FWSM nieuwe verbindingen vallen met tussenpozen af na een upgrade op release 4.1.1 of hoger

Downloadopties

  • PDF     (126.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (94.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (79.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 februari 2015
Document-id:118735

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

tac.png

Document-id: 118735

Bijgewerkt: 10 feb. 2015

Bijgedragen door Sumit Bist, Cisco TAC Engineer.

pdficon_small.png    PDF downloaden
print.png    Afdrukken

Inleiding

Dit document beschrijft een specifiek probleem met intermitterende verkeersdruppels op de Firewallservicesmodule (FWSM) na een softwareupgrade naar release 4.1.1 of hoger.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de FWSM met softwarerelease 4.1(11) of hoger.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

Volgens het gedrag FWSM, als u TCP als het protocol van het houttransport gebruikt om berichten naar een syslogserver te verzenden, ontkent het nieuwe verbindingen als veiligheidsmaatregel als FWSM niet de syslog server kan bereiken. U kunt de logging permit-hostdown opdracht om deze beperking te verwijderen.

Probleem

Er is een periodieke verkeersdruppelkwestie op FWSM na een upgrade naar release 4.1.1 of later. FWSM begint alle nieuwe verbindingen te ontkennen.

De opmerkelijkste verkeersdaling is voor Internet Control Message Protocol (ICMP), aangezien elk ICMP-Echo-verzoek als een nieuwe verbinding wordt behandeld. De connectiviteit wordt hersteld wanneer de TCP verbinding met de syslogserver succesvol is.

Voor FWSM release 4.1.1 of hoger, als de TCP-gebaseerde syslogserver niet bereikbaar is zelfs met het z.g. ‘licentie-hostdown' beleid, ontkent FWSM alle nieuwe verbindingen. De optie "logging-hostdown" werkt niet langer na een FWSM-upgrade naar release 4.1.1 of hoger.

FWSM blijft elke minuut opnieuw verbinding maken met de TCP-server totdat de tijdserver is geopend. Dus, één enkele fout van de TCP handdruk resulteert in een minimum één minuutuitval voor alle nieuwe verbindingen, omdat FWSM probeert om de TCP syslog server opnieuw te contacteren, slechts na één minuut.

Voorwaarden

  • FWSM gebruik release 4.1.1 of hoger.
  • FWSM dient in één modus te staan.
  • De TCP syslogserver moet onbereikbaar zijn vanuit FWSM.

Verifiëren

Om dit gedrag te identificeren, controleer de NP3 statistieken van het trage pad (NP3). De Deny Conns (Conn State) teller wordt verhoogd als de TCP-gebaseerde syslogserver niet bereikbaar is, zelfs met het "vergunning-hostdown" beleid.

pri/act# show clock
09:31:55.070 GMT Thu May 15 2014

pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
  Discard Statistics
  ------------------

  Egress Discards          : 34412
    ACL Denied Packets     : 157
    Rev Route Lkup Fail    : 202
    Self Route Packets     : 40
    Deny Conns (Conn State): 34013 <------Counter to monitor
    
pri/act# show clock
09:32:06.020 GMT Thu May 15 2014

pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
  Discard Statistics
  ------------------

  Egress Discards          : 46634
    ACL Denied Packets     : 157
    Rev Route Lkup Fail    : 202
    Self Route Packets     : 40
    Deny Conns (Conn State): 46235 <------Counter seen increasing

Oplossing

Er is een defect ingediend om deze kwestie te traceren, maar deze zal niet worden vastgesteld aangezien de FWSM aan het eind van de release voor softwareonderhoud is gekomen.

Kennisgeving end-of-sale en end-of-life voor firewallservicesmodules

Om dit probleem op te lossen, wijzigt u de configuratie van de logserver in het UDP-transport.

logging host inside 192.x.x.x 17/5514

Gerelateerde informatie

Bijgewerkt: 10 feb. 2015
Document-id: 118735
TAC Authored

Bijgedragen door Cisco-engineers

  • Sumit Bist
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco