セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

show interface コマンド出力のドロップされたパケットのカウンタ

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


質問


概要

このドキュメントでは、パケット ドロップ カウンタで show interface コマンドの出力が増加する原因について説明します。

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Brendan Quinn(Cisco TAC エンジニア)著。

Q. パケット ドロップ カウンタで show interface コマンドの出力の増加が確認されます。 このカウンタが増加する原因は何ですか。また、どのようにトラブルシューティングすればよいのですか。

A. 適応型セキュリティ アプライアンス(ASA)からの show interface コマンドの出力に対応するパケット ドロップ カウンタには、インターフェイス上でドロップされたすべてのパケットが表示されます。 このカウンタには、セキュリティ関連のパケット ドロップがすべて含まれています。 このカウンタは、本番 ASA では常に増加すると想定されています。 繰り返しになりますが、パケット ドロップ カウンタは定期的に増加するのが正常であり、そのように想定されています。

ciscoasa(config)# show interface ethernet 0/0
Interface Ethernet0/0 "outside", is up, line protocol is up
  Hardware is i82546GB rev03, BW 100 Mbps, DLY 100 usec
    Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
    Input flow control is unsupported, output flow control is off
    MAC address 001b.d454.c092, MTU 1500
    IP address 10.36.109.93, subnet mask 255.255.0.0
    23990802 packets input, 1619288894 bytes, 0 no buffer
    Received 22034675 broadcasts, 0 runts, 0 giants
    0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
    0 pause input, 0 resume input
    58006 L2 decode drops
    912400 packets output, 58393600 bytes, 0 underruns
    0 pause output, 0 resume output
    0 output errors, 0 collisions, 25 interface resets
    0 late collisions, 0 deferred
    40 input reset drops, 0 output reset drops, 0 tx hangs
    input queue (blocks free curr/low): hardware (255/241)
    output queue (blocks free curr/low): hardware (255/253)
  Traffic Statistics for "outside":
    23932752 packets input, 1184782039 bytes
    912408 packets output, 25547424 bytes
    1785822 packets dropped
      1 minute input rate 8 pkts/sec,  429 bytes/sec
      1 minute output rate 0 pkts/sec,  7 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 8 pkts/sec,  395 bytes/sec
      5 minute output rate 0 pkts/sec,  7 bytes/sec
      5 minute drop rate, 0 pkts/sec
ciscoasa(config)#

show asp drop コマンドを使用して、これらのパケット ドロップの特定の原因を確認することができます。 パケット ドロップ カウンタとインターフェイス エラー カウンタを混同しないでください。 すべての入力または出力エラーは、使用率のためにドロップされたパケットの結果です。


関連情報


Document ID: 113680