Document-id: 118735
Bijgewerkt: 10 feb. 2015
Bijgedragen door Sumit Bist, Cisco TAC Engineer.
Dit document beschrijft een specifiek probleem met intermitterende verkeersdruppels op de Firewallservicesmodule (FWSM) na een softwareupgrade naar release 4.1.1 of hoger.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de FWSM met softwarerelease 4.1(11) of hoger.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Volgens het gedrag FWSM, als u TCP als het protocol van het houttransport gebruikt om berichten naar een syslogserver te verzenden, ontkent het nieuwe verbindingen als veiligheidsmaatregel als FWSM niet de syslog server kan bereiken. U kunt de logging permit-hostdown opdracht om deze beperking te verwijderen.
Er is een periodieke verkeersdruppelkwestie op FWSM na een upgrade naar release 4.1.1 of later. FWSM begint alle nieuwe verbindingen te ontkennen.
De opmerkelijkste verkeersdaling is voor Internet Control Message Protocol (ICMP), aangezien elk ICMP-Echo-verzoek als een nieuwe verbinding wordt behandeld. De connectiviteit wordt hersteld wanneer de TCP verbinding met de syslogserver succesvol is.
Voor FWSM release 4.1.1 of hoger, als de TCP-gebaseerde syslogserver niet bereikbaar is zelfs met het z.g. ‘licentie-hostdown' beleid, ontkent FWSM alle nieuwe verbindingen. De optie "logging-hostdown" werkt niet langer na een FWSM-upgrade naar release 4.1.1 of hoger.
FWSM blijft elke minuut opnieuw verbinding maken met de TCP-server totdat de tijdserver is geopend. Dus, één enkele fout van de TCP handdruk resulteert in een minimum één minuutuitval voor alle nieuwe verbindingen, omdat FWSM probeert om de TCP syslog server opnieuw te contacteren, slechts na één minuut.
Om dit gedrag te identificeren, controleer de NP3 statistieken van het trage pad (NP3). De Deny Conns (Conn State) teller wordt verhoogd als de TCP-gebaseerde syslogserver niet bereikbaar is, zelfs met het "vergunning-hostdown" beleid.
pri/act# show clock
09:31:55.070 GMT Thu May 15 2014
pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------
Egress Discards : 34412
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 34013 <------Counter to monitor
pri/act# show clock
09:32:06.020 GMT Thu May 15 2014
pri/act# show np3 stats | ex : 0
<<NP 3 stats>>
Discard Statistics
------------------
Egress Discards : 46634
ACL Denied Packets : 157
Rev Route Lkup Fail : 202
Self Route Packets : 40
Deny Conns (Conn State): 46235 <------Counter seen increasing
Er is een defect ingediend om deze kwestie te traceren, maar deze zal niet worden vastgesteld aangezien de FWSM aan het eind van de release voor softwareonderhoud is gekomen.
Kennisgeving end-of-sale en end-of-life voor firewallservicesmodules
Om dit probleem op te lossen, wijzigt u de configuratie van de logserver in het UDP-transport.
logging host inside 192.x.x.x 17/5514
Een ondersteuningscase openen (Vereist een Cisco-servicecontract.)
De Cisco Support Community is een forum waar u vragen kunt stellen en beantwoorden, suggesties kunt delen en met uw collega's kunt samenwerken.
Raadpleeg Cisco Technical Tips Convention voor informatie over conventies die in dit document gebruikt worden.