Problemas de Conectividad del Módulo de Servicios de Firewall debido al Control ARP del Switch
Contenido
Introducción
Este documento describe un problema de conectividad específico encontrado cuando usted utiliza el Módulo de servicios del Firewall (FWSM) en un Cisco 6500 o 7600 Series Switch.
Prerrequisitos
Requisitos
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en estas versiones de software y hardware.
- Cisco 6500 Series Switch
- Plataformas del Cisco 7600 Series Router
- FWSM
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Problema
Para este problema específico, ninguno de estos síntomas pudieron ser observados:
- La conectividad de red o con al FWSM pudo fallar intermitentemente.
- La conectividad de red a través del conmutador (no con el FWSM) pudo fallar intermitentemente.
Se causa esta situación específica cuando el policer del protocolo de Resoution de la dirección configurada (ARP) en las 6500/7600 Series de Cisco cambia los paquetes de los descensos ARP porque el importe total de tráfico ARP sube sobre el umbral configurado del policer ARP.
La configuración del switch que causa este problema es:
mls qos protocol ARP police 32000 1000 mls qos
Estos valores mínimos hacen el dispositivo limpiar el tráfico ARP con y al dispositivo en aproximadamente 60 paquetes ARP por segundo (30 peticiones y contestaciones). Los valores numéricos del policer expuestos previamente representan los valores absolutos del minio que son validados por el analizador de sintaxis. A menudo, estos valores no son apropiados para la cantidad de tráfico legítimo ARP que pase a través del conmutador.
Esta salida muestra que el policer ARP cae el tráfico ARP que pasa a través del conmutador (AgPoliced-por indica la cantidad de bytes que se cae para el protocolo):
6500#show mls qos protocol
Modes: P - police, M - marking, * - passthrough
Module: All - all EARL slots; Dir: I&O - In & Out; F - Fail
Proto Mode Mod Dir AgId Prec Cir Burst AgForward-By AgPoliced-By
--------------------------------------------------------------------------------
OSPF * All I&O - - - - - -
ARP P 7 In 7 - 32000 1000 28207242542 7633398736
ARP P 13 In 1 - 32000 1000 7990748006 4555958320
6500#
En este caso, el 27% (7633398736 bytes caídos contra 28207242542 bytes pasajeros) del tráfico ARP es caído por el conmutador.
Solución
Si el conmutador cae () el tráfico no colocado legítimo ARP, los valores configurados del policer ARP en el conmutador pudieron ser demasiado bajos. Determine el valor correcto para el policer basado en el perfil del tráfico de la red, y configure de nuevo el policer apropiadamente para esos valores.
Información Relacionada
- Referencia del comando de las soluciones de calidad de servicio del ® del Cisco IOS
- Guía de configuración de software de la versión 12.2SX del catalizador 6500 - Vigilancia del paquete del protocolo
- Guía de configuración de software de la versión 12.2SX del catalizador 6500 - Inspección ARP dinámica
- Soporte Técnico y Documentación - Cisco Systems
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
12-Jul-2013 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)