs 64-bit de mémoire

    Utilisez l'objet « cempMemPoolEntry ». L'objet et les mappages d'ID sont affichés dans cette sortie témoin.

    cempMemPoolIndex			1.3.6.1.4.1.9.9.221.1.1.1.1.1
     cempMemPoolLowestFree		1.3.6.1.4.1.9.9.221.1.1.1.1.10
     cempMemPoolUsedLowWaterMark	1.3.6.1.4.1.9.9.221.1.1.1.1.11
     cempMemPoolAllocHit		1.3.6.1.4.1.9.9.221.1.1.1.1.12
     cempMemPoolAllocMiss		1.3.6.1.4.1.9.9.221.1.1.1.1.13
     cempMemPoolFreeHit		1.3.6.1.4.1.9.9.221.1.1.1.1.14
     cempMemPoolFreeMiss		1.3.6.1.4.1.9.9.221.1.1.1.1.15
     cempMemPoolType			1.3.6.1.4.1.9.9.221.1.1.1.1.2
     cempMemPoolName			1.3.6.1.4.1.9.9.221.1.1.1.1.3
     cempMemPoolPlatformMemory	1.3.6.1.4.1.9.9.221.1.1.1.1.4
     cempMemPoolAlternate		1.3.6.1.4.1.9.9.221.1.1.1.1.5
     cempMemPoolValid			1.3.6.1.4.1.9.9.221.1.1.1.1.6
     cempMemPoolUsed			1.3.6.1.4.1.9.9.221.1.1.1.1.7
     cempMemPoolFree			1.3.6.1.4.1.9.9.221.1.1.1.1.8
     cempMemPoolLargestFree		1.3.6.1.4.1.9.9.221.1.1.1.1.9

Sortie votée par SNMP

Quand les statistiques de mémoire sont questionnées de la console d'un client SNMP, la sortie semble semblable à cette sortie témoin.

Pour les compteurs de 32 bits :

iso.3.6.1.4.1.9.9.48.1.1.1.2.1 = STRING: "System memory"
iso.3.6.1.4.1.9.9.48.1.1.1.2.6 = STRING: "MEMPOOL_DMA"
iso.3.6.1.4.1.9.9.48.1.1.1.2.7 = STRING: "MEMPOOL_GLOBAL_SHARED"
iso.3.6.1.4.1.9.9.48.1.1.1.3.1 = INTEGER: 0
iso.3.6.1.4.1.9.9.48.1.1.1.3.6 = INTEGER: 0
iso.3.6.1.4.1.9.9.48.1.1.1.3.7 = INTEGER: 0
iso.3.6.1.4.1.9.9.48.1.1.1.4.1 = INTEGER: 1
iso.3.6.1.4.1.9.9.48.1.1.1.4.6 = INTEGER: 1
iso.3.6.1.4.1.9.9.48.1.1.1.4.7 = INTEGER: 1
iso.3.6.1.4.1.9.9.48.1.1.1.5.1 = Gauge32: 230971224
iso.3.6.1.4.1.9.9.48.1.1.1.5.6 = Gauge32: 21585704
iso.3.6.1.4.1.9.9.48.1.1.1.5.7 = Gauge32: 50616136
iso.3.6.1.4.1.9.9.48.1.1.1.6.1 = Gauge32: 37464232
iso.3.6.1.4.1.9.9.48.1.1.1.6.6 = Gauge32: 32964824
iso.3.6.1.4.1.9.9.48.1.1.1.6.7 = Gauge32: 37464248
iso.3.6.1.4.1.9.9.48.1.1.1.7.1 = Gauge32: 37460160
iso.3.6.1.4.1.9.9.48.1.1.1.7.6 = Gauge32: 32945592
iso.3.6.1.4.1.9.9.48.1.1.1.7.7 = Gauge32: 37460160

Vous pouvez employer la sortie des commandes de détail de mem d'exposition ou de mem d'exposition afin d'interpréter la même chose.

‘iso.3.6.1.4.1.9.9.48.1.1.1.5.1 = Gauge32:’ correlates to the ‘Used Memory’ in 'sh mem' output.

‘iso.3.6.1.4.1.9.9.48.1.1.1.6.1 = Gauge32:’ correlates to the ‘Free Memory’ in ‘sh mem' output

Pour les compteurs 64-bit :

iso.3.6.1.4.1.9.9.221.1.1.1.1.2.1.1 = INTEGER: 2
iso.3.6.1.4.1.9.9.221.1.1.1.1.3.1.1 = STRING: "System memory"
iso.3.6.1.4.1.9.9.221.1.1.1.1.5.1.1 = INTEGER: 0
iso.3.6.1.4.1.9.9.221.1.1.1.1.6.1.1 = INTEGER: 1
iso.3.6.1.4.1.9.9.221.1.1.1.1.7.1.1 = Gauge32: 230971320
iso.3.6.1.4.1.9.9.221.1.1.1.1.8.1.1 = Gauge32: 37464144
iso.3.6.1.4.1.9.9.221.1.1.1.1.17.1.1 = Gauge32: 0
iso.3.6.1.4.1.9.9.221.1.1.1.1.18.1.1 = Counter64: 230971312
iso.3.6.1.4.1.9.9.221.1.1.1.1.19.1.1 = Gauge32: 0
iso.3.6.1.4.1.9.9.221.1.1.1.1.20.1.1 = Counter64: 37464144

Vous pouvez employer la sortie des commandes de détail de mem d'exposition ou de mem d'exposition afin d'interpréter la même chose.

ASA1#
ASA1#
ASA1#
ASA1# show mem
Free memory:          37498488 bytes (14%)
Used memory:         230936968 bytes (86%)
-------------     ------------------
Total memory:        268435456 bytes (100%)
ASA1#
ASA1#
ASA1#
ASA1# show mem detail
Free memory:                        37498488 bytes (14%)
Used memory:
     Allocated memory in use:       50581896 bytes (19%)
     Reserved memory:              180355072 bytes (67%)
-----------------------------   ------------------
Total memory:                      268435456 bytes (100%)

Least free memory:         37463768 bytes (14%)
Most used memory:         230971688 bytes (86%)


!--- Some output excluded. 

Mises en garde connues

Cette section décrit quelques mises en garde connues tout en votant des statistiques de mémoire utilisant le SNMP

Quand l'ASA est questionnée pour voter les informations de mémoire, le SNMP pourrait rechercher les informations de trois segments principaux de mémoire ASA comme répertorié ci-dessous.

  1. Le groupe de mémoire système

  2. Le groupe MEMPOOL_DMA

  3. Le groupe MEMPOOL_GLOBAL_SHARED

Si les informations de groupe MEMPOOL_GLOBAL_SHARED sont questionnées par l'intermédiaire du SNMP, elles ont comme conséquence des porcs CPU. Il est évident que vous pourriez voir des pertes de paquets/dépassements de capacité à une époque de trafic bursty/surchargé quand vous employez le SNMP pour voter des statistiques de mémoire qui exigent de l'ASA de questionner les informations par les blocs énormes de mémoire qu'il est associé qui a comme conséquence les porcs CPU associés par SNMP. La CPU de l'ASA peut être tenue par le processus SNMP trop longtemps avant de libérer la CPU à d'autres processus. Si le débit de données est assez élevé par l'ASA, les dépassements de capacité augmenteront sur les compteurs d'interface et des paquets pourraient être lâchés.

Il s'applique pour chacun des deux pour les Plateformes à un noyau et multinucléaires. Il est recommandé de ne pas employer le MIB de pool mémoire pour voter ces des statistiques qui associent pour afficher le détail de mem mais pour utiliser seulement ces MIB qui associent avec la sortie de mem d'exposition. Vous pouvez exécuter le détail de mem d'exposition du CLI afin de visualiser ces porcs CPU.

Porcs CPU pour le SNMP

Cette section fournit des messages de porc CPU témoin de Cisco ASA.

Process:      snmp, PROC_PC_TOTAL: 124, MAXHOG: 306, LASTHOG: 299
LASTHOG At:   12:00:24 EDT May 17 2013
PC:           0x000000000124fd5c (suspend)

Process:      snmp, NUMHOG: 124, MAXHOG: 306, LASTHOG: 299
LASTHOG At:   12:00:24 EDT May 17 2013
PC:           0x000000000124fd5c (suspend)
Call stack:   0x000000000124fd5c  0x000000000124e72b  0x000000000124b5da
              0x000000000124e3e7  0x0000000001228b9a  0x000000000122732a
              0x0000000000423cc5

Process:      snmp, PROC_PC_TOTAL: 248, MAXHOG: 306, LASTHOG: 298
LASTHOG At:   12:01:34 EDT May 17 2013
PC:           0x00000000013780cf (suspend)

Process:      snmp, NUMHOG: 248, MAXHOG: 306, LASTHOG: 298
LASTHOG At:   12:01:34 EDT May 17 2013
PC:           0x00000000013780cf (suspend)
Call stack:   0x000000000124803b  0x00000000012289e5  0x000000000122732a
              0x0000000000423cc5

Vous pourriez également voir ces messages d'erreur sur Cisco ASA.

[local5.warning] %ASA-4-711004: Task ran for 305 msec, Process = snmp, PC = 1250117, Call stack = 
2013-05-17T09:33:12-04:00 CISCO-ASA-TEST(10.10.10.1) [local5.warning] %ASA-4-711004: Task ran for 305 msec, Process = snmp, PC = 1250117, Call stack =   0x0000000001250117  0x000000000124ea07  0x000000000124b5da  0x000000000124e3e7  0x0000000001228b9a  0x000000000122732a  0x0000000000423cc5
2013-05-17T09:33:12-04:00 CISCO-ASA-TEST(10.10.10.2) [local5.warning] %ASA-4-711004: Task ran for 354 msec, Process = snmp, PC = 1250117, Call stack = 
2013-05-17T09:33:12-04:00 CISCO-ASA-TEST(10.10.10.2) [local5.warning] %ASA-4-711004: Task ran for 354 msec, Process = snmp, PC = 1250117, Call stack =   0x0000000001250117  0x000000000124ea07  0x000000000124b5da  0x000000000124e3e7  0x0000000001228b9a  0x000000000122732a  0x0000000000423cc5
2013-05-17T09:33:22-04:00 CISCO-ASA-TEST(10.10.10.2) [local5.warning] %ASA-4-711004: Task ran for 348 msec, Process = snmp, PC = 124fd5c, Call stack = 
2013-05-17T09:33:22-04:00 CISCO-ASA-TEST(10.10.10.2) [local5.warning] %ASA-4-711004: Task ran for 348 msec, Process = snmp, PC = 124fd5c, Call stack =   0x000000000124fd5c  0x000000000124e72b  0x000000000124b5da  0x000000000124e3e7  0x0000000001228b9a  0x000000000122732a  0x0000000000423cc5
2013-05-17T09:36:17-04:00 CISCO-ASA-TEST(10.10.10.1) [local5.warning] %ASA-4-711004: Task ran for 300 msec, Process = snmp, PC = 13780cf, Call stack = 
2013-05-17T09:36:17-04:00 CISCO-ASA-TEST(10.10.10.1) [local5.warning] %ASA-4-711004: Task ran for 300 msec, Process = snmp, PC = 13780cf, Call stack =   0x000000000124803b  0x00000000012289e5  0x000000000122732a  0x0000000000423cc5

Réduction

  1. Évitez de voter les OID qui associent au global_shared_mem_pool.

  2. Exécutez le snmpwalk pour votre plate-forme ASA et le vérifiez si on vote des OID l'uns des qui associent au global_shared_mem_pool.

snmpwalk -c public -v2c -Os <IP Address> 1.3.6.1.4.1.9.9.48

enterprises.9.9.48.1.1.1.2.1 = STRING: "System memory"
enterprises.9.9.48.1.1.1.2.6 = STRING: "MEMPOOL_DMA"
enterprises.9.9.48.1.1.1.2.7 = STRING: "MEMPOOL_GLOBAL_SHARED"
enterprises.9.9.48.1.1.1.3.1 = INTEGER: 0
enterprises.9.9.48.1.1.1.3.6 = INTEGER: 0
enterprises.9.9.48.1.1.1.3.7 = INTEGER: 0
enterprises.9.9.48.1.1.1.4.1 = INTEGER: 1
enterprises.9.9.48.1.1.1.4.6 = INTEGER: 1
enterprises.9.9.48.1.1.1.4.7 = INTEGER: 1
enterprises.9.9.48.1.1.1.5.1 = Gauge32: 804874736
enterprises.9.9.48.1.1.1.5.6 = Gauge32: 125674744
enterprises.9.9.48.1.1.1.5.7 = Gauge32: 153938632
enterprises.9.9.48.1.1.1.6.1 = Gauge32: 3490092567
enterprises.9.9.48.1.1.1.6.6 = Gauge32: 146135816
enterprises.9.9.48.1.1.1.6.7 = Gauge32: 3084064048
enterprises.9.9.48.1.1.1.7.1 = Gauge32: 3083999920
enterprises.9.9.48.1.1.1.7.6 = Gauge32: 146133824
enterprises.9.9.48.1.1.1.7.7 = Gauge32: 3083999920

Évitez utilisant enterprise.9.9.48.1.1.1.7 car c'est l'OID pour largest_contiguous_memory. En outre, l'enterprises.9.9.48.1.1.1.X.7 devrait être évité en tant que lui associe à MEMPOOL_GLOBAL_SHARED.

En votant des OID de la famille, 9.9.48.1.1.1.x.y, vérifient si « y » apparie le global_mempool ; si oui, évitez d'employer ces OID pour atténuer les porcs CPU SNMP. Ce « y » est généré dynamiquement et pourrait être différent avec différentes Plateformes de Cisco ASA.

Veuillez se référer CSCtx43501 pour des détails supplémentaires.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 116423