Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Адаптивный интерфейс прибора безопасности наводненные встречные ошибки

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает ошибочный прилавок "перерасхода" и как исследовать исполнительные проблемы или проблемы пакета потерь в сети. Администратор мог бы заметить, что ошибки сообщили в выставочной продукции команды интерфейса относительно Адаптивного прибора безопасности (ASA).

Примечание: внесенный Рамой Дарбхой, Джеем Джонстоном и Эндрю Оссиповым, Cisco инженеры TAC.

Предпосылки

Требования

Нет никаких определенных требований для этого документа.

Используемые компоненты

Этот документ не ограничен определенными версиями программного и аппаратного обеспечения.

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Описание проблемы

Ошибка интерфейса ASA противостоит "наводненным" следам количество раз, что пакет был получен на сетевом интерфейсе, но не было никакого свободного места в очереди интерфейса FIFO для хранения пакета. Таким образом пакет был уронен. Ценность этого прилавка может быть замечена с выставочной командой интерфейса.

Продукция в качестве примера, которая показывает проблему:

ASA# show interface GigabitEthernet0/1
Interface GigabitEthernet0/1 "inside", is up, line protocol is up
  Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec
        Full-Duplex(Full-duplex), 1000 Mbps(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        MAC address 0026.0b31.0c59, MTU 1500
        IP address 10.0.0.113, subnet mask 255.255.0.0
        580757 packets input, 86470156 bytes, 0 no buffer
        Received 3713 broadcasts, 0 runts, 0 giants       
        2881 input errors, 0 CRC, 0 frame, 2881 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        905828 packets output, 1131702216 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops, 0 tx hangs
        input queue (blocks free curr/low): hardware (255/230)
        output queue (blocks free curr/low): hardware (255/202)

В примере выше, 2881 перерасход наблюдался относительно интерфейса, так как ASA загрузил, или начиная с команды, ясный интерфейс был введен для прояснения прилавков вручную.

Причины интерфейсных перерасходов

Интерфейсные наводненные ошибки обычно вызываются комбинацией этих факторов:

  • Уровень программного обеспечения - программное обеспечение ASA не осуществляет пакеты очереди интерфейса FIFO достаточно быстро. Это заставляет очередь FIFO заполняться и новые пакеты, которые будут пропущены.

  • Уровень аппаратных средств - уровень, по которому пакеты входят в интерфейс, слишком быстр, который заставляет очередь FIFO заполняться, прежде чем программное обеспечение ASA сможет осуществить пакеты. Обычно, взрыв пакетов заставляет FIFOqueue заполняться до максимальной способности в короткий срок.

Шаги для поиска неисправностей причины интерфейсных перерасходов

Шаги, чтобы расследовать и решить эту проблему:

  1. Определите, испытывает ли ASA боровов CPU и если они способствуют проблеме. Работа для смягчения любых длинных или частых боровов CPU.

  2. Поймите интерфейсные темпы движения и определите, превышен ли ASA из-за транспортного профиля.

  3. Определите, вызывают ли неустойчивые транспортные взрывы проблему. Если так, управление потоками орудия в интерфейсе ASA и смежном switchports.

Потенциальные причины и решения

CPU на ASA Периодически Слишком Занят для Обработки Поступающих Пакетов (Боровы CPU)

Платформа ASA обрабатывает все пакеты в программном обеспечении и использует главные ядра CPU, которые обращаются со всеми системными функциями (такими как syslogs, Адаптивная возможность соединения Диспетчера устройств безопасности, Прикладной Контроль) для обработки поступающих пакетов. Если процесс программного обеспечения держит CPU для дольше, чем он должен, ASA сделать запись этого как события борова CPU начиная с процесса "hogged" CPU. Порог борова CPU установлен в миллисекундах и отличается для каждой модели прибора аппаратных средств. Порог основан на том, сколько времени он мог взять для заполнения очереди интерфейса FIFO, данной власть CPU платформы аппаратных средств и потенциальные транспортные ставки, с которыми может обращаться устройство.

Боровы CPU иногда вызывают интерфейсные ошибки перерасхода на одно-основном ASAs, такие как 5505, 5510, 5520, 5540, и 5550. Длинные боровы, это длится 100 миллисекунд или больше, может особенно заставить перерасходы происходить для относительно низких транспортных уровней и непульсирующих темпов движения. Проблема не влияет на мультиосновные системы так же, так как другие ядра могут осуществить пакеты кольца Rx, если одно из ядер CPU является hogged процессом.

Боров, который продержался больше, чем порог устройства, заставляет syslog быть произведенным с id 711004, как показано здесь:

Feb 06 2013 14:40:42: %ASA-4-711004: Task ran for 60 msec, Process = ssh, 
   PC = 90b0155, Call stack = 
Feb 06 2013 14:40:42: %ASA-4-711004: Task ran for 60 msec, Process = ssh, 
   PC = 90b0155, Call stack = 0x090b0155 0x090bf3b6 0x090b3b84 0x090b3f6e 0x090b4459 
   0x090b44d6 0x08c46fcc 0x09860ca0 0x080fad6d 0x080efa5a 0x080f0a1c 0x0806922c

События борова CPU также зарегистрированы системой. Продукция шоу proc команда борова CPU показывает эти области:

  • Процесс - название процесса это hogged CPU.

  • PROC_PC_TOTAL - общее количество времен, что этот процесс hogged CPU.

  • MAXHOG - самое долгое время борова CPU, наблюдаемое для того процесса, в миллисекундах.

  • LASTHOG - количество времени последний боров держало CPU в миллисекундах.

  • LASTHOG В - время боров CPU в последний раз произошел.

  • PC - ценность прилавка программы процесса, когда произошел боров CPU. (Информация для Центра технической помощи (TAC) Cisco)

  • Назовите стек - стек требования процесса, когда произошел боров CPU. (Информация для Cisco TAC)

Этот пример показывает шоу proc продукция команды борова CPU:

ASA# show proc cpu-hog

Process:      ssh, PROC_PC_TOTAL: 1, MAXHOG: 119, LASTHOG: 119
LASTHOG At:   12:25:33 EST Jun 6 2012
PC:           0x08e7b225 (suspend)

Process:      ssh, NUMHOG: 1, MAXHOG: 119, LASTHOG: 119
LASTHOG At:   12:25:33 EST Jun 6 2012
PC:           0x08e7b225 (suspend)
Call stack:   0x08e7b225  0x08e8a106  0x08e7ebf4  0x08e7efde  0x08e7f4c9  0x08e7f546  
              0x08a7789c  0x095a3f60  0x080e7e3d  0x080dcfa2  0x080ddf5c  0x0806897c

CPU hog threshold (msec): 10.240
Last cleared: 12:25:28 EST Jun 6 2012
ASA# 

ASA SSH процесс держал CPU в течение 119 мс на 12:25:33 EST 6-го июня 2012.

Если наводненные ошибки все время увеличиваются в интерфейсе, проверьте продукцию шоу proc команда борова CPU, чтобы видеть, коррелируют ли события борова CPU с увеличением интерфейсного наводненного прилавка. Если вы находите, что боровы CPU способствуют интерфейсу, наводняет ошибки, лучше искать ошибки с Набором инструментов Ошибки (только зарегистрированные клиенты) или поднимать случай с Cisco TAC. Продукция выставочной команды технической поддержки также включает шоу proc продукция команды борова CPU.

Транспортный профиль, обрабатываемый периодически, превышает намеченную сумму ASA

Зависящий от на транспортном профиле, движение, которое течет через ASA, могло бы быть слишком много для него для обработки, и перерасходы могли бы произойти.

Транспортный профиль состоит из (среди других аспектов):

  • Размер пакета

  • Промежуток межпакета (уровень пакета)

  • Протокол - некоторые пакеты подвергнуты прикладному контролю на ASA и требуют большего количества обработки, чем другие пакеты

Эти функции ASA могут быть использованы для идентификации транспортного профиля на ASA:

  • Netflow - ASA может формироваться для экспорта отчетов NetFlow вариантов 9 в коллекционера NetFlow. Эти данные могут тогда быть проанализированы для понимания больше о транспортном профиле.

  • SNMP - используйте SNMP, контролирующий для прослеживания темпов движения интерфейса ASA, CPU, темпов связи и ставок перевода. Информация может тогда быть проанализирована для понимания транспортного образца и как это изменяется в течение долгого времени. Попытайтесь определить, существует ли шип в темпах движения, который коррелирует к увеличению перерасходов и причине того транспортного шипа. Были случаи в TAC, где устройства в сети неправильно себя ведут (из-за неверной конфигурации или вирусной инфекции) и производят наводнение движения периодически.

Неустойчивые взрывы пакета превышают намеченную сумму интерфейса ASA очередь FIFO

Взрыв пакетов, которые прибывают в NIC, мог заставить FIFO становиться заполненным, прежде чем CPU сможет осуществить пакеты его. Обычно нет очень, который может быть сделан для решения этой проблемы, но она может быть смягчена при помощи QoS в сети для сглаживания транспортных взрывов или управления потоками на ASA и смежном switchports.

Управление потоками является особенностью, которая позволяет интерфейсу ASA посылать сообщение в смежное устройство (switchport, например), чтобы приказать ему прекращать посылать движение в течение короткого срока. Когда FIFO достигает определенной отметки паводка, это делает это. Как только FIFO был освобожден некоторая сумма, ASA NIC посылает структуру резюме, и switchport продолжает посылать движение. Этот подход работает хорошо, потому что смежные switchports обычно имеют больше буферного пространства и могут сделать лучший буферизующий работы, который передают пакеты на, чем ASA выполняет в получить направлении.

Можно попытаться позволить захватам на ASA обнаружить транспортные микровзрывы, но обычно это не полезно, так как пакеты уронены, прежде чем они смогут быть обработаны ASA и добавили к захвату в памяти. Внешний наркоман может использоваться, чтобы захватить и определить транспортный взрыв, но иногда внешний наркоман может быть поражен взрывом также.

Позвольте управлению потоками смягчить интерфейсные перерасходы

Опция управления потоками была добавлена к ASA в версии 8.2 (2) и позже для 10GE интерфейсы и версия 8.2 (5) и позже для 1GE интерфейсы. Способность позволить управление потоками в интерфейсах ASA, которые испытывают перерасходы, оказывается, эффективная техника для предотвращения происшествий снижения пакета.

Обратитесь к особенности управления потоками в серийной Cisco ASA 5500 Ссылке Команды, 8.2 для получения дополнительной информации.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115985-asa-overrun-product-tech-note-01.png

(Диаграмма от Cisco Эндрю Оссипова живое представление BRKSEC-3021)

Обратите внимание на то, что "произведенное управление потоками находится на", означает, что ASA посылает структурам паузы управления потоками интерфейс ASA к смежному устройству (выключатель). "Входное управление потоками не поддержано", означает, что ASA не поддерживает прием структур управления потоками от смежного устройства.

Конфигурация образца управления потоками:

interface GigabitEthernet0/2
 speed 1000
 duplex full
 flowcontrol send on
 nameif DMZ interface
 security-level 50
 ip address 10.1.3.2 255.255.255.0
!

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 115985