Problemas de conectividade do módulo de serviços de firewall devendo comutar o policiamento ARP
Índice
Introdução
Este documento descreve um problema de conectividade específico encontrado quando você usa o módulo de serviços de firewall (FWSM) em um Cisco 6500 ou 7600 Series Switch.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nas seguintes versões de hardware e software:
- Cisco 6500 Series Switch
- Plataformas do Cisco 7600 Series Router
- FWSM
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Problema
Para esta edição específica, qualquens um sintomas puderam ser observados:
- A conectividade de rede ou com ao FWSM pôde falhar intermitentemente.
- A conectividade de rede através do interruptor (não com o FWSM) pôde falhar intermitentemente.
Esta situação específica está causada quando o vigilante do protocolo de Resoution do endereço configurado (ARP) no 6500/7600 Series de Cisco comuta pacotes ARP das gotas porque a quantidade de tráfego ARP agregada aumenta acima do ponto inicial configurado do vigilante ARP.
A configuração de switch que causa este problema é:
mls qos protocol ARP police 32000 1000 mls qos
Estes valores mínimos fazem com que o dispositivo policie o tráfego ARP com e ao dispositivo em aproximadamente 60 pacotes ARP por segundo (30 pedidos e respostas). Os valores numéricos do vigilante indicados previamente representam os valores absolutos do minium que são aceitados pelo parser. Frequentemente, estes valores não são apropriados para a quantidade de tráfego ARP legítimo que passa através do interruptor.
Esta saída mostra que o vigilante ARP deixa cair o tráfego ARP que passa através do interruptor (AgPoliced-por indica o número de bytes que é deixado cair para o protocolo):
6500#show mls qos protocol
Modes: P - police, M - marking, * - passthrough
Module: All - all EARL slots; Dir: I&O - In & Out; F - Fail
Proto Mode Mod Dir AgId Prec Cir Burst AgForward-By AgPoliced-By
--------------------------------------------------------------------------------
OSPF * All I&O - - - - - -
ARP P 7 In 7 - 32000 1000 28207242542 7633398736
ARP P 13 In 1 - 32000 1000 7990748006 4555958320
6500#
Neste caso, 27% (7633398736 bytes deixados cair contra 28207242542 bytes passados) do tráfego ARP é deixado cair pelo interruptor.
Solução
Se o interruptor deixa cair () o tráfego ARP não dado laços legítimo, os valores configurados do vigilante ARP no interruptor puderam ser demasiado baixos. Determine o valor correto para o vigilante baseado no perfil do tráfego de rede, e reconfigure o vigilante apropriadamente para aqueles valores.
Informações Relacionadas
- Referência de comandos da Solução Qualidade de Serviço do ® do Cisco IOS
- Manual de configuração do software da liberação 12.2SX do Catalyst 6500 - Policiamento do pacote de protocolo
- Manual de configuração do software da liberação 12.2SX do Catalyst 6500 - Inspeção ARP dinâmica
- Suporte Técnico e Documentação - Cisco Systems
FeedbackDeixe-nos ajudar
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)