Cisco インターフェイスとモジュール : Cisco Catalyst 6500 シリーズ ファイアウォール サービス モジュール

ARP ポリシングを切り替えること当然の Firewall Services Module 接続上の問題

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco 6500 で Firewall Services Module (FWSM)を使用するか、または 7600 シリーズが切り替えるとき直面する特定の接続に関する問題を記述したものです。

ジェイ ジョンソンおよびマグナス Mortensen によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • Cisco 6500 シリーズ スイッチ
  • Cisco 7600 シリーズ ルータ プラットフォーム
  • FWSM

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

問題

この特定の問題に関しては、これらの現象のうちのどれかが観察されるかもしれません:

  • FWSM へのまたはによるネットワーク接続は断続的に失敗するかもしれません。
  • スイッチによるネットワーク接続は(ない FWSM によって)断続的に失敗するかもしれません。 

この特定の状況は ARPトラフィックの集約量が設定された ARP ポリシング機能 しきい値の上に上がるので Cisco 6500/7600 シリーズの設定済みアドレス Resoution プロトコル(ARP)ポリシング機能がドロップ ARPパケットを交換するとき引き起こされます。

この問題を引き起こすスイッチ設定は次のとおりです:

mls qos protocol ARP police 32000 1000 mls qos


これらの最小値によりデバイスはおよそ 60 の ARPパケット 毎秒でデバイスを通しておよびに ARPトラフィックのポリシングを行ないます(30 の要求および応答)。 以前に示される数字ポリシング機能値はパーサーによって受け入れられる絶対鉛丹色値を表します。 多くの場合、これらの値はスイッチを通る正当 な ARPトラフィックの量のために適切ではないです。

この出力は ARP ポリシング機能がスイッチを通る ARPトラフィックを廃棄することを示したものです(AgPoliced によってバイト数を示しますプロトコルのために廃棄される):

6500#show mls qos protocol
Modes: P - police, M - marking, * - passthrough
Module: All - all EARL slots; Dir: I&O - In & Out; F - Fail

Proto Mode Mod Dir AgId Prec Cir Burst AgForward-By AgPoliced-By
--------------------------------------------------------------------------------
OSPF * All I&O - - - - - -
ARP P 7 In 7 - 32000 1000 28207242542 7633398736
ARP P 13 In 1 - 32000 1000 7990748006 4555958320
6500#

この場合、ARPトラフィックの 27% (渡される 28207242542 バイト vs 廃棄される 7633398736 バイト)はスイッチによって廃棄されます。

解決策

スイッチ ドロップが(ループしない) ARPトラフィックを正当化する場合、スイッチの設定された ARP ポリシング機能値は余りに低いかもしれません。 ネットワークトラフィック プロファイルに基づいてポリシング機能の正しい値を判別しそれらの値のためにポリシング機能を適切に再構成して下さい。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116330