FWSM nieuwe verbindingen vallen met tussenpozen af na een upgrade op release 4.1.1 of hoger
Document-id: 118735
Bijgewerkt: 10 feb. 2015
Bijgedragen door Sumit Bist, Cisco TAC Engineer.
Inhoud
Inleiding
Dit document beschrijft een specifiek probleem met intermitterende verkeersdruppels op de Firewallservicesmodule (FWSM) na een softwareupgrade naar release 4.1.1 of hoger.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de FWSM met softwarerelease 4.1(11) of hoger.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Achtergrondinformatie
Volgens het gedrag FWSM, als u TCP als het protocol van het houttransport gebruikt om berichten naar een syslogserver te verzenden, ontkent het nieuwe verbindingen als veiligheidsmaatregel als FWSM niet de syslog server kan bereiken. U kunt de logging permit-hostdown opdracht om deze beperking te verwijderen.
Probleem
Er is een periodieke verkeersdruppelkwestie op FWSM na een upgrade naar release 4.1.1 of later. FWSM begint alle nieuwe verbindingen te ontkennen.
De opmerkelijkste verkeersdaling is voor Internet Control Message Protocol (ICMP), aangezien elk ICMP-Echo-verzoek als een nieuwe verbinding wordt behandeld. De connectiviteit wordt hersteld wanneer de TCP verbinding met de syslogserver succesvol is.
Voor FWSM release 4.1.1 of hoger, als de TCP-gebaseerde syslogserver niet bereikbaar is zelfs met het z.g. ‘licentie-hostdown' beleid, ontkent FWSM alle nieuwe verbindingen. De optie "logging-hostdown" werkt niet langer na een FWSM-upgrade naar release 4.1.1 of hoger.
FWSM blijft elke minuut opnieuw verbinding maken met de TCP-server totdat de tijdserver is geopend. Dus, één enkele fout van de TCP handdruk resulteert in een minimum één minuutuitval voor alle nieuwe verbindingen, omdat FWSM probeert om de TCP syslog server opnieuw te contacteren, slechts na één minuut.
Voorwaarden
- FWSM gebruik release 4.1.1 of hoger.
- FWSM dient in één modus te staan.
- De TCP syslogserver moet onbereikbaar zijn vanuit FWSM.
Verifiëren
Om dit gedrag te identificeren, controleer de NP3 statistieken van het trage pad (NP3). De Deny Conns (Conn State) teller wordt verhoogd als de TCP-gebaseerde syslogserver niet bereikbaar is, zelfs met het "vergunning-hostdown" beleid.
pri/act# show clock
09:31:55.070 GMT Thu May 15 2014
pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------
Egress Discards : 34412
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 34013 <------Counter to monitor
pri/act# show clock
09:32:06.020 GMT Thu May 15 2014
pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------
Egress Discards : 46634
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 46235 <------Counter seen increasing
Oplossing
Er is een defect ingediend om deze kwestie te traceren, maar deze zal niet worden vastgesteld aangezien de FWSM aan het eind van de release voor softwareonderhoud is gekomen.
Kennisgeving end-of-sale en end-of-life voor firewallservicesmodules
Om dit probleem op te lossen, wijzigt u de configuratie van de logserver in het UDP-transport.
logging host inside 192.x.x.x 17/5514
Gerelateerde informatie
Een ondersteuningscase openen 
(Vereist een Cisco-servicecontract.)
Gerelateerde Cisco Support Community-discussies
De Cisco Support Community is een forum waar u vragen kunt stellen en beantwoorden, suggesties kunt delen en met uw collega's kunt samenwerken.
Raadpleeg Cisco Technical Tips Convention voor informatie over conventies die in dit document gebruikt worden.
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)