Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Последовательный опрос SNMP ASA для связанной с памятью статистики

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как использовать Протокол SNMP для запроса устройства адаптивной защиты Cisco (ASA) статистика памяти — такая как доступная память, используемая память, и т.д.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе допустимы только для устройств устройства адаптивной защиты Cisco.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Можно контролировать доступную память и используемую статистику памяти для определения производительности памяти сетевого устройства. Cisco ASA поддерживает статистику памяти, которая будет опрошена через SNMP, и использует эти поддерживаемые OID:

  • 32-разрядные счетчики памяти

    Используйте объект ‘CiscoMemoryPoolEntry’. Объект и сопоставления ID показывают в этом примере выходных данных.

    ciscoMemoryPoolType		1.3.6.1.4.1.9.9.48.1.1.1.1
     ciscoMemoryPoolName		1.3.6.1.4.1.9.9.48.1.1.1.2
     ciscoMemoryPoolAlternate		1.3.6.1.4.1.9.9.48.1.1.1.3
     ciscoMemoryPoolValid		1.3.6.1.4.1.9.9.48.1.1.1.4
     ciscoMemoryPoolUsed		1.3.6.1.4.1.9.9.48.1.1.1.5
     ciscoMemoryPoolFree		1.3.6.1.4.1.9.9.48.1.1.1.6
     ciscoMemoryPoolLargestFree	1.3.6.1.4.1.9.9.48.1.1.1.7
  • 64-разрядные счетчики памяти

    Используйте объект ‘cempMemPoolEntry’. Объект и сопоставления ID показывают в этом примере выходных данных.

    cempMemPoolIndex			1.3.6.1.4.1.9.9.221.1.1.1.1.1
     cempMemPoolLowestFree		1.3.6.1.4.1.9.9.221.1.1.1.1.10
     cempMemPoolUsedLowWaterMark	1.3.6.1.4.1.9.9.221.1.1.1.1.11
     cempMemPoolAllocHit		1.3.6.1.4.1.9.9.221.1.1.1.1.12
     cempMemPoolAllocMiss		1.3.6.1.4.1.9.9.221.1.1.1.1.13
     cempMemPoolFreeHit		1.3.6.1.4.1.9.9.221.1.1.1.1.14
     cempMemPoolFreeMiss		1.3.6.1.4.1.9.9.221.1.1.1.1.15
     cempMemPoolType			1.3.6.1.4.1.9.9.221.1.1.1.1.2
     cempMemPoolName			1.3.6.1.4.1.9.9.221.1.1.1.1.3
     cempMemPoolPlatformMemory	1.3.6.1.4.1.9.9.221.1.1.1.1.4
     cempMemPoolAlternate		1.3.6.1.4.1.9.9.221.1.1.1.1.5
     cempMemPoolValid			1.3.6.1.4.1.9.9.221.1.1.1.1.6
     cempMemPoolUsed			1.3.6.1.4.1.9.9.221.1.1.1.1.7
     cempMemPoolFree			1.3.6.1.4.1.9.9.221.1.1.1.1.8
     cempMemPoolLargestFree		1.3.6.1.4.1.9.9.221.1.1.1.1.9

SNMP опрошенные выходные данные

Когда статистические данные памяти делают запрос от консоли клиента SNMP, выходные данные выглядят подобными этому примеру выходных данных.

Для 32-разрядных счетчиков:

iso.3.6.1.4.1.9.9.48.1.1.1.2.1 = STRING: "System memory"
iso.3.6.1.4.1.9.9.48.1.1.1.2.6 = STRING: "MEMPOOL_DMA"
iso.3.6.1.4.1.9.9.48.1.1.1.2.7 = STRING: "MEMPOOL_GLOBAL_SHARED"
iso.3.6.1.4.1.9.9.48.1.1.1.3.1 = INTEGER: 0
iso.3.6.1.4.1.9.9.48.1.1.1.3.6 = INTEGER: 0
iso.3.6.1.4.1.9.9.48.1.1.1.3.7 = INTEGER: 0
iso.3.6.1.4.1.9.9.48.1.1.1.4.1 = INTEGER: 1
iso.3.6.1.4.1.9.9.48.1.1.1.4.6 = INTEGER: 1
iso.3.6.1.4.1.9.9.48.1.1.1.4.7 = INTEGER: 1
iso.3.6.1.4.1.9.9.48.1.1.1.5.1 = Gauge32: 230971224
iso.3.6.1.4.1.9.9.48.1.1.1.5.6 = Gauge32: 21585704
iso.3.6.1.4.1.9.9.48.1.1.1.5.7 = Gauge32: 50616136
iso.3.6.1.4.1.9.9.48.1.1.1.6.1 = Gauge32: 37464232
iso.3.6.1.4.1.9.9.48.1.1.1.6.6 = Gauge32: 32964824
iso.3.6.1.4.1.9.9.48.1.1.1.6.7 = Gauge32: 37464248
iso.3.6.1.4.1.9.9.48.1.1.1.7.1 = Gauge32: 37460160
iso.3.6.1.4.1.9.9.48.1.1.1.7.6 = Gauge32: 32945592
iso.3.6.1.4.1.9.9.48.1.1.1.7.7 = Gauge32: 37460160

Можно использовать выходные данные от команд покажите mem или show mem detail для интерпретации того же.

‘iso.3.6.1.4.1.9.9.48.1.1.1.5.1 = Gauge32:’ correlates to the ‘Used Memory’ in 'sh mem' output.

‘iso.3.6.1.4.1.9.9.48.1.1.1.6.1 = Gauge32:’ correlates to the ‘Free Memory’ in ‘sh mem' output

Для 64-разрядных счетчиков:

iso.3.6.1.4.1.9.9.221.1.1.1.1.2.1.1 = INTEGER: 2
iso.3.6.1.4.1.9.9.221.1.1.1.1.3.1.1 = STRING: "System memory"
iso.3.6.1.4.1.9.9.221.1.1.1.1.5.1.1 = INTEGER: 0
iso.3.6.1.4.1.9.9.221.1.1.1.1.6.1.1 = INTEGER: 1
iso.3.6.1.4.1.9.9.221.1.1.1.1.7.1.1 = Gauge32: 230971320
iso.3.6.1.4.1.9.9.221.1.1.1.1.8.1.1 = Gauge32: 37464144
iso.3.6.1.4.1.9.9.221.1.1.1.1.17.1.1 = Gauge32: 0
iso.3.6.1.4.1.9.9.221.1.1.1.1.18.1.1 = Counter64: 230971312
iso.3.6.1.4.1.9.9.221.1.1.1.1.19.1.1 = Gauge32: 0
iso.3.6.1.4.1.9.9.221.1.1.1.1.20.1.1 = Counter64: 37464144

Можно использовать выходные данные от команд покажите mem или show mem detail для интерпретации того же.

ASA1#
ASA1#
ASA1#
ASA1# show mem
Free memory:          37498488 bytes (14%)
Used memory:         230936968 bytes (86%)
-------------     ------------------
Total memory:        268435456 bytes (100%)
ASA1#
ASA1#
ASA1#
ASA1# show mem detail
Free memory:                        37498488 bytes (14%)
Used memory:
     Allocated memory in use:       50581896 bytes (19%)
     Reserved memory:              180355072 bytes (67%)
-----------------------------   ------------------
Total memory:                      268435456 bytes (100%)

Least free memory:         37463768 bytes (14%)
Most used memory:         230971688 bytes (86%)


!--- Some output excluded. 

Известные предупреждения

В этом разделе описываются некоторые известные предупреждения при опросе статистики памяти с помощью SNMP

Когда ASA делают запрос для опроса данных памяти, SNMP мог искать информацию от трех основных сегментов памяти ASA, как упомянуто ниже.

  1. Пул системной памяти

  2. Пул MEMPOOL_DMA

  3. Пул MEMPOOL_GLOBAL_SHARED

Если информация о пуле MEMPOOL_GLOBAL_SHARED делают запрос через SNMP, она приводит к захватам ЦПУ. Очевидно, что вы могли бы видеть пакетные отбрасывания/переполнения во времена пульсирующего/перегруженного трафика при использовании SNMP для опроса статистических данных памяти, которые требуют, чтобы ASA сделал запрос информации через огромные блоки памяти, что это привязано, который приводит к отнесенным захватам ЦПУ SNMP. ЦПУ ASA может быть проведен процессом SNMP слишком долго прежде, чем освободить ЦПУ к другим процессам. Если скорость передачи данных будет достаточно высока через ASA, то переполнения увеличатся на счетчиках интерфейса, и пакеты могли бы быть отброшены.

Это применимо и для для Одноядерных и для Многожильных платформ. Желательно не использовать MIB пула памяти для опроса тех статистических данных, которые касаются подробности покажите mem, но использовать только те MIB, которые связываются с выходными данными show mem. Можно выполнить подробность покажите mem от CLI для просмотра этих захватов ЦПУ.

Захваты ЦПУ для SNMP

Этот раздел предоставляет типовые Сообщения CPU hog от Cisco ASA.

Process:      snmp, PROC_PC_TOTAL: 124, MAXHOG: 306, LASTHOG: 299
LASTHOG At:   12:00:24 EDT May 17 2013
PC:           0x000000000124fd5c (suspend)

Process:      snmp, NUMHOG: 124, MAXHOG: 306, LASTHOG: 299
LASTHOG At:   12:00:24 EDT May 17 2013
PC:           0x000000000124fd5c (suspend)
Call stack:   0x000000000124fd5c  0x000000000124e72b  0x000000000124b5da
              0x000000000124e3e7  0x0000000001228b9a  0x000000000122732a
              0x0000000000423cc5

Process:      snmp, PROC_PC_TOTAL: 248, MAXHOG: 306, LASTHOG: 298
LASTHOG At:   12:01:34 EDT May 17 2013
PC:           0x00000000013780cf (suspend)

Process:      snmp, NUMHOG: 248, MAXHOG: 306, LASTHOG: 298
LASTHOG At:   12:01:34 EDT May 17 2013
PC:           0x00000000013780cf (suspend)
Call stack:   0x000000000124803b  0x00000000012289e5  0x000000000122732a
              0x0000000000423cc5

Вы могли бы также видеть эти сообщения об ошибках на Cisco ASA.

[local5.warning] %ASA-4-711004: Task ran for 305 msec, Process = snmp, PC = 1250117, Call stack = 
2013-05-17T09:33:12-04:00 CISCO-ASA-TEST(10.10.10.1) [local5.warning] %ASA-4-711004: Task ran for 305 msec, Process = snmp, PC = 1250117, Call stack =   0x0000000001250117  0x000000000124ea07  0x000000000124b5da  0x000000000124e3e7  0x0000000001228b9a  0x000000000122732a  0x0000000000423cc5
2013-05-17T09:33:12-04:00 CISCO-ASA-TEST(10.10.10.2) [local5.warning] %ASA-4-711004: Task ran for 354 msec, Process = snmp, PC = 1250117, Call stack = 
2013-05-17T09:33:12-04:00 CISCO-ASA-TEST(10.10.10.2) [local5.warning] %ASA-4-711004: Task ran for 354 msec, Process = snmp, PC = 1250117, Call stack =   0x0000000001250117  0x000000000124ea07  0x000000000124b5da  0x000000000124e3e7  0x0000000001228b9a  0x000000000122732a  0x0000000000423cc5
2013-05-17T09:33:22-04:00 CISCO-ASA-TEST(10.10.10.2) [local5.warning] %ASA-4-711004: Task ran for 348 msec, Process = snmp, PC = 124fd5c, Call stack = 
2013-05-17T09:33:22-04:00 CISCO-ASA-TEST(10.10.10.2) [local5.warning] %ASA-4-711004: Task ran for 348 msec, Process = snmp, PC = 124fd5c, Call stack =   0x000000000124fd5c  0x000000000124e72b  0x000000000124b5da  0x000000000124e3e7  0x0000000001228b9a  0x000000000122732a  0x0000000000423cc5
2013-05-17T09:36:17-04:00 CISCO-ASA-TEST(10.10.10.1) [local5.warning] %ASA-4-711004: Task ran for 300 msec, Process = snmp, PC = 13780cf, Call stack = 
2013-05-17T09:36:17-04:00 CISCO-ASA-TEST(10.10.10.1) [local5.warning] %ASA-4-711004: Task ran for 300 msec, Process = snmp, PC = 13780cf, Call stack =   0x000000000124803b  0x00000000012289e5  0x000000000122732a  0x0000000000423cc5

Смягчение

  1. Избегите опрашивать OID, которые касаются global_shared_mem_pool.

  2. Выполните snmpwalk для платформы ASA и проверьте, опрашивается ли какой-либо из OID, которые касаются global_shared_mem_pool.

snmpwalk -c public -v2c -Os <IP Address> 1.3.6.1.4.1.9.9.48

enterprises.9.9.48.1.1.1.2.1 = STRING: "System memory"
enterprises.9.9.48.1.1.1.2.6 = STRING: "MEMPOOL_DMA"
enterprises.9.9.48.1.1.1.2.7 = STRING: "MEMPOOL_GLOBAL_SHARED"
enterprises.9.9.48.1.1.1.3.1 = INTEGER: 0
enterprises.9.9.48.1.1.1.3.6 = INTEGER: 0
enterprises.9.9.48.1.1.1.3.7 = INTEGER: 0
enterprises.9.9.48.1.1.1.4.1 = INTEGER: 1
enterprises.9.9.48.1.1.1.4.6 = INTEGER: 1
enterprises.9.9.48.1.1.1.4.7 = INTEGER: 1
enterprises.9.9.48.1.1.1.5.1 = Gauge32: 804874736
enterprises.9.9.48.1.1.1.5.6 = Gauge32: 125674744
enterprises.9.9.48.1.1.1.5.7 = Gauge32: 153938632
enterprises.9.9.48.1.1.1.6.1 = Gauge32: 3490092567
enterprises.9.9.48.1.1.1.6.6 = Gauge32: 146135816
enterprises.9.9.48.1.1.1.6.7 = Gauge32: 3084064048
enterprises.9.9.48.1.1.1.7.1 = Gauge32: 3083999920
enterprises.9.9.48.1.1.1.7.6 = Gauge32: 146133824
enterprises.9.9.48.1.1.1.7.7 = Gauge32: 3083999920

Избегайте использования предприятия 9.9.48.1.1.1.7, поскольку это - OID для largest_contiguous_memory. Кроме того, предприятия 9.9.48.1.1.1. X . 7 должен избежаться, поскольку это касается MEMPOOL_GLOBAL_SHARED.

При опросе OID от семейства, 9.9.48.1.1.1. x . y, проверьте, совпадает ли ‘y’ с global_mempool; если да, избегайте использования тех OID для смягчения захватов ЦПУ SNMP. Этот ‘y’ генерируется динамично и мог бы быть другим с другими платформами Cisco ASA.

Обратитесь CSCtx43501 для дополнительных сведений.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 116423