安全 : Cisco ASA 5500 系列自适应安全设备

可适应安全工具接口超出计数器错误

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文描述“超出”错误计数器和如何调查性能问题或包丢失问题在网络。管理员也许注意在可适应安全工具(ASA)的show interface命令输出中报告的错误。

注意: 贡献用Rama Darbha,杰伊约翰斯顿和安德鲁奥西波夫, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

问题说明

ASA接口错误计数器“超出”跟踪次数数据包在网络接口接收,但是没有在存储接口的FIFO队列的可用空间数据包。因此,数据包丢弃了。值此计数器能在show interface命令看到。

显示问题的示例输出:

ASA# show interface GigabitEthernet0/1
Interface GigabitEthernet0/1 "inside", is up, line protocol is up
  Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec
        Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        MAC address 0026.0b31.0c59, MTU 1500
        IP address 10.0.0.113, subnet mask 255.255.0.0
        580757 packets input, 86470156 bytes, 0 no buffer
        Received 3713 broadcasts, 0 runts, 0 giants       
        2881 input errors, 0 CRC, 0 frame, 2881 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        905828 packets output, 1131702216 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops, 0 tx hangs
        input queue (blocks free curr/low): hardware (255/230)
        output queue (blocks free curr/low): hardware (255/202)

在以上示例中, 2881超出在接口被观察了从启动的ASA,或者,因为clear interface命令被输入了手工清除计数器。

接口超出的原因

接口超出错误通常导致用这些要素的组合:

  • 软件级别- ASA软件不成功数据包足够快速接口的FIFO队列。这造成FIFO队列填满和将丢弃的新建的数据包。

  • 硬件级-数据包进入接口的速度太快速,造成FIFO队列充满,在ASA软件能成功数据包前。通常,数据包突发流量造成FIFOqueue填装至在少量的时刻的最大容量。

排除故障接口的原因的步骤超出

排除故障和涉及此问题的步骤是:

  1. 确定ASA是否体验CPU HOG的,并且,如果他们造成问题。工作缓和CPU HOG的所有长或常见的。

  2. 了解接口流量速率并且确定ASA是否订购过量归结于数据流配置文件。

  3. 如果断断续续流量突发引起问题,请确定。如果那样,请实现在ASA接口和相邻连接孔的流量控制。

潜在的原因和解决方案

在ASA的CPU周期地太忙碌以至于不能处理流入数据包(CPU HOG的)

ASA平台在软件方面处理所有信息包并且使用运用所有系统作用的主CPU核心(例如Syslog、可适应安全设备管理器连接,应用检查)处理流入数据包。如果软件进程比应该保持长的CPU, ASA记录此作为CPU HOG事件,因为进程“拱起了” CPU。CPU HOG阈值以毫秒设置,并且为每个硬件设备型号是不同的。阈值根据多久可能采取填装给的接口FIFO队列硬件平台的CPU电源,并且潜在数据流对设备估计能处理。

有时CPU HOG原因接口在单磁芯的ASA的超出错误,例如5505, 5510, 5520, 5540和5550。长hogs,该持续在100毫秒或更多,能特别是造成超出为相对低业务量级别和非突变性流量速率发生。问题不同样影响多芯的系统,因为其他核心能成功数据包Rx环,如果其中一个CPU核心由进程拱起。

比设备阈值造成一Syslog生成与id 711004持续更多的一hog,如显示此处:

Feb 06 2013 14:40:42: %ASA-4-711004: Task ran for 60 msec, Process = ssh, 
   PC = 90b0155, Call stack = 
Feb 06 2013 14:40:42: %ASA-4-711004: Task ran for 60 msec, Process = ssh, 
   PC = 90b0155, Call stack = 0x090b0155 0x090bf3b6 0x090b3b84 0x090b3f6e 0x090b4459 
   0x090b44d6 0x08c46fcc 0x09860ca0 0x080fad6d 0x080efa5a 0x080f0a1c 0x0806922c

CPU HOG事件由系统也记录。显示proc cpu-hog命令的输出显示这些字段:

  • 进程-拱起CPU进程的名称。

  • PROC_PC_TOTAL -此进程拱起CPU时期的总数。

  • MAXHOG -对该进程观察的最久的CPU HOG时间,以毫秒。

  • LASTHOG -时间最后hog以毫秒保持CPU。

  • LASTHOG,在CPU HOG为时发生时候。

  • PC -进程的程序计数器数值,当CPU HOG发生。(Cisco技术支持中心(TAC)的信息)

  • 调用栈-进程的调用栈,当CPU HOG发生。(Cisco TAC的信息)

此示例显示显示proc cpu-hog命令输出:

ASA# show proc cpu-hog

Process:      ssh, PROC_PC_TOTAL: 1, MAXHOG: 119, LASTHOG: 119
LASTHOG At:   12:25:33 EST Jun 6 2012
PC:           0x08e7b225 (suspend)

Process:      ssh, NUMHOG: 1, MAXHOG: 119, LASTHOG: 119
LASTHOG At:   12:25:33 EST Jun 6 2012
PC:           0x08e7b225 (suspend)
Call stack:   0x08e7b225  0x08e8a106  0x08e7ebf4  0x08e7efde  0x08e7f4c9  0x08e7f546  
              0x08a7789c  0x095a3f60  0x080e7e3d  0x080dcfa2  0x080ddf5c  0x0806897c

CPU hog threshold (msec): 10.240
Last cleared: 12:25:28 EST Jun 6 2012
ASA# 

ASA SSH进程保持119ms的CPU在12:25:33 EST六月第6 2012。

如果超出错误在接口连续增加,请检查显示proc cpu-hog命令的输出发现CPU HOG事件是否关联与在接口超出计数器的一增加。如果发现CPU HOG的造成接口超出错误,搜索与Bug Toolkit (仅限注册用户)的Bug是最佳的,或者请提出有Cisco TAC的一个案件。输出show tech-support命令也包括显示proc cpu-hog命令输出。

处理的数据流配置文件周期地过度预定ASA

从属于数据流配置文件、流经ASA也许是太多为了它能处理的流量和超出也许发生。

数据流配置文件包括(在其他方面中) :

  • 数据包大小

  • 包间间隙(数据包速率)

  • 协议-一些数据包对在ASA的应用检查比其他数据包被服从并且要求处理

这些ASA功能可以用于识别在ASA的数据流配置文件:

  • Netflow - ASA可以配置导出Netflow版本9记录到NetFlow收集器。可能然后分析此数据了解更多关于数据流配置文件。

  • SNMP -请使用监控的SNMP跟踪ASA接口流量速率, CPU、连接速度和转换速率。可能然后分析信息了解流量模式,并且如何随着时间的推移更改。设法确定是否有在流量速率与一增加关联在超出中和该数据流信号的原因的一尖峰。有在网络的设备行为不端的TAC的案件(由于误配置或病毒传染)并且周期地生成一堆流量。

断断续续信息包突发过度预定ASA接口FIFO队列

在NIC到达数据包的突发流量可能造成FIFO变得填装,在CPU能成功数据包它前。通常没有可以执行解决此问题的,但是可以被缓和使用在网络的在ASA和相邻连接孔的QoS使流量突发平滑或者流量控制。

流量控制是允许ASA的接口传送信息到邻接设备的功能(例如switchport)指示它停止发送少量的时刻的流量。当FIFO到达一某一高水位标记时,它执行此。一旦FIFO被释放了某数量, ASA NIC发送恢复帧,并且switchport继续发送流量。此方法工作良好,因为相邻连接孔比ASA在接收方向通常有更多缓冲空间,并且能执行一个在传输的更加好的工作缓冲数据包执行。

您能设法使在ASA的捕获检测流量微下击暴流,但是通常这不是有用,因为数据包丢弃,在他们能由ASA得到处理和添加到在内存前的捕获。一个外部嗅探器可以用于捕获和识别流量突发,但是外部嗅探器可以由突发流量有时淹没。

缓和接口超出的Enable (event)流量控制

流量控制功能被添加了到在版本8.2(2)和以上的1GE接口的ASA 10GE接口的和版本8.2(5)和以上。能力启用在体验超出的ASA接口的流量控制被证明是防止丢包出现的一个有效技术。

参考在Cisco ASA 5500系列命令参考的流量控制功能, 8.2欲知更多信息。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115985-asa-overrun-product-tech-note-01.png

(从安德鲁奥西波夫的Cisco Live演示BRKSEC-3021)的图表

注意“输出流量控制在”意味着ASA发送流量控制暂停帧往邻接设备(交换机)的ASA接口。“输入流量控制不支持的”意味着ASA不支持流量控制帧的接收从邻接设备的。

流量控制配置示例:

interface GigabitEthernet0/2
 speed 1000
 duplex full
 flowcontrol send on
 nameif DMZ interface
 security-level 50
 ip address 10.1.3.2 255.255.255.0
!

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 115985