Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пропускная способность ASA и скорость соединения устраняющие неполадки и анализирующие захваты пакета

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает устранение неполадок устройств адаптивной защиты Cisco (ASA), связанных со скоростью соединения и пропускной способностью.

Примечание: Внесенный Джеем Джонстоном, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на устройстве адаптивной защиты Cisco (ASA).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Некоторые клиенты могли бы испытать проблему, когда они сначала развертывают ASA или когда они тестируют новое подключение. Проблемой является пропускная способность TCP для соединений, которые текут через ASA, намного ниже чем тогда, когда ASA не находится в пути подключения (или соединения намного медленнее, чем, прежде чем ASA был внедрен в сети).

Например, клиент мог бы заменить начальный уровень маршрутизатор D-Link (или другое устройство маршрутизации) с ASA 5505 или ASA 5510; однако, как только маршрутизатор заменен, скорость соединения значительно уменьшена. Клиент мог бы повысить случай с Центром технической поддержки Cisco, потому что они полагают, что ASA вызвал сокращение скорости соединения.

Методика устранения проблем

Когда существует потеря пакета или задержка пакета в сети, потоки TCP замедляются. Для понимания точной причины проблемы данные должны показать фактические пакеты TCP на проводе для того соединения и как сеть могла бы влиять на них. Обычно администратор сети предупрежден к проблеме, когда они выполняют определенное действие, такое как передача файла FTP или онлайновый тест скорости. Чаще всего проблема может быть воспроизведена. Поэтому администратор может собрать требуемые данные для обнаружения основной причины.

Для сбора требуемых данных команда show tech должна быть выполнена от ASA прежде и после теста. Эта команда показывает конфигурацию и пакетную статистику (в основном от show service-policy) и также показывает, инкрементно увеличиваются ли ошибки интерфейса.

Двунаправленные, одновременные захваты пакета (взятый от двух интерфейсов ASA влиял на это пересечения соединения) требуются, чтобы полностью диагностировать причину проблемы.

Сошлитесь на эти документы для примеров того, как применить захваты пакета к ASA:

Анализ данных

Как только вы собираете требуемые данные, можно использовать захваты пакета для определения, какая из этих проблем, возможно, произошла:

  • Пакеты от внешнего хоста отброшены или задержаны, прежде чем они достигнут внешнего интерфейса ASA.

  • Пакеты задержаны или отброшены ASA.

  • Пакеты задержаны или отброшены где-нибудь на внутренней сети.

Примечание: Этот анализ предполагает, что данные передаются от хоста на внешнем интерфейсе к хосту на внутреннем интерфейсе.

Это видео показывает пример того, как выполнить анализ захвата пакета:

Потоковое объединение TCP является техническим рассмотрением, определенным для этой проблемы, потому что при привлечении определенных, некоторый функций на ASA межсетевой экран полностью объединяет поток TCP, который проходит через него.

Например, если ASA обнаруживает отсутствующий пакет в сети (так как это не получено в ASA), это передает ACK от имени другой оконечной точки TCP для недостающих данных. Этот сценарий наиболее распространен. Если ASA обнаруживает пакеты, которые поступают не в порядке, ASA переупорядочивает пакеты и передает их к получателю в надлежащем заказе. Если нет никаких сетевых отбрасываний или пакетного переупорядочения, нет никаких побочных эффектов к активации этой опции. Если бы все пакеты, переданные любой оконечной точкой TCP успешно, прошли через сеть и ASA, то вы не знали бы, что эта опция активирована, так как это не принимает меры на потоках пакетов. Только то, когда существует проблема с TCP - подключением в сети, будет, активируя эту опцию, далее замедляют сетевой трафик. Действие объединения потока TCP является очень интенсивно использующим ресурсы для ASA. Для каждого пакета, отброшенного в сети, ASA должен не только отправить запрос пакета TCP повторная передача того пакета, но это должно также буферизовать пакеты, которые отправитель продолжил передавать после того, как пакет пропал.

Типичные неполадки

Неверно - настроенные Значения Скорости и дуплексного режима на Интерфейсе, который ASA Подключений к Смежному устройству

Когда устройство заменено ASA, эта проблема часто происходит. Если значения скорости и дуплексного режима на интерфейсе ASA не являются тем же как значениями на смежном устройстве, отбрасывание пакета происходит на том интерфейсе. Проверьте значения скорости и дуплексного режима на интерфейсе ASA, а также смежном интерфейсе.

Проверьте выходные данные show interface ASA для очевидных ошибок, которые являются признаками этой проблемы:

Interface Ethernet0/0 "Outside", is up, line protocol is up
  Hardware is i82546GB rev03, BW 100 Mbps
        Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
        MAC address 0019.2f58.c324, MTU 1500
        IP address 192.168.222.122, subnet mask 255.255.255.252
        124047996 packets input, 35340918453 bytes, 0 no buffer
        Received 3 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 L2 decode drops
        156918660 packets output, 40931551514 bytes, 0 underruns
        1 output errors, 4286634 collisions, 0 interface resets
        0 babbles, 123332 late collisions, 4752834 deferred
        0 lost carrier, 0 no carrier
        input queue (curr/max blocks): hardware (0/0) software (0/0)
        output queue (curr/max blocks): hardware (0/245) software (0/0)
  Traffic Statistics for "Outside":
        124047995 packets input, 33107957301 bytes
        157041993 packets output, 38195084709 bytes
        103480 packets dropped
      1 minute input rate 2140 pkts/sec,  477200 bytes/sec
      1 minute output rate 2630 pkts/sec,  396763 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 2152 pkts/sec,  525496 bytes/sec
      5 minute output rate 2701 pkts/sec,  421215 bytes/sec
      5 minute drop rate, 0 pkts/sec

Передача трафика к модулю ips

Когда ASA настроен для передачи трафика к Модулю ips, потоковая функция объединения TCP занята ASA. Обратитесь к разделу Анализа данных этого документа для получения дополнительной информации о потоковой функции объединения TCP.

Модификация ASA опции TCP MSS вызывает небольшое снижение производительности

По умолчанию ASA устанавливает опцию TCP MSS в SYN - пакетах к 1380. Поэтому оконечные точки TCP не должны передавать сегмент TCP, больше, чем 1380 байтов. Это значение ниже, чем часто значение по умолчанию 1460 байтов и представляет отбрасывание производительности TCP приблизительно шести процентов (6%). Производительность могла бы улучшиться, вы, увеличивают максимальное значение MSS на ASA или отключают корректировку MSS. Если пакет далее инкапсулируется в пути где-нибудь, прежде чем вы будете модифицировать команду по умолчанию на ASA, будете понимать риски, включенные относительно потенциальной фрагментации.

Для получения дополнительной информации обратитесь к разделу соединения sysopt tcpmss Справочника по командам серии 5500 Cisco ASA.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 113393