Módulos e interfaces de Cisco : Módulo de servicios de firewall Cisco Catalyst de la serie 6500

Problemas de conectividad del Módulo de servicios del Firewall debidos conmutar el policing ARP

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe un problema de conectividad específico encontrado cuando usted utiliza el Módulo de servicios del Firewall (FWSM) en un Cisco 6500 o 7600 Series Switch.

Contribuido por Jay Johnston y Magnus Mortensen, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software y hardware.

  • Cisco 6500 Series Switch
  • Plataformas del Cisco 7600 Series Router
  • FWSM

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Problema

Para este problema específico, ninguno de estos síntomas pudieron ser observados:

  • La conectividad de red o con al FWSM pudo fallar intermitentemente.
  • La conectividad de red a través del Switch (no con el FWSM) pudo fallar intermitentemente. 

Se causa esta situación específica cuando el policer del (ARP) del protocolo de Resoution de la dirección configurada en las 6500/7600 Series de Cisco conmuta los paquetes ARP de los descensos porque el importe total de tráfico ARP sube sobre el umbral configurado del policer ARP.

La configuración del switch que causa este problema es:

mls qos protocol ARP police 32000 1000 mls qos


Estos valores mínimos hacen el dispositivo limpiar el tráfico ARP con y al dispositivo en aproximadamente 60 paquetes ARP por segundo (30 peticiones y contestaciones). Los valores numéricos del policer expuestos previamente representan los valores absolutos del minio que son validados por el analizador de sintaxis. A menudo, estos valores no son apropiados para la cantidad de tráfico ARP legítimo que pase a través del Switch.

Esta salida muestra que el policer ARP cae el tráfico ARP que pasa a través del Switch (AgPoliced-por indica la cantidad de bytes que se cae para el protocolo):

6500#show mls qos protocol
Modes: P - police, M - marking, * - passthrough
Module: All - all EARL slots; Dir: I&O - In & Out; F - Fail

Proto Mode Mod Dir AgId Prec Cir Burst AgForward-By AgPoliced-By
--------------------------------------------------------------------------------
OSPF * All I&O - - - - - -
ARP P 7 In 7 - 32000 1000 28207242542 7633398736
ARP P 13 In 1 - 32000 1000 7990748006 4555958320
6500#

En este caso, el 27% (7633398736 bytes caídos contra 28207242542 bytes pasajeros) del tráfico ARP es caído por el Switch.

Solución

Si el Switch cae () el tráfico ARP no colocado legítimo, los valores configurados del policer ARP en el Switch pudieron ser demasiado bajos. Determine el valor correcto para el policer basado en el perfil del tráfico de la red, y configure de nuevo el policer apropiadamente para esos valores.

Información Relacionada



Document ID: 116330