이 문서에서는 소프트웨어 업그레이드 후 FWSM(Firewall Services Module)에서 간헐적인 트래픽 삭제에 대한 특정 문제를 릴리스 4.1.11 이상으로 설명합니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 FWSM with Software Release 4.1(11) 이상을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
FWSM 동작에 따라 TCP를 로깅 전송 프로토콜로 사용하여 syslog 서버로 메시지를 전송하는 경우 FWSM이 syslog 서버에 연결할 수 없는 경우 보안 조치로 새 연결을 거부합니다.사용 가능한 logging permit-hostdown 명령을 사용하여 이 제한을 제거합니다.
릴리스 4.1.11 이상으로 업그레이드한 후 FWSM에 일시적인 트래픽 삭제 문제가 있습니다.FWSM에서 모든 새 연결을 거부하기 시작합니다.
가장 눈에 띄는 트래픽 삭제는 각 ICMP 에코 요청이 새 연결로 처리되기 때문에 ICMP(Internet Control Message Protocol)에 대한 것입니다.syslog 서버에 대한 TCP 연결이 성공하면 연결이 복원됩니다.
FWSM 릴리스 4.1.11 이상의 경우 "permit-hostdown" 정책을 사용해도 TCP 기반 syslog 서버에 연결할 수 없는 경우 FWSM은 모든 새 연결을 거부합니다."logging permit-hostdown" 기능은 FWSM을 릴리스 4.1.11 이상으로 업그레이드한 후 더 이상 작동하지 않습니다.
FWSM은 시간 서버가 작동될 때까지 1분마다 TCP syslog 서버에 다시 연결됩니다.따라서 단일 TCP 핸드셰이크 장애가 발생하면 모든 새 연결에 대해 최소 1분의 중단이 발생합니다. FWSM은 1분 만에 TCP syslog 서버에 다시 연결을 시도하기 때문입니다.
이 동작을 식별하려면 느린 경로(NP3) 통계를 확인합니다.TCP 기반 syslog 서버에 연결할 수 없는 경우 "permit-hostdown" 정책을 사용하더라도 Deny Conn(Conn State) 카운터가 증가합니다.
pri/act# show clock
09:31:55.070 GMT Thu May 15 2014
pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------
Egress Discards : 34412
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 34013 <------Counter to monitor
pri/act# show clock
09:32:06.020 GMT Thu May 15 2014
pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------
Egress Discards : 46634
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 46235 <------Counter seen increasing
이 문제를 추적하기 위해 결함이 발생했지만 FWSM이 소프트웨어 유지 관리 릴리스 날짜의 종료에 도달했으므로 수정되지 않습니다.
End-of-Sale 및 End-of-Life 공지 - 방화벽 서비스 모듈
이 문제를 해결하려면 로깅 서버 컨피그레이션을 UDP 전송으로 변경하십시오.
logging host inside 192.x.x.x 17/5514
Cisco Support Community는 질문하고 답변하고 제안을 공유하고 동료와 협업할 수 있는 포럼입니다.