ASA 8.3 이상:성능 문제 모니터링 및 문제 해결
목차
소개
이 문서에서는 Cisco ASA(Adaptive Security Appliance)의 성능을 모니터링하고 문제를 해결하는 데 사용할 수 있는 ASA 명령에 대한 정보를 제공합니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 버전 8.3 이상을 실행하는 Cisco ASA(Adaptive Security Appliance)를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.라이브 네트워크에서 작업하는 경우, 명령을 사용하기 전에 명령의 잠재적인 영향을 이해해야 합니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
문제 해결
성능 문제를 해결하려면 이 섹션에 설명된 기본 영역을 확인하십시오.
속도 및 이중 설정
보안 어플라이언스는 인터페이스에서 속도 및 듀플렉스 설정을 자동으로 탐지하도록 미리 구성되어 있습니다.그러나 자동 협상 프로세스가 실패하여 속도 또는 이중 불일치(및 성능 문제)가 발생할 수 있는 몇 가지 상황이 있습니다. 미션 크리티컬 네트워크 인프라의 경우, Cisco는 오류 발생 가능성이 없도록 각 인터페이스에서 속도와 듀플렉스를 수동으로 하드코딩합니다.이러한 디바이스는 일반적으로 이동하지 않으므로 적절히 구성할 경우 변경할 필요가 없습니다.
어떤 네트워크 디바이스에서든 링크 속도를 감지할 수 있지만 양방향을 협상해야 합니다.속도 및 듀플렉스를 자동으로 협상하도록 두 네트워크 디바이스가 구성된 경우 속도 및 듀플렉스 기능을 광고하는 프레임(Fast Link Pulse 또는 FLP라고 함)을 교환합니다.알지 못하는 링크 파트너에게는 이러한 펄스가 일반 10Mbps 프레임과 유사합니다.펄스를 디코딩할 수 있는 링크 파트너에게 FLP는 링크 파트너가 제공할 수 있는 모든 속도 및 듀플렉스 설정을 포함합니다.FLP를 수신하는 스테이션은 프레임을 승인하며, 각 디바이스가 달성할 수 있는 최고 속도 및 이중 설정에 대해 디바이스가 상호 합의합니다.한 디바이스에서 자동 협상을 지원하지 않으면 다른 디바이스에서 FLP를 수신하고 병렬 탐지 모드로 전환됩니다.파트너의 속도를 감지하기 위해 디바이스는 펄스 길이를 듣고 그에 따라 속도를 설정합니다.듀플렉스 설정에 문제가 발생합니다.듀플렉스를 협상해야 하므로 자동 협상으로 설정된 디바이스는 다른 디바이스의 설정을 결정할 수 없으므로 IEEE 802.3u 표준에 명시된 대로 반이중으로 기본 설정됩니다.
예를 들어 자동 협상을 위해 ASA 인터페이스를 구성하고 100Mbps 및 전이중 모드로 하드코딩된 스위치에 연결하면 ASA는 FLP를 전송합니다.그러나 스위치는 속도와 양방향으로 하드코딩되며 자동 협상에 참여하지 않으므로 응답하지 않습니다.스위치에서 응답이 없으므로 ASA는 병렬 탐지 모드로 전환되며 스위치가 전송하는 프레임에서 펄스의 길이를 감지합니다.즉, ASA는 스위치가 100Mbps로 설정된 것을 감지하므로 그에 따라 인터페이스 속도를 설정합니다.그러나 스위치가 FLP를 교환하지 않으므로 ASA는 스위치가 전이중(full-duplex)을 실행할 수 있는지 여부를 감지할 수 없으므로 ASA는 IEEE 803.2u 표준에 명시된 대로 인터페이스 듀플렉스를 반이중으로 설정합니다.스위치가 100Mbps 및 전이중으로 하드코딩되고 ASA가 100Mbps 및 반이중(필요한 경우)으로 자동 협상되었기 때문에 심각한 성능 문제를 일으킬 수 있는 이중 불일치가 발생합니다.
문제의 인터페이스에 대한 오류 카운터가 증가하면 속도 또는 이중 불일치가 가장 자주 표시됩니다.가장 일반적인 오류는 프레임, CRC(cyclic redundancy checks) 및 런트입니다.이 값이 인터페이스에서 증가하면 속도/듀플렉스 불일치 또는 케이블 문제가 발생합니다.계속하려면 이 문제를 해결해야 합니다.
예
Interface GigabitEthernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
Input flow control is unsupported, output flow control is unsupported
MAC address 0013.c480.b2b8, MTU 1500
IP address 192.168.17.4, subnet mask 255.255.255.0
311981 packets input, 20497296 bytes, 0 no buffer
Received 311981 broadcasts, 157 runts, 0 giants
379 input errors, 107 CRC, 273 frame, 0 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
0 L2 decode drops
121 packets output, 7744 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 1 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops, 0 tx hangs
input queue (blocks free curr/low): hardware (255/249)
output queue (blocks free curr/low): hardware (255/254)
CPU 사용률
CPU 사용률이 높은 경우 다음 단계를 완료하여 문제를 해결하십시오.
- show xlate count의 연결 수가 낮은지 확인합니다.
- 메모리 블록이 정상인지 확인합니다.
- ACL 수가 더 많은지 확인합니다.
- show memory detail 명령을 실행하고 ASA에서 사용하는 메모리가 정상 사용인지 확인합니다.
- show processes cpu-hog 및 show 프로세스 메모리의 수가 정상인지 확인합니다.
- 보안 어플라이언스 내부 또는 외부에 있는 모든 호스트는 브로드캐스트/멀티캐스트 트래픽일 수 있는 악성 또는 대량 트래픽을 생성할 수 있으며 CPU 사용률이 높습니다.이 문제를 해결하려면 호스트 간(엔드 투 엔드) 트래픽을 거부하고 사용을 확인하도록 액세스 목록을 구성합니다.
- ASA 인터페이스에서 듀플렉스 및 속도 설정을 확인합니다.원격 인프라와의 불일치 설정은 CPU 사용률을 높일 수 있습니다.
이 예에서는 입력 오류 및 속도 불일치로 인한 오버런의 수를 보여줍니다.오류를 확인하려면 show interface 명령을 사용합니다.
Ciscoasa#sh int GigabitEthernet0/1 Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) Input flow control is unsupported, output flow control is unsupported MAC address 0013.c480.b2b8, MTU 1500 IP address 192.168.17.4, subnet mask 255.255.255.0 311981 packets input, 20497296 bytes, 0 no buffer Received 311981 broadcasts, 157 runts, 0 giants 7186 input errors, 0 CRC, 0 frame, 7186 overrun, 0 ignored, 0 abort 0 pause input, 0 resume input 0 L2 decode drops 121 packets output, 7744 bytes, 0 underruns 0 pause output, 0 resume output 0 output errors, 0 collisions, 1 interface resets 0 late collisions, 0 deferred 0 input reset drops, 0 output reset drops, 0 tx hangs input queue (blocks free curr/low): hardware (255/249) output queue (blocks free curr/low): hardware (255/254)이 문제를 해결하려면 속도를 해당 인터페이스에 자동으로 설정합니다.
- CPU 사용량이 많은 또 다른 이유는 너무 많은 멀티캐스트 경로 때문일 수 있습니다.ASA가 멀티캐스트 경로를 너무 많이 수신하는지 확인하려면 show mroute 명령을 실행합니다.
- 네트워크에서 바이러스 공격을 나타낼 수 있는 서비스 거부 공격이 네트워크에 발생하는지 확인하려면 show local-host 명령을 사용합니다.
- Cisco 버그 ID CSCsq48636 때문에 높은 CPU가 발생할 수 있습니다.자세한 내용은 Cisco 버그 ID CSCsq48636(등록된 고객만 해당)을 참조하십시오.
높은 메모리 사용률
다음은 높은 메모리 사용률을 위한 몇 가지 가능한 원인 및 해결 방법입니다.
- 이벤트 로깅:이벤트 로깅은 대량의 메모리를 사용할 수 있습니다.이 문제를 해결하려면 모든 이벤트를 syslog 서버와 같은 외부 서버에 설치하고 로깅하십시오.
- 메모리 누수:보안 어플라이언스 소프트웨어의 알려진 문제로 인해 메모리 사용량이 증가할 수 있습니다.이 문제를 해결하려면 보안 어플라이언스 소프트웨어를 업그레이드하십시오.
- 디버깅 사용:디버깅은 많은 양의 메모리를 사용할 수 있습니다.이 문제를 해결하려면 undebug all 명령으로 디버깅을 비활성화합니다.
- 차단 포트:보안 어플라이언스의 외부 인터페이스에서 포트를 차단하면 보안 어플라이언스가 지정된 포트를 통해 패킷을 차단하기 위해 많은 양의 메모리를 사용하게 됩니다.이 문제를 해결하려면 ISP 끝의 잘못된 트래픽을 차단하십시오.
- 위협 탐지:위협 탐지 기능은 다양한 위협에 대한 다양한 수준의 통계 수집과 호스트가 스캔을 수행할 시기를 결정하는 스캐닝 위협 탐지로 구성됩니다.메모리를 적게 사용하려면 이 기능을 끕니다.
PortFast, Channelling 및 Trunking
기본적으로 Catalyst OS(운영 체제)를 실행하는 Cisco 스위치와 같은 많은 스위치는 플러그 앤 플레이 디바이스로 설계되었습니다.따라서 ASA를 스위치에 연결하면 많은 기본 포트 매개변수가 바람직하지 않습니다.예를 들어 Catalyst OS를 실행하는 스위치에서 기본 채널링은 Auto로, 트렁킹은 Auto로, PortFast는 비활성화되어 있습니다.Catalyst OS를 실행하는 스위치에 ASA를 연결하는 경우 채널링을 비활성화하고 트렁킹을 비활성화하고 PortFast를 활성화합니다.
Fast EtherChannel 또는 Giga EtherChannel이라고도 하는 채널링은 링크 전체의 전체 처리량을 증가시키기 위해 논리적 그룹에서 둘 이상의 물리적 포트를 바인딩하는 데 사용됩니다.포트가 자동 채널링용으로 구성된 경우 링크가 활성화될 때 포트가 채널의 일부인지 확인하기 위해 PAgP(Port Aggregation Protocol) 프레임을 전송합니다.이러한 프레임은 다른 디바이스에서 링크의 속도 및 듀플렉스를 자동으로 협상하려고 하면 문제를 일으킬 수 있습니다.포트의 채널링이 Auto로 설정된 경우 링크가 가동된 후 포트가 트래픽을 포워딩하기 시작하기까지 추가로 약 3초가 지연됩니다.
일반적인 트렁킹 프로토콜인 ISL(Inter-Switch Link) 또는 Dot1q에서도 알려진 Trunking은 단일 포트(또는 링크)에 여러 VLAN(virtual LAN)을 결합합니다. 트렁킹은 일반적으로 두 스위치에 둘 이상의 VLAN이 정의되어 있는 경우 두 스위치 간에 사용됩니다.자동 트렁킹을 위해 포트를 구성하면 링크가 나타날 때 DTP(Dynamic Trunking Protocol) 프레임을 전송하여 연결된 포트가 트렁크를 원하는지 확인합니다.이러한 DTP 프레임은 링크의 자동 협상 문제를 일으킬 수 있습니다.스위치 포트에서 트렁킹이 Auto로 설정된 경우 링크가 가동된 후 포트가 트래픽을 포워딩하기 시작하기까지 약 15초의 추가 지연이 추가됩니다.
Fast Start라고도 하는 PortFast는 스위치 포트에서 레이어 3 디바이스가 연결되었음을 스위치에 알리는 옵션입니다.포트는 기본 30초(수신 대기하는 데 15초, 학습하는 데 15초)를 기다리지 않습니다.대신 이 작업을 수행하면 링크가 발생한 직후 스위치가 포트를 전달 상태로 전환합니다.PortFast를 활성화할 때 스패닝 트리가 비활성화되지 않는다는 점에 유의해야 합니다.스패닝 트리가 해당 포트에서 여전히 활성 상태입니다.PortFast를 활성화하면 링크의 다른 끝에 다른 스위치나 허브(레이어 2 전용 디바이스)가 연결되어 있지 않다는 것만 스위치에 알립니다.스위치는 레이어 2 루프가 해당 포트를 표시할 경우 결과를 확인하려고 시도하는 동안 정상적인 30초 지연을 우회합니다.링크가 시작되면 스패닝 트리에 계속 참여합니다.포트는 BPDU(Bridge Packet Data Unit)를 전송하며, 스위치는 해당 포트에서 BPDU를 계속 수신합니다.따라서 ASA에 연결되는 스위치 포트에서 PortFast를 활성화하는 것이 좋습니다.
NAT(Network Address Translation)
각 NAT 또는 NAT 오버로드(PAT) 세션에는 xlate라고 하는 변환 슬롯이 할당됩니다.이러한 xlate는 NAT 규칙을 변경한 후에도 계속 유지될 수 있습니다.이렇게 하면 변환 슬롯이 감소하거나, 변환 트래픽이 예상치 못한 동작을 수행하거나 둘 다 변환되는 트래픽에 의해 고갈 수 있습니다.이 섹션에서는 보안 어플라이언스에서 xlate를 보고 지우는 방법에 대해 설명합니다.
외부 인터페이스 IP 주소를 사용하는 PAT에 대한 샘플 ASA 컨피그레이션:
object network OBJ_GENERIC_ALL subnet 0.0.0.0 0.0.0.0 nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface
보안 어플라이언스를 통과하는 트래픽은 NAT를 거칠 가능성이 높습니다.보안 어플라이언스에서 사용 중인 변환을 보려면 show xlate 명령을 실행합니다.
Ciscoasa#show xlate
5 in use, 5 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from any:192.168.1.10 to any:172.16.1.1/24
flags s idle 277:05:26 timeout 0:00:00
변환 슬롯은 키 변경 후에도 유지될 수 있습니다.보안 어플라이언스에서 현재 변환 슬롯을 지우려면 clear xlate 명령을 실행합니다.
Ciscoasa#clear xlate
Ciscoasa#show xlate 0 in use, 1 most used
clear xlate 명령은 xlate 테이블에서 현재 동적 변환을 모두 지웁니다.특정 IP 변환을 지우려면 global [ip address] 키워드와 함께 clear xlate 명령을 사용할 수 있습니다.
다음은 NAT에 대한 샘플 ASA 컨피그레이션입니다.
object network inside-net subnet 0.0.0.0 0.0.0.0 object network outside-pat-pool range 10.10.10.10 10.10.10.100 nat (inside,outside) source dynamic inside-net outside-pat-pool
내부에서 외부 글로벌 10.10.10.10으로 변환하기 위한 show xlate 출력을 확인합니다.
Ciscoasa#show xlate 2 in use, 2 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice TCP PAT from inside:10.2.2.2/1429 to any:10.10.10.10/64768 flags ri idle 62:33:57 timeout 0:00:30 TCP PAT from inside:10.5.5.5/1429 to any:10.10.10.11/64768 flags ri idle 62:33:57 timeout 0:00:30
10.10.10.10 전역 IP 주소의 변환을 지웁니다.
Ciscoasa# clear xlate global 10.10.10.10
이 예에서는 내부 10.2.2.2에서 외부 글로벌 10.10.10.10에 대한 변환이 사라집니다.
Ciscoasa#show xlate 1 in use, 2 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice TCP PAT from inside:10.5.5.5/1429 to any:10.10.10.11/64768 flags ri idle 62:33:57 timeout 0:00:30
Syslog
Syslogs를 사용하면 ASA에서 문제를 해결할 수 있습니다.Cisco는 ASA Firewall Syslog Server(PFSS)라는 Windows NT용 무료 syslog 서버를 제공합니다. 소프트웨어 다운로드(등록된 고객만 해당) 페이지에서 PFSS를 다운로드할 수 있습니다.
Kiwi Enterprises와 같은 여러 다른 공급업체는 Windows 2000 및 Windows XP와 같은 다양한 Windows 플랫폼용 syslog 서버를 제공합니다. 
대부분의 UNIX 및 Linux 시스템에는 기본적으로 syslog 서버가 설치되어 있습니다.
syslog 서버를 설정할 때 로그를 전송하도록 ASA를 구성합니다.
예:
logging on
logging host <ip_address_of_syslog_server>
logging trap debugging
성능 저하 문제가 발생하면 텍스트 파일에서 syslog를 열고 성능 문제와 관련된 소스 IP 주소를 검색합니다.(UNIX를 사용하는 경우 소스 IP 주소에 대한 syslog를 통해 grep할 수 있습니다.) 외부 서버가 TCP 포트 113(Identification Protocol 또는 Ident의 경우)에서 내부 IP 주소에 액세스하려고 했지만 ASA가 패킷을 거부했음을 나타내는 메시지를 확인합니다.메시지는 다음 예와 유사해야 합니다.
%ASA-2-106001: Inbound TCP connection denied from 10.64.10.2/35969 to 172.17.110.179/113 flags SYN
이 메시지가 표시되면 service resetinbound 명령을 ASA에 실행합니다.ASA는 패킷을 자동으로 삭제하지 않습니다.대신 이 명령을 사용하면 ASA가 보안 정책에 의해 거부된 인바운드 연결을 즉시 재설정합니다.서버는 TCP 연결이 시간 초과될 때까지 클라이언트 패킷을 기다리지 않습니다.대신 재설정 패킷을 즉시 수신합니다.
SNMP
엔터프라이즈 구축에서는 SNMP를 사용하여 Cisco ASA의 성능을 모니터링하는 것이 좋습니다.Cisco ASA는 SNMP 버전 1, 2c 및 3으로 네트워크 모니터링을 지원합니다.
NMS(Network Management Server)로 트랩을 전송하도록 보안 어플라이언스를 구성하거나 NMS를 사용하여 보안 어플라이언스의 MIB를 찾아볼 수 있습니다.MIB는 정의 모음이며 보안 어플라이언스는 각 정의에 대한 값 데이터베이스를 유지 관리합니다.이에 대한 자세한 내용은 Cisco ASA에서 SNMP 구성을 참조하십시오.
Cisco ASA에 대해 지원되는 모든 MIB는 ASA MIB 지원 목록에서 확인할 수 있습니다.이 목록에서 이러한 MIB는 성능 모니터링에 유용합니다.
- CISCO-FIREWALL-MIB — 장애 조치에 유용한 개체가 포함되어 있습니다.
- CISCO-PROCESS-MIB — CPU 사용률에 유용한 개체를 포함합니다.
- CISCO-MEMORY-POOL-MIB — 메모리 객체에 유용한 객체를 포함합니다.
역방향 DNS 조회
ASA의 성능이 저하된 경우, ASA에서 사용하는 외부 주소에 대한 권한 있는 DNS 서버에 Reverse DNS Lookup 레코드라고도 하는 DNS PTR(Domain Name System Pointer) 레코드가 있는지 확인합니다.여기에는 전역 NAT(Network Address Translation) 풀(또는 인터페이스에서 오버로드되는 경우 ASA 외부 인터페이스)의 모든 주소, 고정 주소 및 내부 주소(NAT를 함께 사용하지 않는 경우)가 포함됩니다. FTP(File Transfer Protocol) 및 텔넷 서버와 같은 일부 애플리케이션에서는 역방향 DNS 조회를 사용하여 사용자의 출처 및 유효한 호스트인지 확인할 수 있습니다.역방향 DNS 조회가 확인되지 않으면 요청 시간이 초과되면 성능이 저하됩니다.
이러한 호스트에 대해 PTR 레코드가 존재하도록 하려면 PC 또는 UNIX 시스템에서 nslookup 명령을 실행합니다.인터넷에 연결하는 데 사용하는 전역 IP 주소를 포함합니다.
예
% nslookup 198.133.219.25 25.219.133.198.in-addr.arpa name = www.cisco.com.
해당 IP 주소에 할당된 디바이스의 DNS 이름으로 응답을 받아야 합니다.응답을 받지 못한 경우, 각 글로벌 IP 주소에 대한 PTR 레코드 추가를 요청하려면 DNS를 제어하는 담당자에게 문의하십시오.
인터페이스에서 초과 실행
트래픽 버스트가 있는 경우 버스트가 NIC에서 FIFO 버퍼의 버퍼링 용량 및 수신 링 버퍼를 초과할 경우 삭제된 패킷이 발생할 수 있습니다.흐름 제어를 위해 일시 중지 프레임을 활성화하면 이 문제를 해결할 수 있습니다.일시 중지(XOFF) 및 XON 프레임은 FIFO 버퍼 사용량을 기준으로 NIC 하드웨어에 의해 자동으로 생성됩니다.일시 중지 프레임은 버퍼 사용량이 상위 워터마크를 초과하면 전송됩니다.흐름 제어를 위해 일시 중지(XOFF) 프레임을 활성화하려면 다음 명령을 사용합니다.
hostname(config)#interface tengigabitethernet 1/0 hostname(config-if)# flowcontrol send on
자세한 내용은 물리적 인터페이스 활성화 및 이더넷 매개변수 구성을 참조하십시오.
show 명령
CPU 사용량 표시
show cpu usage 명령은 ASA CPU에 배치된 트래픽 로드를 확인하는 데 사용됩니다.피크 트래픽 시간, 네트워크 서지 또는 공격 중에 CPU 사용량이 급증할 수 있습니다.
ASA에는 다양한 작업을 처리하는 단일 CPU가 있습니다.예를 들어, 패킷을 처리하고 디버그 메시지를 콘솔에 인쇄합니다.각 프로세스에는 고유한 용도가 있으며 일부 프로세스에는 다른 프로세스보다 CPU 시간이 더 필요합니다.암호화는 CPU를 가장 많이 사용하는 프로세스일 수 있으므로 ASA가 암호화된 터널을 통해 많은 트래픽을 전달할 경우 VPN 3000과 같은 전용 VPN Concentrator인 더 빠른 ASA를 고려해야 합니다.VAC는 ASA CPU에서 암호화 및 암호 해독을 오프로드하고 카드의 하드웨어에서 수행합니다.이를 통해 ASA는 3DES(168비트 암호화)를 사용하여 100Mbps의 트래픽을 암호화하고 해독할 수 있습니다.
로깅은 대량의 시스템 리소스를 사용할 수 있는 또 다른 프로세스입니다.따라서 ASA에서 콘솔, 모니터 및 버퍼 로깅을 비활성화하는 것이 좋습니다.문제를 해결할 때 이러한 프로세스를 활성화할 수 있지만, 특히 CPU 용량이 부족한 경우 일상적인 작업에 대해 이 프로세스를 비활성화할 수 있습니다.또한 syslogging 또는 SNMP(Simple Network Management Protocol) 로깅(로깅 기록)을 레벨 5(알림) 이하로 설정해야 합니다.또한 no logging message <syslog_id> 명령을 사용하여 특정 syslog 메시지 ID를 비활성화할 수 있습니다.
또한 Cisco ASDM(Adaptive Security Device Manager)은 Monitoring(모니터링) 탭에 그래프를 제공하여 시간이 지남에 따라 ASA의 CPU 사용량을 볼 수 있도록 합니다.이 그래프를 사용하여 ASA의 로드를 확인할 수 있습니다.
show cpu usage 명령을 사용하여 CPU 사용률 통계를 표시할 수 있습니다.
예
Ciscoasa#show cpu usage CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%
ASDM에서 CPU 사용량 보기
ASDM에서 CPU 사용량을 보려면 다음 단계를 완료하십시오.
- Monitoring(모니터링) > Properties(속성) > System Resources Graphics(시스템 리소스 그래픽) > CPU in ASDM으로 이동하고 Graph Window Title(그래프 창 제목)을 선택합니다.그런 다음 Available Graphs(사용 가능한 그래프) 목록에서 필요한 그래프를 선택하고 표시된 대로 Add(추가)를 클릭합니다.
- 필요한 그래프 이름이 Selected Graphs 섹션 아래에 추가되면 Show Graphs를 클릭합니다.
다음 이미지는 ASDM의 CPU Usage 그래프를 보여줍니다.이 그래프의 다른 보기를 사용할 수 있으며 보기 드롭다운 목록에서 뷰를 선택하여 변경할 수 있습니다.이 출력은 필요에 따라 컴퓨터에 인쇄하거나 저장할 수 있습니다.
출력 설명
이 표에서는 show cpu usage 출력의 필드에 대해 설명합니다.
| 필드 | 설명 |
|---|---|
| 5초 동안 CPU 사용률 | 지난 5초 동안의 CPU 사용률 |
| 1분 | 지난 1분 동안 평균 5초 CPU 사용률 샘플 |
| 5분 | 지난 5분 동안 평균 5초 CPU 사용률 샘플 |
트래픽 표시
show traffic 명령은 지정된 기간 동안 ASA를 통과하는 트래픽의 양을 보여줍니다.결과는 명령이 마지막으로 실행된 이후의 시간 간격을 기준으로 합니다.정확한 결과를 얻으려면 clear traffic 명령을 먼저 실행한 다음 show traffic 명령을 실행하기 전에 1~10분 동안 기다립니다.show traffic 명령을 실행하고 명령을 다시 실행하기 전에 1-10분 정도 기다릴 수도 있지만 두 번째 인스턴스의 출력만 유효합니다.
show traffic 명령을 사용하여 ASA를 통과하는 트래픽의 양을 확인할 수 있습니다.여러 인터페이스가 있는 경우 이 명령을 사용하여 어떤 인터페이스에서 가장 많은 데이터를 보내고 받을 것인지 결정할 수 있습니다.인터페이스가 2개인 ASA 어플라이언스의 경우 외부 인터페이스의 인바운드 및 아웃바운드 트래픽의 합계가 내부 인터페이스의 인바운드 및 아웃바운드 트래픽의 합계와 같아야 합니다.
예
Ciscoasa#show traffic
outside:
received (in 124.650 secs):
295468 packets 167218253 bytes
2370 pkts/sec 1341502 bytes/sec
transmitted (in 124.650 secs):
260901 packets 120467981 bytes
2093 pkts/sec 966449 bytes/sec
inside:
received (in 124.650 secs):
261478 packets 120145678 bytes
2097 pkts/sec 963864 bytes/sec
transmitted (in 124.650 secs):
294649 packets 167380042 bytes
2363 pkts/sec 1342800 bytes/sec
인터페이스 중 하나에 근접하거나 정격 처리량에 도달하면 더 빠른 인터페이스로 업그레이드하거나 해당 인터페이스로 들어오거나 나가는 트래픽의 양을 제한해야 합니다.이렇게 하지 않으면 패킷이 삭제될 수 있습니다.show interface 섹션에 설명된 대로 처리량에 대해 알아보기 위해 인터페이스 카운터를 검사할 수 있습니다.
perfmon 표시
show perfmon 명령은 ASA에서 검사하는 트래픽의 양과 유형을 모니터링하는 데 사용됩니다.이 명령은 초당 번역(xlates) 및 연결(conn) 수를 확인하는 유일한 방법입니다.연결은 TCP 및 UDP(User Datagram Protocol) 연결로 더욱 세분화됩니다.이 명령이 생성하는 출력에 대한 설명은 출력에 대한 설명을 참조하십시오.
예
PERFMON STATS Current Average Xlates 18/s 19/s Connections 75/s 79/s TCP Conns 44/s 49/s UDP Conns 31/s 30/s URL Access 27/s 30/s URL Server Req 0/s 0/s TCP Fixup 1323/s 1413/s TCPIntercept 0/s 0/s HTTP Fixup 923/s 935/s FTP Fixup 4/s 2/s AAA Authen 0/s 0/s AAA Author 0/s 0/s AAA Account 0/s 0/s
출력 설명
이 표에서는 show perfmon 출력의 필드에 대해 설명합니다.
| 필드 | 설명 |
|---|---|
| xlate | 초당 작성된 번역 |
| 연결 | 초당 설정된 연결 수 |
| TCP 연결 | 초당 TCP 연결 수 |
| UDP Conns | 초당 UDP 연결 수 |
| URL 액세스 | 초당 액세스되는 URL(웹 사이트) |
| URL 서버 요청 | 초당 Websense 및 N2H2로 전송된 요청(filter 명령 필요) |
| TCP 수정 | ASA가 초당 전달하는 TCP 패킷 수 |
| TCPIntercept | 정적으로 설정된 원시 제한을 초과한 초당 SYN 패킷 수입니다. |
| HTTP 수정 | 초당 포트 80으로 향하는 패킷 수(fixup protocol http 명령 필요) |
| FTP 수정 | 초당 검사된 FTP 명령 |
| AAA 오토 | 초당 인증 요청 수 |
| AAA 작성자 | 초당 권한 부여 요청 수 |
| AAA 계정 | 초당 계정 요청 수 |
블록 표시
show cpu usage 명령과 함께 ASA가 오버로드되었는지 확인하기 위해 show blocks 명령을 사용할 수 있습니다.
패킷 처리 블록(1550 및 16384바이트)
ASA 인터페이스로 들어가면 패킷이 입력 인터페이스 대기열에 배치되고 OS로 전달되어 블록에 배치됩니다.이더넷 패킷의 경우 1550바이트 블록이 사용됩니다.패킷이 66MHz 기가비트 이더넷 카드에서 들어오는 경우 16384바이트 블록이 사용됩니다.ASA는 ASA(Adaptive Security Algorithm)를 기반으로 패킷이 허용되는지 또는 거부되는지를 결정하고 아웃바운드 인터페이스의 출력 대기열로 패킷을 처리합니다.ASA가 트래픽 로드를 지원할 수 없는 경우 사용 가능한 1550바이트 블록(또는 66MHz GE의 16384바이트 블록) 수는 0에 근접합니다(명령 출력의 CNT 열에 표시됨). CNT 열이 0에 도달하면 ASA는 최대 8192개의 블록을 더 할당하려고 시도합니다.사용 가능한 블록이 더 이상 없으면 ASA에서 패킷을 삭제합니다.
장애 조치 및 Syslog 블록(256바이트)
256바이트 블록은 주로 스테이트풀 장애 조치 메시지에 사용됩니다.활성 ASA는 변환 및 연결 테이블을 업데이트하기 위해 대기 ASA에 패킷을 생성하고 전송합니다.높은 연결 속도가 생성 또는 중단된 버스트 트래픽 기간 동안 사용 가능한 256바이트 블록 수가 0으로 감소할 수 있습니다. 이 드롭은 하나 이상의 연결이 대기 ASA로 업데이트되지 않음을 나타냅니다.이는 일반적으로 상태 저장 장애 조치 프로토콜에 다음에 있을 때 손실된 xlate 또는 연결을 감지하기 때문에 허용됩니다.그러나 256바이트 블록에 대한 CNT 열이 연장된 기간 동안 0에 유지되거나 0에 근접한 경우 ASA는 ASA가 처리하는 초당 연결 수로 인해 동기화된 변환 및 연결 테이블을 따라잡을 수 없습니다.이러한 문제가 지속적으로 발생하면 ASA를 더 빠른 모델로 업그레이드하십시오.
ASA에서 전송된 Syslog 메시지도 256바이트 블록을 사용하지만 일반적으로 256바이트 블록 풀이 고갈되는 이러한 수량으로 릴리스되지 않습니다.CNT 열에 256바이트 블록 수가 0에 가까운 것으로 표시되면 디버깅(수준 7)에서 syslog 서버에 로그인하지 않도록 합니다.이는 ASA 컨피그레이션의 로깅 트랩 라인으로 표시됩니다.디버깅을 위해 추가 정보가 필요한 경우가 아니면 로깅을 알림(수준 5) 이하로 설정하는 것이 좋습니다.
예
Ciscoasa#show blocks
SIZE MAX LOW CNT
4 1600 1597 1600
80 400 399 400
256 500 495 499
1550 1444 1170 1188
16384 2048 1532 1538
출력 설명
이 표에서는 show blocks 출력의 열에 대해 설명합니다.
| 열 | 설명 |
|---|---|
| 크기 | E 블록 풀의 크기(바이트)입니다.각 크기는 특정 유형을 나타냅니다. |
| 최대 | 지정된 바이트 블록 풀에 사용할 수 있는 최대 블록 수입니다.최대 블록 수는 부팅 시 메모리에서 할당됩니다.일반적으로 최대 블록 수는 변경되지 않습니다.256바이트 및 1550바이트 블록은 예외입니다. Adaptive Security Appliance는 필요한 경우 최대 8192까지 동적으로 더 많은 항목을 생성할 수 있습니다. |
| 낮음 | 저물 표시요이 숫자는 Adaptive Security Appliance의 전원이 켜진 이후 또는 블록을 마지막으로 지운 이후(clear blocks 명령 사용) 이 크기 블록의 최소 수를 나타냅니다.LOW 열의 0은 메모리가 가득 찬 이전 이벤트를 나타냅니다. |
| CNT | 해당 특정 크기 블록 풀에 사용할 수 있는 현재 블록 수입니다.CNT 열의 0은 메모리가 현재 꽉 찼음을 의미합니다. |
이 표에서는 show blocks 출력의 SIZE 행 값에 대해 설명합니다.
| 크기 값 | 설명 |
|---|---|
| 0 | dupb 블록에서 사용됩니다. |
| 4 | DNS, ISAKMP, URL 필터링, uauth, TFTP 및 TCP 모듈과 같은 애플리케이션에서 기존 블록을 복제합니다.또한 이 크기의 블록은 일반적으로 코드에서 드라이버 등에 패킷을 전송하는 데 사용할 수 있습니다. |
| 80 | TCP 가로채기에서 승인 패킷을 생성하고 장애 조치 hello 메시지에 사용됩니다. |
| 256 | 상태 기반 장애 조치 업데이트, syslogging 및 기타 TCP 기능에 사용됩니다.이러한 블록은 주로 스테이트풀 장애 조치 메시지에 사용됩니다.활성 Adaptive Security Appliance는 변환 및 연결 테이블을 업데이트하기 위해 패킷을 생성하여 대기 Adaptive Security Appliance로 전송합니다.높은 연결 속도가 생성 또는 중단된 버스트 트래픽에서 사용 가능한 블록 수가 0으로 감소할 수 있습니다. 이 상황은 하나 이상의 연결이 대기 Adaptive Security Appliance로 업데이트되지 않았음을 나타냅니다.스테이트풀 장애 조치 프로토콜은 다음에 누락된 변환 또는 연결을 포착합니다.256바이트 블록에 대한 CNT 열이 연장된 기간 동안 0에 있거나 거의 0에 머물러 있는 경우 Adaptive Security Appliance는 Adaptive Security Appliance가 처리하는 초당 연결 수 때문에 변환 및 연결 테이블을 동기화하는 데 문제가 있습니다.Adaptive Security Appliance에서 전송된 Syslog 메시지도 256바이트 블록을 사용하지만 일반적으로 이러한 수량으로 릴리스되지 않아 256바이트 블록 풀이 감소됩니다.CNT 열에 256바이트 블록 수가 0에 가까운 것으로 표시되면 디버깅(수준 7)에서 syslog 서버에 로깅하지 않는지 확인합니다.이는 Adaptive Security Appliance 컨피그레이션의 로깅 트랩 라인으로 표시됩니다.디버깅을 위해 추가 정보가 필요한 경우가 아니면 알림(수준 5) 이하에서 로깅을 설정하는 것이 좋습니다. |
| 1550 | Adaptive Security Appliance를 통한 처리를 위해 이더넷 패킷을 저장하는 데 사용됩니다.패킷이 Adaptive Security Appliance 인터페이스에 들어가면 입력 인터페이스 대기열에 배치되고 운영 체제로 전달되어 블록에 배치됩니다.Adaptive Security Appliance는 보안 정책에 따라 패킷을 허용할지 거부할지 여부를 결정하고 아웃바운드 인터페이스의 출력 대기열에 패킷을 처리합니다.Adaptive Security Appliance에서 트래픽 로드를 처리하는 데 문제가 있는 경우 사용 가능한 블록 수는 0에 가깝게 가리킬 수 있습니다(명령 출력의 CNT 열에 표시됨). CNT 열이 0이면 Adaptive Security Appliance는 최대 8192개의 블록을 더 할당하려고 시도합니다.사용 가능한 블록이 더 이상 없으면 Adaptive Security Appliance는 패킷을 삭제합니다. |
| 16384 | 64비트 66MHz 기가비트 이더넷 카드(i82543)에만 사용됩니다. 이더넷 패킷에 대한 자세한 내용은 1550에 대한 설명을 참조하십시오. |
| 2048 | 제어 업데이트에 사용되는 제어 또는 안내 프레임 |
메모리 표시
show memory 명령은 현재 사용 가능한 바이트 수와 함께 ASA의 총 물리적 메모리(또는 RAM)를 표시합니다.이 정보를 사용하려면 먼저 ASA에서 메모리를 사용하는 방법을 이해해야 합니다.ASA가 부팅되면 Flash에서 OS를 RAM으로 복사하고 RAM에서 OS를 실행합니다(라우터와 동일). 그런 다음 ASA는 Flash에서 시작 컨피그레이션을 복사하여 RAM에 넣습니다.마지막으로 ASA는 show blocks 섹션에서 설명한 블록 풀을 생성하기 위해 RAM을 할당합니다.이 할당이 완료되면 컨피그레이션 크기가 증가하는 경우에만 ASA에 추가 RAM이 필요합니다.또한 ASA는 변환 및 연결 항목을 RAM에 저장합니다.
정상 작동 중에 ASA의 사용 가능한 메모리는 거의 변경되지 않을 경우,일반적으로 메모리가 부족하면 공격을 받고 수십만 개의 연결이 ASA를 통과하는 경우에만 메모리가 부족해집니다.연결을 확인하려면 show conn count 명령을 실행하여 ASA를 통한 현재 및 최대 연결 수를 표시합니다.ASA에 메모리가 부족하면 결국 충돌이 발생합니다.충돌 전에 syslog(%ASA-3-211001)에 메모리 할당 실패 메시지가 표시될 수 있습니다. 공격을 받고 메모리가 부족한 경우 Cisco TAC(Technical Assistance Center)에 문의하십시오.
예
Ciscoasa# show memory Free memory: 845044716 bytes (79%) Used memory: 228697108 bytes (21%) ------------- ---------------- Total memory: 1073741824 bytes (100%)
xlate 표시
show xlate count 명령은 ASA를 통한 현재 및 최대 변환 수를 표시합니다.변환은 내부 주소를 외부 주소에 매핑하는 것으로, NAT(Network Address Translation)와 같은 일대일 매핑 또는 PAT(Port Address Translation)와 같은 다대일 매핑이 될 수 있습니다. 이 명령은 show xlate 명령의 하위 집합으로, ASA를 통해 각 변환을 출력합니다.명령 출력에는 명령이 실행될 때 ASA에서 활성화된 번역의 수를 나타내는 "사용 중" 번역이 표시됩니다."most used"는 전원이 켜진 이후 ASA에서 확인된 최대 변환을 의미합니다.
예
Ciscoasa# show xlate count 84 in use, 218 most used
Ciscoasa(config)#show xlate
3 in use, 3 most used
Flags: D - DNS, d - dump, I - identity, i - inside, n - no random,
o - outside, r - portmap, s - static
TCP PAT from inside:10.1.1.15/1026 to outside:192.150.49.1/1024 flags ri
idle 62:33:57 timeout 0:00:30
UDP PAT from 10.1.1.15/1028 to outside:192.150.49.1/1024 flags ri
idle 62:33:57 timeout 0:00:30
ICMP PAT from inside:10.1.1.15/21505 to outside:192.150.49.1/0 flags ri
idle 62:33:57 timeout 0:00:30
첫 번째 항목은 외부 네트워크의 호스트 포트(10.1.1.15, 1026)에 대한 TCP Port Address Translation(TCP 포트 주소 변환)입니다."r" 플래그는 변환이 포트 주소 변환임을 나타냅니다."i" 플래그는 변환이 내부 주소 포트에 적용됨을 나타냅니다.
두 번째 항목은 내부 네트워크의 호스트 포트(10.1.1.15, 1028)에 대한 UDP Port Address Translation(UDP 포트 주소 변환)이며 외부 네트워크의 호스트 포트(192.150.49.1, 1024)에 대한 UDP Port Address Translation(UDP 포트 주소 변환)입니다."r" 플래그는 변환이 포트 주소 변환임을 나타냅니다."i" 플래그는 변환이 내부 주소 포트에 적용됨을 나타냅니다.
세 번째 항목은 내부 네트워크의 호스트-ICMP-id(10.1.1.15, 21505)에 대한 ICMP Port Address Translation을 외부 네트워크의 호스트-ICMP-id(192.150.49.1, 0)로 변환합니다."r" 플래그는 변환이 포트 주소 변환임을 나타냅니다."i" 플래그는 변환이 내부 주소-ICMP-id에 적용됨을 나타냅니다.
내부 주소 필드는 더 안전한 인터페이스에서 덜 안전한 인터페이스로 이동하는 패킷의 소스 주소로 나타납니다.반대로, 이 주소는 덜 안전한 인터페이스에서 더 안전한 인터페이스로 이동하는 패킷의 목적지 주소로 나타납니다.
conn 개수 표시
show conn count 명령은 ASA를 통한 현재 및 최대 연결 수를 표시합니다.연결은 내부 주소에서 외부 주소로 레이어 4 정보를 매핑하는 것입니다.ASA가 TCP 세션에 대한 SYN 패킷을 수신하거나 UDP 세션의 첫 번째 패킷이 도착하면 연결이 생성됩니다.ASA가 최종 ACK 패킷을 수신할 때 연결이 해제되며, 이는 TCP 세션 핸드셰이크가 닫히거나 시간 제한이 UDP 세션에서 만료될 때 발생합니다.
연결 수가 매우 많음(50~100배) 공격을 받고 있음을 나타낼 수 있습니다.높은 연결 수로 인해 ASA의 메모리가 부족하지 않도록 하려면 show memory 명령을 실행합니다.공격을 받는 경우 정적 항목당 최대 연결 수를 제한하고 원시 연결의 최대 수를 제한할 수 있습니다.이 작업은 내부 서버를 보호하므로 서버가 과중한 상태가 되지 않습니다.자세한 내용은 Cisco ASA 5500 Series Adaptive Security Appliances 명령 참조를 참조하십시오.
예
Ciscoasa#show conn count 2289 in use, 44729 most used
show interface
show interface 명령은 듀플렉스 불일치 문제와 케이블 문제를 확인하는 데 도움이 됩니다.또한 인터페이스가 오버런 상태인지 여부에 대한 추가 정보를 제공할 수 있습니다.ASA의 CPU 용량이 부족하면 1550바이트 블록 수가 0에 근접합니다(66MHz Gig 카드의 16384바이트 블록 참조). 또 다른 표시자는 인터페이스에서 "버퍼 없음"이 증가한다는 것입니다.no buffers 메시지는 패킷에 사용할 수 있는 블록이 없고 패킷이 삭제되기 때문에 인터페이스에서 ASA OS로 패킷을 전송할 수 없음을 나타냅니다.버퍼 수준 증가가 정기적으로 발생하는 경우 show proc cpu 명령을 실행하여 ASA에서 CPU 사용량을 확인합니다.트래픽 로드가 많아 CPU 사용량이 많은 경우 로드를 처리할 수 있는 더 강력한 ASA로 업그레이드하십시오.
패킷이 처음으로 인터페이스에 들어가면 입력 하드웨어 대기열에 배치됩니다.입력 하드웨어 대기열이 가득 차면 패킷이 입력 소프트웨어 대기열에 배치됩니다.패킷은 입력 대기열에서 전달되어 1550바이트 블록(또는 66MHz 기가비트 이더넷 인터페이스의 16384바이트 블록)에 배치됩니다. 그런 다음 ASA는 패킷의 출력 인터페이스를 결정하고 해당 패킷을 적절한 하드웨어 대기열에 넣습니다.하드웨어 대기열이 가득 차면 패킷이 출력 소프트웨어 대기열에 배치됩니다.소프트웨어 큐 중 하나의 최대 블록이 큰 경우 인터페이스가 오버런됩니다.예를 들어, ASA에 200Mbps가 유입되고 모두 단일 100Mbps 인터페이스를 나가는 경우 출력 소프트웨어 대기열은 아웃바운드 인터페이스의 높은 숫자를 나타내며, 이는 인터페이스가 트래픽 볼륨을 처리할 수 없음을 나타냅니다.이러한 상황이 발생하면 더 빠른 인터페이스로 업그레이드하십시오.
예
Ciscoasa#show interface
Interface GigabitEthernet0/1 "inside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
Input flow control is unsupported, output flow control is unsupported
MAC address 0013.c480.b2b8, MTU 1500
IP address 192.168.17.4, subnet mask 255.255.255.0
311981 packets input, 20497296 bytes, 0 no buffer
Received 311981 broadcasts, 157 runts, 0 giants
379 input errors, 107 CRC, 273 frame, 0 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
0 L2 decode drops
121 packets output, 7744 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 1 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops, 0 tx hangs
input queue (blocks free curr/low): hardware (255/249)
output queue (blocks free curr/low): hardware (255/254)
또한 인터페이스에 오류가 있는지 확인해야 합니다.런타임, 입력 오류, CRC 또는 프레임 오류가 발생하는 경우 이중 불일치가 발생할 수 있습니다.케이블에도 결함이 있을 수 있습니다.듀플렉스 문제에 대한 자세한 내용은 속도 및 듀플렉스 설정을 참조하십시오.각 오류 카운터는 특정 오류로 인해 삭제된 패킷 수를 나타냅니다.정기적으로 증가하는 특정 카운터가 있는 경우 ASA의 성능이 저하될 수 있으며 문제의 근본 원인을 찾아야 합니다.
인터페이스 카운터를 검토하는 동안 인터페이스가 전이중으로 설정된 경우 충돌, 지연 충돌 또는 지연된 패킷을 경험해서는 안 됩니다.반대로 인터페이스가 반이중으로 설정된 경우 충돌, 일부 지연 충돌 및 일부 지연된 패킷을 수신해야 합니다.총 충돌, 지연 충돌 및 지연된 패킷 수는 입력 및 출력 패킷 카운터 합계의 10%를 초과해서는 안 됩니다.충돌이 전체 트래픽의 10%를 초과할 경우 링크가 과도하게 사용되므로 전이중 또는 더 빠른 속도(10Mbps~100Mbps)로 업그레이드해야 합니다. 10%의 충돌은 ASA가 해당 인터페이스를 통과하는 패킷의 10%를 삭제함을 의미합니다.각 패킷을 재전송해야 합니다.
인터페이스 카운터에 대한 자세한 내용은 Cisco ASA 5500 Series Adaptive Security Appliances 명령 참조의 interface 명령을 참조하십시오.
프로세스 표시
ASA의 show processes 명령은 명령이 실행될 때 ASA에서 실행되는 모든 활성 프로세스를 표시합니다.이 정보는 어떤 프로세스가 CPU 시간을 너무 많이 받고 어떤 프로세스가 CPU 시간을 받지 못하는지 결정하는데 유용합니다.이 정보를 가져오려면 show processes 명령을 두 번 실행합니다.각 인스턴스 사이에 1분 정도 기다립니다.해당 프로세스의 경우 첫 번째 출력에 표시된 Runtime 값에서 두 번째 출력에 표시된 Runtime 값을 빼십시오.이 결과는 프로세스가 해당 시간 간격 동안 받은 CPU 시간(밀리초)을 보여줍니다.일부 프로세스는 특정 간격으로 실행되도록 예약되며, 일부 프로세스는 처리할 정보가 있을 때만 실행됩니다.577폴링 프로세스는 모든 프로세스의 런타임 값이 가장 높을 가능성이 높습니다.577폴링 프로세스는 처리해야 하는 데이터가 있는지 확인하기 위해 이더넷 인터페이스를 폴링하기 때문에 정상적입니다.
명령 요약
요약하면 show cpu usage 명령을 사용하여 ASA가 속한 로드를 식별합니다.출력은 실행 평균입니다.ASA는 실행 평균으로 마스킹된 CPU 사용량이 더 많을 수 있습니다.ASA가 80%의 CPU 사용량에 도달하면 ASA를 통한 레이턴시는 약 90%의 CPU로 느리게 증가합니다.CPU 사용량이 90%를 초과하면 ASA에서 패킷을 삭제하기 시작합니다.
CPU 사용량이 많은 경우 show processes 명령을 사용하여 CPU 시간을 가장 많이 사용하는 프로세스를 식별합니다.이 정보를 사용하여 집중적인 프로세스(예: 로깅)에 소모되는 시간을 줄일 수 있습니다.
CPU가 핫을 실행하지 않지만 패킷이 여전히 삭제되었다고 생각되면 show interface 명령을 사용하여 ASA 인터페이스에서 버퍼 없음 및 충돌(이중 불일치로 인해 발생할 수 있음)을 확인합니다.no buffer count는 증가하지만 CPU 사용량이 낮지 않은 경우 인터페이스를 통해 흐르는 트래픽을 지원할 수 없습니다.
버퍼가 괜찮으면 블록을 확인합니다.show blocks 출력의 현재 CNT 열이 1550바이트 블록(66MHz Gig 카드의 16384바이트 블록)에서 0에 근접하면 ASA는 사용량이 너무 많아 이더넷 패킷을 폐기할 가능성이 높습니다.이 경우, CPU가 높은 속도로 증가합니다.
ASA를 통해 새 연결을 만들 때 문제가 발생하면 show conn count 명령을 사용하여 ASA를 통한 현재 연결 수를 확인합니다.
현재 카운트가 높은 경우 show memory 출력을 확인하여 ASA의 메모리가 부족하지 않은지 확인합니다.메모리가 부족한 경우 show conn 또는 show local-host 명령을 사용하여 연결 소스를 조사하여 네트워크가 서비스 거부 공격을 받지 않았는지 확인합니다.
다른 명령을 사용하여 ASA를 통과하는 트래픽의 양을 측정할 수 있습니다.show traffic 명령은 인터페이스당 집계 패킷 및 바이트를 표시하고, show perfmon은 트래픽을 ASA가 검사하는 다른 유형으로 세분화합니다.
관련 정보
피드백