思科接口和模块 : Cisco Catalyst 6500 系列防火墙服务模块

FWSM新连接在升级以后间歇地失败到版本4.1.11或以上

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文在软件升级以后描述与断断续续流量丢包的一特定问题在防火墙服务模块(FWSM)对版本4.1.11或以上。

贡献用Sumit Bist, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据FWSM用软件版本4.1(11)或以上。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

根据FWSM行为,如果使用TCP作为记录日志传输协议为了传送信息到系统日志服务器,它拒绝新连接作为安全措施,如果FWSM无法到达系统日志服务器。您能使用 logging permit-hostdown 命令为了删除此限制。

问题

有在FWSM的一个断断续续流量丢弃问题在升级以后对版本4.1.11或以上。FWSM开始拒绝所有新连接。

最显而易见的流量丢弃是为互联网控制消息协议(ICMP),因为每ICMP echo请求对待新连接。一旦对系统日志服务器的TCP连接是成功的,连接恢复。

对于FWSM版本4.1.11或以上,如果基于TCP的系统日志服务器不是可及的与“permithostdown”策略, FWSM拒绝所有新连接。“记录日志permithostdown”功能不再运作,在FWSM升级对版本4.1.11或以上后。

时间服务器是UP, FWSM继续每分钟重新连接到Tcp syslog服务器。因此,单个TCP握手失败导致所有新连接的一最低的一分钟中断,因为FWSM设法再联系Tcp syslog服务器,在一分钟之后。

条件

  • FWSM运行版本4.1.11或以上。
  • FWSM应该在单模。
  • Tcp syslog服务器一定是不可得到的从FWSM。

验证

为了识别此行为,请检查缓慢的路径(NP3)统计信息。拒绝Conns (Conn状态)计数器增加,如果基于TCP的系统日志服务器不可及的,与“permithostdown”策略。

pri/act# show clock
09:31:55.070 GMT Thu May 15 2014

pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------

Egress Discards : 34412
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 34013 <------Counter to monitor

pri/act# show clock
09:32:06.020 GMT Thu May 15 2014

pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------

Egress Discards : 46634
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 46235 <------Counter seen increasing

解决方案

归档缺陷跟踪此问题,但是不会修复,因为FWSM到达了软件维护版本发放日期的末端。

销售终止和生命终止通知防火墙服务模块的

为了调整此问题,请更改日志服务器配置对UDP传输。

logging host inside 192.x.x.x 17/5514

相关信息



Document ID: 118735