Интерфейсы и модули Cisco : Сервисный модуль межсетевого экрана Cisco Catalyst серии 6500

Проблемы с подключением модуля сервисов межсетевого экрана, должные коммутировать применение политик ARP

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает определенные неполадки подключения, с которыми встречаются при использовании Модуля Сервисов межсетевого экрана (FWSM) у Cisco 6500 или коммутатора серии 7600.

Внесенный Джеем Джонстоном и Магнусом Мортенсеном, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в документе приведены на основе данных версий аппаратного и программного обеспечения:

  • Коммутатор серии Cisco 6500
  • Платформы маршрутизатора Cisco серии 7600
  • FWSM

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Проблема

Для этого конкретного вопроса мог бы наблюдаться любой из этих признаков:

  • Сетевое подключение к или через FWSM могло бы отказать периодически.
  • Сетевое подключение через коммутатор (не через FWSM) могло бы отказать периодически. 

Эта определенная ситуация вызвана, когда настроенный адрес Протокол Resoution (ARP), ограничитель на Серии Cisco 6500/7600 переключает пакеты ARP отбрасываний, потому что общее количество трафика ARP повышается выше настроенного порога ограничителя ARP.

Конфигурация коммутатора, которая вызывает эту проблему:

mls qos protocol ARP police 32000 1000 mls qos


Эти минимальные значения заставляют устройство определять политику трафика ARP через и к устройству приблизительно в 60 пакетах ARP в секунду (30 запросов и ответы). Числовые значения ограничителя, ранее сообщившие, представляют абсолютные значения свинцового сурика, которые приняты синтаксическим анализатором. Часто, эти значения не являются соответствующими сумме легитимного трафика ARP, который проходит через коммутатор.

Эти выходные данные показывают, что ограничитель ARP отбрасывает трафик ARP, который проходит через коммутатор (AgPoliced указывает на количество байтов , которые отброшены для протокола):

6500#show mls qos protocol
Modes: P - police, M - marking, * - passthrough
Module: All - all EARL slots; Dir: I&O - In & Out; F - Fail

Proto Mode Mod Dir AgId Prec Cir Burst AgForward-By AgPoliced-By
--------------------------------------------------------------------------------
OSPF * All I&O - - - - - -
ARP P 7 In 7 - 32000 1000 28207242542 7633398736
ARP P 13 In 1 - 32000 1000 7990748006 4555958320
6500#

В этом случае 27% (7633398736 байтов, отброшенных по сравнению с 28207242542 байтами, прошли) трафика ARP отброшены коммутатором.

Решение

Если коммутатор понижается легитимный (не циклично выполненный) трафик ARP, настроенные значения ограничителя ARP на коммутаторе могли бы быть слишком низкими. Определите правильное значение для ограничителя на основе профиля сетевого трафика и реконфигурируйте ограничитель соответственно для тех значений.

Дополнительные сведения



Document ID: 116330