스위치 ARP 폴리싱으로 인한 방화벽 서비스 모듈 연결 문제

소개

이 문서에서는 Cisco 6500 또는 7600 Series 스위치에서 FWSM(Firewall Services Module)을 사용할 때 발생하는 특정 연결 문제에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.

• Cisco 6500 Series 스위치
• Cisco 7600 Series 라우터 플랫폼
• FWSM

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

문제

이 특정 문제와 관련하여 다음과 같은 증상이 나타날 수 있습니다.

• FWSM과의 네트워크 연결이 간헐적으로 실패할 수 있습니다.
• FWSM이 아닌 스위치를 통한 네트워크 연결이 간헐적으로 실패할 수 있습니다. 

이러한 상황은 Cisco 6500/7600 Series 스위치의 구성된 ARP(Address Resource Protocol) 폴리서가 구성된 ARP 패킷을 삭제하는 경우에 발생합니다. 이는 ARP 트래픽의 총 양이 구성된 ARP 폴리서 임계값을 초과하기 때문입니다.

이 문제를 일으키는 스위치 컨피그레이션은 다음과 같습니다.

mls qos protocol ARP police 32000 1000 mls qos

이러한 최소값은 디바이스가 초당 약 60개의 ARP 패킷(요청 및 응답)에서 ARP 트래픽을 통과하고 디바이스에 대한 ARP 트래픽을 폴리싱하도록 합니다. 이전에 설명한 숫자 폴리서 값은 파서에서 허용하는 절대 최소 값을 나타냅니다.이러한 값은 스위치를 통과하는 합법적인 ARP 트래픽의 양에 적합하지 않은 경우가 많습니다.

이 출력은 ARP 폴리서가 스위치를 통과하는 ARP 트래픽을 삭제하는 것을 보여줍니다(AgPoliced-By는 프로토콜에 대해 삭제된 바이트 수를 나타냅니다).

6500#show mls qos protocol
  Modes: P - police, M - marking, * - passthrough
  Module: All - all EARL slots;    Dir: I&O - In & Out;   F - Fail

  Proto Mode Mod Dir AgId Prec         Cir    Burst   AgForward-By AgPoliced-By
--------------------------------------------------------------------------------
   OSPF    * All I&O    -    -           -        -           -       -
    ARP    P   7  In    7    -       32000     1000    28207242542 7633398736
    ARP    P  13  In    1    -       32000     1000     7990748006 4555958320
6500#

이 경우 스위치에서 ARP 트래픽의 27%(763398736바이트 삭제되었지만 28207242542바이트 전달됨)가 삭제됩니다.

솔루션

스위치에서 합법적인(루프가 아님) ARP 트래픽을 삭제하는 경우, 스위치에 구성된 ARP 폴리서 값이 너무 낮을 수 있습니다.네트워크 트래픽 프로필을 기반으로 폴리서의 올바른 값을 결정하고 해당 값에 맞게 정책을 재구성합니다.

관련 정보

• Cisco IOS^® Quality of Service 솔루션 명령 참조
• Catalyst 6500 릴리스 12.2SX 소프트웨어 컨피그레이션 가이드 - 프로토콜 패킷 폴리싱
• Catalyst 6500 릴리스 12.2SX 소프트웨어 구성 가이드 - 동적 ARP 검사
• 기술 지원 및 문서 − Cisco Systems