思科接口和模块 : Cisco Catalyst 6500 系列防火墙服务模块

由于防火墙服务模块的连通性问题交换ARP修正

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述遇到的特定连接问题,当您在一Cisco 6500或7600系列交换机使用防火墙服务模块(FWSM)时。

贡献用杰伊约翰斯顿和马格纳斯Mortensen, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于下列硬件和软件版本:

  • Cisco 6500系列交换机
  • Cisco 7600系列路由器平台
  • FWSM

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

问题

对于此特定问题,这些症状中的任一也许被观察:

  • 网络连通性对或通过FWSM也许间歇地发生故障。
  • 网络连通性通过交换机(不通过FWSM)也许间歇地发生故障。 

此特殊的例子导致,当在Cisco 6500/7600系列交换机的配置的地址Resoution协议(ARP)时策略器丢弃ARP数据包,因为ARP流量总量在已配置的ARP策略器阈值上上升。

引起此问题的交换机配置是:

mls qos protocol ARP police 32000 1000 mls qos


这些最小值促成设备修正ARP流量通过和到设备在大约60 ARP数据包每秒(30请求和回复)。 以前陈述的数字策略器值表示由分析程序接受的绝对铅丹值。通常,这些值为穿过交换机的相当数量不是适当的合法ARP流量。

此输出显示那穿过交换机的ARP策略器丢包ARP流量(AgPoliced指示为协议下降)的字节数:

6500#show mls qos protocol
Modes: P - police, M - marking, * - passthrough
Module: All - all EARL slots; Dir: I&O - In & Out; F - Fail

Proto Mode Mod Dir AgId Prec Cir Burst AgForward-By AgPoliced-By
--------------------------------------------------------------------------------
OSPF * All I&O - - - - - -
ARP P 7 In 7 - 32000 1000 28207242542 7633398736
ARP P 13 In 1 - 32000 1000 7990748006 4555958320
6500#

在这种情况下, 27% (7633398736个字节丢弃与通过的28207242542个字节) ARP流量由交换机丢弃。

解决方案

如果交换机降低合法(没循环的) ARP流量,在交换机的已配置的ARP策略器值也许太低。确定根据网络流量配置文件的策略器的正确值,并且重新配置策略器适当地那些值的。

相关信息



Document ID: 116330