Módulos e interfaces de Cisco : Módulo de servicios de firewall Cisco Catalyst de la serie 6500

Descenso de las nuevas conexiones FWSM intermitentemente después de una actualización para liberar 4.1.11 o más adelante

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe un problema específico con los descensos intermitentes del tráfico en el Módulo de servicios del Firewall (FWSM) después de una actualización del software para liberar 4.1.11 o más adelante.

Contribuido por Sumit Bist, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el FWSM con el Software Release 4.1(11) o Posterior.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Según el comportamiento FWSM, si usted utiliza el TCP mientras que el Transport Protocol de registración para enviar los mensajes a un servidor de Syslog, él niega las nuevas conexiones como medida de Seguridad si el FWSM no puede alcanzar al servidor de Syslog. Usted puede utilizar logging permit-hostdown el comando para quitar esta restricción.

Problema

Hay un problema intermitente del descenso del tráfico en el FWSM después de una actualización para liberar 4.1.11 o más adelante. El comienzo FWSM para negar todas las nuevas conexiones.

El descenso más notable del tráfico está para el Internet Control Message Protocol (ICMP), puesto que cada pedido de eco ICMP se trata como nueva conexión. Se restablece la Conectividad una vez que la conexión TCP al servidor de Syslog es acertada.

Para la versión 4.1.11 FWSM o más adelante, si el servidor de Syslog TCP basado no es accesible incluso con la directiva del “permiso-hostdown”, el FWSM niega todas las nuevas conexiones. “La característica del permiso-hostdown del registro” trabaja no más después de que una actualización FWSM para liberar 4.1.11 o más adelante.

El FWSM continúa volviendo a conectar al servidor de Syslog TCP cada minuto hasta que el Servidor de tiempo está para arriba. Así, un solo error de la aceptación decontacto con TCP da lugar a una una caída del sistema minuciosa mínima para todas las nuevas conexiones, porque el FWSM intenta entrar en contacto al servidor de Syslog TCP otra vez, solamente después que un minuto.

Condiciones

  • La versión 4.1.11 de los funcionamientos FWSM o más adelante.
  • El FWSM debe estar en el modo simple.
  • El servidor de Syslog TCP debe ser inalcanzable del FWSM.

Verificación

Para identificar este comportamiento, marque las estadísticas lentas de la trayectoria (NP3). El contador del conns de la negación (estado conec) aumenta si el servidor de Syslog TCP basado no es accesible, incluso con la directiva del “permiso-hostdown”.

pri/act# show clock
09:31:55.070 GMT Thu May 15 2014

pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------

Egress Discards : 34412
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 34013 <------Counter to monitor

pri/act# show clock
09:32:06.020 GMT Thu May 15 2014

pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------

Egress Discards : 46634
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 46235 <------Counter seen increasing

Solución

Un defecto fue clasifiado para seguir este problema, pero no será reparado puesto que el FWSM ha alcanzado el extremo de la fecha de versión de mantenimiento del software.

Fin de la Venta y anuncio de fin de vida útil para los Módulos de servicios del Firewall

Para reparar este problema, cambie la configuración de servidor de registro al transporte UDP.

logging host inside 192.x.x.x 17/5514

Información Relacionada



Document ID: 118735