ASA 8.3 en later: Prestatieproblemen bij bewaking en probleemoplossing

(1)

ASA 8.3 en later: Prestatieproblemen bij bewaking en probleemoplossing

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten Conventies

Problemen oplossen

Snelheids- en duplexinstellingen CPU-toepassingen

Gebruik van hoog geheugen

PortFast, gekanaliseerde en trunking Netwerkadresomzetting (NAT)

Syslogs SNMP

DNS-links omgekeerd

overschrijdingen op de interface Opdrachten tonen

cpu - gebruik tonen

CPU-gebruik op ASDM bekijken Beschrijving van de output tonen verkeer

perfmon

Beschrijving van de output blokken tonen

Packet-Processing Block (1550 en 16384 bytes) Failover en Syslogblokkers (256 bytes)

Beschrijving van de output geheugensteuntje

tentoonstellen show conn count raakvlak tonen

demonstratieprocessen Overzicht van opdrachten Gerelateerde informatie

Inleiding

(2)

Dit document bevat informatie over ASA-opdrachten die u kunt gebruiken om de prestaties van een Cisco adaptieve security applicatie (ASA) te bewaken en probleemoplossing te bieden.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op een Cisco adaptieve security applicatie (ASA) die versie 8.3 en hoger uitvoert.

De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving.

Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde

(standaard)configuratie. Als u in een levend netwerk werkt, zorg er dan voor dat u de mogelijke impact van een opdracht begrijpt voordat u het gebruikt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Problemen oplossen

Controleer de basisgebieden in deze sectie om problemen met de prestaties van de oplossing te voorkomen.

(3)

Opmerking: Als u de output van de show-opdracht van uw Cisco-apparaat hebt, kunt u de Cisco CLI Analyzer gebruiken (alleen geregistreerde klanten) om mogelijke problemen en oplossingen weer te geven. De Cisco CLI Analyzer ondersteunt bepaalde opdrachten voor tonen. Als u de Cisco CLI Analyzer gebruikt, moet u een geregistreerde klant zijn, moet u aan uw Cisco-account zijn aangemeld en moet u JavaScript ingeschakeld hebben binnen uw browser.

Snelheids- en duplexinstellingen

Het security apparaat is vooraf ingesteld om de snelheid en duplexinstellingen in een interface te automatisch detecteren. Er bestaan echter verschillende situaties die ervoor kunnen zorgen dat het autonome onderhandelingsproces mislukt, wat leidt tot onjuistheden of dubbele

wanovereenkomsten (en prestatiekwesties). Voor missie-kritieke netwerkinfrastructuur, codeert Cisco handmatig de snelheid en de duplex op elke interface zodat er geen kans op een fout is.

Deze apparaten bewegen over het algemeen niet rond, dus als u ze goed configureren hoeft u ze niet te wijzigen.

Op elk netwerkapparaat kan de verbindingssnelheid worden gedetecteerd, maar de duplex moet worden onderhandeld. Als twee netwerkapparaten worden gevormd om snelheid en duplex autonoom te maken, ruilen zij kaders (genaamd Fast Link Pulses, of FLPs) die hun snelheid en duplexmogelijkheden adverteren. Om een verbinding partner te hebben die niet bewust is, zijn deze pulsen gelijkend op regelmatige 10 Mbps frames. Om een verbindingspartner te hebben die de pulsen kan decoderen, bevatten FLPs alle snelheid en duplex instellingen die de

verbindingspartner kan verstrekken. Het station dat de FLP's ontvangt erkent de frames en de apparaten komen wederzijds overeen de hoogste snelheid en duplexinstellingen die elk kunnen bereiken. Als één apparaat geen autonegotiatie ondersteunt, ontvangt het andere apparaat de FLP's en overgangen naar parallelle detectiemodus. Om de snelheid van de partner te voelen, luistert het apparaat naar de lengte van pulsen, en stelt dan de snelheid dienovereenkomstig in.

Het probleem doet zich voor bij de duplexinstelling. Omdat duplex moet worden onderhandeld, kan het apparaat dat op autonegotiate wordt ingesteld niet de instellingen op het andere apparaat bepalen, zodat het standaard halfduplex wordt, zoals vermeld in de standaard IEEE 802.3u.

Bijvoorbeeld, als u de ASA interface voor autonomie vormt en deze aan een schakelaar aansluit die voor 100 Mbps en full-duplex hard is, stuurt de ASA FLPs uit. De switch reageert echter niet omdat hij hard gecodeerd is voor snelheid en duplex en niet deelneemt aan autonome

onderhandelingen. Omdat het geen respons van de schakelaar ontvangt, overschakelt de ASA naar parallelle detectiemodus en slaat de lengte van de pulsen in de frames op die de schakelaar uitstuurt. Dat wil zeggen, de ASA zegt dat de schakelaar op 100 Mbps wordt ingesteld, dus stelt het de interfacesnelheid dienovereenkomstig in. Omdat de switch echter geen FLP's uitwisselen, kan de ASA niet detecteren of de switch full-duplex kan starten, zodat de ASA de interface duplex in half-duplex instelt, zoals aangegeven in de IEEE 803.2u-standaard. Omdat de schakelaar wordt

(4)

ingesteld op 100 Mbps en full-duplex, en de ASA heeft net autonegotigeerd aan 100 Mbps en half- duplex (zoals het zou moeten), is het resultaat een duplex mismatch die ernstige

prestatiesproblemen kan veroorzaken.

Een snelheid of duplex mismatch wordt het vaakst onthuld wanneer fouttellers op de interfaces in kwestie toenemen. De meest voorkomende fouten zijn frame, cyclische redundantie controles (CRC’s) en runts. Als deze waardentoename op uw interface is, of een snelheid/duplex mismatch of een bekabeling probleem. U moet deze kwestie oplossen voordat u verdergaat.

Voorbeeld

Interface GigabitEthernet0/0 "outside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec

Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)

Input flow control is unsupported, output flow control is unsupported MAC address 0013.c480.b2b8, MTU 1500

IP address 192.168.17.4, subnet mask 255.255.255.0 311981 packets input, 20497296 bytes, 0 no buffer Received 311981 broadcasts, 157 runts, 0 giants

379 input errors, 107 CRC, 273 frame, 0 overrun, 0 ignored, 0 abort 0 pause input, 0 resume input

0 L2 decode drops

121 packets output, 7744 bytes, 0 underruns 0 pause output, 0 resume output

0 output errors, 0 collisions, 1 interface resets 0 late collisions, 0 deferred

0 input reset drops, 0 output reset drops, 0 tx hangs input queue (blocks free curr/low): hardware (255/249) output queue (blocks free curr/low): hardware (255/254)

CPU-toepassingen

Als u hebt opgemerkt dat de CPU-toepassing hoog is, dient u deze stappen te voltooien om een oplossing te vinden:

Controleer dat de connectie telling in show xlate teller laag is.

1.

Controleer of het geheugenblok normaal is.

2.

Controleer dat het aantal ACL’s hoger is.

3.

Geef de opdracht showgeheugendetails uit en controleer of het door de ASA gebruikte 4.

(5)

geheugen een normaal gebruik is.

Controleer dat de tellingen in de tonen processen cpu-hog en het geheugen van de processen normaal zijn.

5.

Elke host die zich binnen of buiten het security apparaat bevindt, kan het kwaadwillige of massaverkeer genereren dat een uitzending/multicast verkeer kan zijn en het hoge CPU- gebruik kan veroorzaken. Om deze kwestie op te lossen, moet u een toegangslijst

configureren om het verkeer tussen de hosts te ontkennen (end-to-end) en het gebruik te controleren.

6.

Controleer de duplex- en snelheidsinstellingen in ASA interfaces. Onjuiste instelling met de externe interfaces kan het CPU-gebruik verhogen.

Dit voorbeeld toont het hogere aantal invoerfouten en overschrijdingen vanwege snelheidsfouten. Gebruik de opdracht Show interface om de fouten te verifiëren:

Ciscoasa#sh int GigabitEthernet0/1

Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec

IP address 192.168.17.4, subnet mask 255.255.255.0 311981 packets input, 20497296 bytes, 0 no buffer Received 311981 broadcasts, 157 runts, 0 giants

7186 input errors, 0 CRC, 0 frame, 7186 overrun, 0 ignored, 0 abort 0 pause input, 0 resume input

0 L2 decode drops

Om dit probleem op te lossen, stelt u de snelheid als auto in op de corresponderende interface.

Opmerking: Cisco raadt u aan om de IP verify-interface-opdracht van alle interfaces in te schakelen omdat er pakketten worden geplaatst die geen geldig bronadres hebben, wat leidt tot minder CPU-gebruik. Dit is van toepassing op FWSM die wordt geconfronteerd met problemen met een hoge CPU.

7.

Een andere reden voor gebruik van hoge CPU’s kan worden veroorzaakt door te veel multicast-routes. Geef de opdracht show mroute uit om te controleren of ASA te veel multicast routes ontvangt.

8.

Gebruik de opdracht Local-host weergeven om te zien of het netwerk een denial-of-service aanval ervaart, die kan wijzen op een virusaanval in het netwerk.

9.

Een hoge CPU kan voorkomen door Cisco bug-ID CSCsq48636. Raadpleeg Cisco bug-ID 10.

(6)

CSCsq48636 (alleen geregistreerde klanten) voor meer informatie.

Opmerking: Als de bovenstaande oplossing het probleem niet oplost, moet u het ASA- platform volgens de vereisten upgraden. Raadpleeg Cisco ASA 5500 Series dataplaat voor adaptieve security applicaties voor meer informatie over de mogelijkheden en capaciteiten van adaptieve security applicatieplatform. Neem voor meer informatie contact op met TAC (alleen geregistreerde klanten).

Gebruik van hoog geheugen

Hier zijn een aantal mogelijke oorzaken en resoluties voor gebruik in het geheugen:

Event logging: Event logging kan grote hoeveelheden geheugen verbruiken. Om dit probleem op te lossen, installeert en registreert alle gebeurtenissen aan een externe server, zoals een syslogserver.

●

Geheugenlekkage: Een bekend probleem in de software van het veiligheidsapparaat kan leiden tot een hoog geheugenverbruik. upgrade van de software voor het beveiligingsapparaat om dit probleem op te lossen.

●

Debugging ingeschakeld: Debugging kan veel geheugen verbruiken. Om dit probleem op te lossen, schakelt u het debuggen uit met de undebug all opdracht.

●

Havens blokkeren: Blokpoorten op de buiteninterface van een beveiligingsapparaat veroorzaken dat het beveiligingsapparaat grote hoeveelheden geheugen gebruikt om de pakketten door de gespecificeerde poorten te blokkeren.Sluit het bedreigende verkeer aan bij het ISP-einde om dit probleem op te lossen.

●

Detectie van bedreigingen: De detectie van bedreigingen bestaat uit verschillende niveaus van statistieken die voor verschillende bedreigingen verzamelen, zowel als het scannen van bedreigingsdetectie, die bepaalt wanneer een host een scan uitvoert. Schakel deze functie uit om minder geheugen te consumeren.

●

PortFast, gekanaliseerde en trunking

Standaard worden veel switches, zoals Cisco-switches die het Catalyst-besturingssysteem

uitvoeren, ontworpen om plug-and-play apparaten te zijn. Als dergelijk, zijn veel van de standaard poortparameters niet wenselijk wanneer een ASA in de schakelaar is aangesloten. Bijvoorbeeld,

(7)

op een switch die het Catalyst OS in werking stelt, wordt de standaard kanteling ingesteld op Auto, trunking ingesteld op Auto en PortFast is uitgeschakeld. Als u een ASA aansluit op een schakelaar die het Catalyst OS in werking stelt, schakelt u het kantelen uit, schakelt u trunking uit en schakelt u PortFast in.

Het kanaliseren, ook bekend als Fast EtherChannel of Giga EtherChannel, wordt gebruikt om twee of meer fysieke poorten in een logische groep te binden om de algemene doorvoersnelheid voor de link te verhogen. Wanneer een poort is ingesteld voor automatische kanalisatie, wordt Port Aggregation Protocol (PAgP)-frames verzonden als de link actief wordt om te bepalen of deze deel uitmaakt van een kanaal. Deze frames kunnen problemen veroorzaken als het andere

apparaat probeert om de snelheid en duplex van de link automatisch te herkennen. Als het scannen op de poort is ingesteld op Auto, dan levert dit ook een extra vertraging van ongeveer 3 seconden op voordat de poort begint met het doorsturen van verkeer nadat de link is geopend.

Opmerking: Op Catalyst XL Series-switches is het scannen standaard niet ingesteld op Auto.

Om deze reden, zou u het kanaliseren op om het even welke switchpoort die op een ASA verbindt moeten verhinderen.

Trunking, die ook bekend is onder de gezamenlijke trunking protocols Inter-Switch Link (ISL) of Dot1q, combineert meerdere virtuele LAN’s (VLAN’s) op één poort (of link). Trunking wordt normaal gebruikt tussen twee switches wanneer beide switches meer dan één VLAN hebben dat op ze is gedefinieerd. Wanneer een poort is ingesteld voor automatische trunking, stuurt het Dynamic Trunking Protocol (DTP) frames door als de link omhoog komt om te bepalen of de poort die het verbindt met wil in de romp. Deze DTP-frames kunnen problemen opleveren met het autonegotiëren van de link. Als trunking op Auto op een switchpoort is ingesteld, voegt deze een extra vertraging van ongeveer 15 seconden toe voordat de poort begint met doorsturen van verkeer nadat de link is geopend.

PortFast, ook bekend als Fast Start, is een optie die de switch informeert dat een Layer 3- apparaat uit een switchpoort is aangesloten. De poort wacht niet de standaard 30 seconden (15 seconden om te luisteren en 15 seconden om te leren); in plaats daarvan veroorzaakt deze actie de schakelaar om de haven onmiddellijk nadat de verbinding naar voren kwam in expediteits te plaatsen . Het is belangrijk om te begrijpen dat wanneer u PortFast toelaat, het omspannen van boom niet gehandicapt is. Spanning Tree is nog actief op die poort. Wanneer u PortFast toestaat, wordt de schakelaar slechts geïnformeerd dat er geen andere schakelaar of hub (Layer 2-only apparaat) is aangesloten aan het andere eind van de verbinding. De switch passeert de normale 30 seconden vertraging terwijl het probeert te bepalen of een Layer 2 loop resulteert als het die poort oplevert. Nadat de link is opgevoed, neemt hij nog steeds deel aan het omspannen van boom. De poort verstuurt bridge Packet Data Unit (BPDU’s) en de switch luistert nog steeds naar BPDU’s op die poort. Om deze redenen wordt aangeraden om PortFast in te schakelen op elke switchpoort die op een ASA aangesloten is.

(8)

Opmerking: Catalyst OS release 5.4 en bevat later de ingestelde poorthost <mod>/<port>

opdracht die u één opdracht geeft om kanteling uit te schakelen, trunking uit te schakelen en PortFast mogelijk te maken.

Netwerkadresomzetting (NAT)

Aan elke NAT- of NAT-sessie (PAT) wordt een vertaalsleuf toegewezen die bekend staat als een xlate. Deze uittreksels kunnen zelfs aanhouden nadat u wijzigingen aanbrengt in de NAT-regels die van invloed zijn op de regels. Dit kan leiden tot een uitputting van vertaalslots of onverwacht gedrag, of beide door het verkeer dat vertaalwerk ondergaat. In dit gedeelte wordt uitgelegd hoe u uitgebreide informatie over het beveiligingsapparaat kunt bekijken en verwijderen.

Voorzichtig: Een tijdelijke onderbreking van de stroom van al het verkeer door het apparaat kan voorkomen wanneer u over de hele linie helder informatie op het veiligheidsapparaat ziet.

ASA-configuratie van Steekproef voor PAT die het IP-adres van de buiteninterface gebruikt:

object network OBJ_GENERIC_ALL subnet 0.0.0.0 0.0.0.0

nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface

Verkeer dat dit door het security apparaat stroomt, wordt waarschijnlijk veroorzaakt door NAT. Om de vertalingen te bekijken die in gebruik zijn op het beveiligingsapparaat, gebruikt u de opdracht Show xlate:

Ciscoasa#show xlate

5 in use, 5 most used

Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice NAT from any:192.168.1.10 to any:172.16.1.1/24

flags s idle 277:05:26 timeout 0:00:00

(9)

Vertaalslots kunnen blijven bestaan nadat belangrijke wijzigingen zijn aangebracht. Geef de duidelijke opdracht op om de huidige vertaalslots op het beveiligingsapparaat vrij te maken:

Ciscoasa#clear xlate

Ciscoasa#show xlate 0 in use, 1 most used

De duidelijke xlate opdracht maakt alle huidige dynamische vertaling uit de uitklaptabel vrij. Om een bepaalde IP-vertaling te wissen kunt u het duidelijke uitrolopdracht met het globale [ip-adres]

sleutelwoord gebruiken.

Hier is een voorbeeld van ASA-configuratie voor NAT:

object network inside-net subnet 0.0.0.0 0.0.0.0

object network outside-pat-pool range 10.10.10.10 10.10.10.100

nat (inside,outside) source dynamic inside-net outside-pat-pool

Bekijk de show xlate output voor de vertaling voor in 10.2.2.2 naar buiten wereldwijd 10.10.10.10:

Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice

TCP PAT from inside:10.2.2.2/1429 to any:10.10.10.10/64768 flags ri idle 62:33:57 timeout 0:00:30

Schakel de vertaling voor het wereldwijde IP-adres 10.10.10 uit:

(10)

Ciscoasa# clear xlate global 10.10.10.10

In dit voorbeeld is de vertaling voor in 10.2.2.2. naar buiten de wereld op 10.10.10.10 weg:

Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice

Syslogs

Met behulp van Syslogs kunt u problemen oplossen bij de ASA. Cisco biedt een gratis syslogserver voor Windows NT aan die ASA Firewall Server (PFSS) heet. U kunt PFSS downloaden van de pagina Software Downloads (alleen geregistreerde klanten).

Verschillende andere verkopers, zoals Kiwi Enterprises , bieden syslg servers aan voor

verschillende Windows-platforms, zoals Windows 2000 en Windows XP. De meeste UNIX- en Linux-machines hebben standaard syslogservers geïnstalleerd.

Wanneer u de syslogserver instelt, moet u de ASA configureren om logbestanden naar deze server te sturen.

Bijvoorbeeld:

logging on

logging host <ip_address_of_syslog_server> logging trap debugging

Opmerking: Dit voorbeeld vormt de ASA om Debugging (niveau 7) en meer kritieke syslogs naar de syslogserver te verzenden. Omdat deze ASA logbestanden de meest breedste zijn, gebruik ze alleen wanneer u een probleem oplossen. Stel voor normaal gebruik het

logniveau in op Waarschuwing (niveau 4) of fout (niveau 3).

(11)

Als u een probleem hebt met trage prestaties, opent u de slang in een tekstbestand en zoekt u het IP-adres van de bron dat bij het prestatieprobleem hoort. (Als u UNIX gebruikt, kunt u het syslog doorhalen voor het IP-bronadres.) Controleer op berichten die aangeven dat de externe server het interne IP-adres op TCP poort 113 (for Identification Protocol, of Ident) probeerde te bereiken, maar de ASA ontkende het pakket. Het bericht moet vergelijkbaar zijn met dit voorbeeld:

%ASA-2-106001: Inbound TCP connection denied from 10.64.10.2/35969 to 172.17.110.179/113 flags SYN

Als u dit bericht ontvangt, geeft u de service resetinbound opdracht aan de ASA uit. De ASA laat geen pakjes in stilte vallen; in plaats daarvan zorgt deze opdracht ervoor dat de ASA elke

inkomende verbinding die door het veiligheidsbeleid wordt ontkend onmiddellijk opnieuw stelt. De server wacht niet tot het indexpakket klaar is met de TCP-verbinding. in plaats daarvan ontvangt het meteen een reset - pakket .

SNMP

Het monitoren van de prestaties van Cisco ASA met SNMP is de aanbevolen methode voor de ondernemingimplementaties. Cisco ASA ondersteunt netwerkbewaking met SNMP versies 1, 2c en 3.

U kunt het security apparaat configureren om vallen naar een netwerkbeheerserver (NMS) te verzenden, of u kunt het apparaat met NMS gebruiken om door de MIB's op het security apparaat te bladeren. MIB's zijn een verzameling definities, en het beveiligingsapparaat onderhoudt een gegevensbank met waarden voor elke definitie. Zie SNMP configureren op Cisco ASA voor meer informatie over dit onderwerp.

Alle ondersteunde MIBs voor Cisco ASA kunnen gevonden worden op ASA MIB Support List. Van deze lijst zijn deze MIB's nuttig voor prestatiecontrole:

CISCO-FIREWALL-MIB — Bevat objecten die nuttig zijn voor failover

●

CISCO-PROCESS-MIB — Bevat objecten die nuttig zijn voor CPU-gebruik

●

CISCO-MEMORY-POOL-MIB bevat objecten die nuttig zijn voor geheugenobjecten.

●

(12)

DNS-links omgekeerd

Als u trage prestaties met de ASA ervaart, controleer of u de records van het Domain Name System Pointer (DNS PTR), ook bekend als omgekeerde DNS Lookup records, in de

gezaghebbende DNS-server hebt voor de externe adressen die de ASA gebruikt. Dit omvat elk adres in uw global Network adresomzetting (NAT) pool (of de ASA externe interface als u op de interface overload bent), een statisch adres en een intern adres (als u NAT niet met hen gebruikt).

Sommige toepassingen, zoals File Transfer Protocol (FTP) en Telnet-servers, kunnen

omgekeerde DNS-raadpleging gebruiken om te bepalen waar de gebruiker vandaan komt en of deze een geldige host is. Als de omgekeerde DNS raadpleging niet oplost, dan wordt de prestatie gedegradeerd als de aanvraag tijden uit.

Om ervoor te zorgen dat er een PTR-record voor deze hosts bestaat, geeft u de opdracht nslookup van uw PC- of UNIX-machine af; Neem het globale IP adres op dat u gebruikt om met internet te verbinden.

Voorbeeld

% nslookup 198.133.219.25

25.219.133.198.in-addr.arpa name = www.cisco.com.

U dient een antwoord terug te ontvangen met de DNS naam van het apparaat dat aan dat IP- adres is toegewezen. Als u geen antwoord ontvangt, neem dan contact op met de persoon die uw DNS controleert om de toevoeging van PTR records voor elk van uw wereldwijde IP-adressen te vragen.

overschrijdingen op de interface

Als u een verkeerscrisis hebt, kunnen gedemonteerde pakketten voorkomen als de barst de buffercapaciteit van de FIFO-buffer op de NIC overschrijdt en de ontvangen ringbuffers

overschrijdt. Het inschakelen van pauzeknop voor stroomcontrole kan dit probleem verlichten.

Pauze- (XOFF) en XON-frames worden automatisch gegenereerd door de NNIC hardware- gebaseerde benadering op basis van het FIFO-buffergebruik. Een pauzekader wordt verzonden wanneer de buffergebruik het hoogwatermerk overschrijdt. Gebruik deze opdracht om Pauze- frames (XOFF) voor stroomregeling in te schakelen:

(13)

hostname(config)#interface tengigabitethernet 1/0

hostname(config-if)#

flowcontrol send on

Raadpleeg De fysieke interface inschakelen en Ethernet-parameters configureren voor meer informatie.

Opdrachten tonen

cpu - gebruik tonen

De opdracht cpu gebruiken wordt gebruikt om de verkeersbelasting te bepalen die op de ASA CPU’s wordt geplaatst. Tijdens piekverkeerstijden, netwerkpieken of aanvallen kan het CPU- gebruik pieken.

De ASA heeft één CPU voor het verwerken van verschillende taken; het verwerkt bijvoorbeeld pakketten en afdrukken debug-berichten naar de console. Elk proces heeft zijn eigen doel, en sommige processen vereisen meer CPU-tijd dan andere processen. Versleuteling is waarschijnlijk het meest CPU-intensieve proces, dus als uw ASA veel verkeer doorgeeft door versleutelde tunnels, zou u een snellere ASA, een speciale VPN-Concentrator, zoals VPN 3000, moeten overwegen. De VAC ontkoppelt de encryptie en decryptie van de ASA CPU en voert deze in hardware op de kaart uit. Hiermee kan de ASA 100 Mbps verkeer versleutelen en decrypteren met 3DES (168-bits codering).

Logging is een ander proces dat grote hoeveelheden systeembronnen kan gebruiken. Daarom wordt aanbevolen om console, monitor en buffer logging op de ASA uit te schakelen. U kunt deze processen inschakelen wanneer u een probleem hebt opgelost, maar u kunt ze toch uitschakelen voor de dagelijkse werking, met name als de CPU-capaciteit niet meer werkt. Het wordt ook gesuggereerd dat syslogging of Simple Network Management Protocol (SNMP) vastlegging (loggeschiedenis) moet worden ingesteld op niveau 5 (melding) of lager. Daarnaast kunt u specifieke syslog bericht-ID’s uitschakelen met de opdracht Geen logbericht <syslog_id>.

Cisco Adaptieve Security Devices Manager (ASDM) biedt ook een grafiek op het tabblad

Monitoring waardoor u het CPU-gebruik van de ASA in de loop der tijd kunt bekijken. U kunt deze grafiek gebruiken om de lading op uw ASA te bepalen.

(14)

De opdracht cpu-gebruik tonen kan worden gebruikt om CPU-toepassingsstatistieken weer te geven.

Voorbeeld

Ciscoasa#show cpu usage

CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%

CPU-gebruik op ASDM bekijken

Voltooi deze stappen om het CPU-gebruik op de ASDM-toepassing te bekijken:

Ga naar bewaking > Eigenschappen > Afbeeldingen van systeembronnen > CPU’s in ASDM en kies de titel in het Grafiek-venster. Kies vervolgens de gewenste grafieken uit de lijst met beschikbare Grafieken en klik op Toevoegen zoals weergegeven.

1.

(15)

Nadat de gewenste naam van de grafiek onder het gedeelte Geselecteerde Grafieken is toegevoegd, klikt u op Grafieken tonen.

2.

(16)

De volgende afbeelding toont de grafiek in CPU-gebruik in de ASDM. Er zijn verschillende weergave van deze grafiek beschikbaar en deze kan worden gewijzigd door de weergave in de vervolgkeuzelijst Weergave te selecteren. Deze uitvoer kan naar wens worden afgedrukt of op de computer opgeslagen.

(17)

Beschrijving van de output

In deze tabel worden de velden in de cpu-output beschreven.

Veld Beschrijving

CPU-gebruik voor 5

seconden CPU-gebruik gedurende de laatste vijf seconden

(18)

minuut

5 minuten Gemiddelde van 5 tweede monsters van CPU-gebruik gedurende de afgelopen vijf minuten

tonen verkeer

De show traffic opdracht toont hoeveel verkeer door de ASA gaat over een bepaalde periode. De resultaten zijn gebaseerd op de tijdsinterval sinds de opdracht voor het laatst werd afgegeven.

Voor nauwkeurige resultaten moet u de opdracht helder verkeer eerst afgeven en vervolgens 1-10 minuten wachten voordat u de opdracht tonen. U kunt de opdracht Spraakverkeer ook uitvoeren en 1-10 minuten wachten voordat u de opdracht opnieuw geeft, maar alleen de uitvoer van de tweede instantie is geldig.

U kunt de show traffic opdracht gebruiken om te bepalen hoeveel verkeer door uw ASA gaat. Als u meerdere interfaces hebt, kan de opdracht u helpen bepalen welke interfaces de meeste

gegevens verzenden en ontvangen. Voor ASA apparaten met twee interfaces moet de som van het inkomende en uitgaande verkeer op de buiteninterface gelijk zijn aan de som van het

inkomende en uitgaande verkeer op de binneninterface.

Voorbeeld

Ciscoasa#show traffic outside:

received (in 124.650 secs):

295468 packets 167218253 bytes 2370 pkts/sec 1341502 bytes/sec transmitted (in 124.650 secs):

260901 packets 120467981 bytes 2093 pkts/sec 966449 bytes/sec inside:

received (in 124.650 secs):

261478 packets 120145678 bytes 2097 pkts/sec 963864 bytes/sec transmitted (in 124.650 secs):

294649 packets 167380042 bytes 2363 pkts/sec 1342800 bytes/sec

Als u dichtbij de nominale doorvoersnelheid op een van uw interfaces komt of deze bereikt, moet u een upgrade naar een snellere interface uitvoeren of de hoeveelheid verkeer beperken die in of uit die interface gaat. Wanneer u dit niet doet, kan dit leiden tot verbroken pakketten. Zoals uitgelegd in het gedeelte Show interface - interface kunt u de interfacetellers bestuderen om meer te weten te komen over de doorvoersnelheid.

(19)

perfmon

De opdracht Show perfmon wordt gebruikt om de hoeveelheid en de types van verkeer te

controleren die de ASA inspecteert. Deze opdracht is de enige manier om het aantal vertalingen (links) en verbindingen (conn) per seconde te bepalen. De verbindingen worden verder

uitgebroken in TCP- en User Datagram Protocol-verbindingen (UDP). Zie Beschrijving van uitvoer voor beschrijvingen van de uitvoer die onder deze opdracht wordt gegenereerd.

Voorbeeld

PERFMON STATS Current Average Xlates 18/s 19/s Connections 75/s 79/s TCP Conns 44/s 49/s UDP Conns 31/s 30/s URL Access 27/s 30/s URL Server Req 0/s 0/s TCP Fixup 1323/s 1413/s TCPIntercept 0/s 0/s HTTP Fixup 923/s 935/s FTP Fixup 4/s 2/s AAA Authen 0/s 0/s AAA Author 0/s 0/s AAA Account 0/s 0/s

In deze tabel worden de velden in de output van de show weergegeven.

Veld Beschrijving

Xlates Vertalingen per seconde

Aansluitingen Aansluitingen per seconde vastgesteld TCP-verbindingen TCP-verbindingen per seconde

UDP-verbindingen UDP-verbindingen per seconde

URL-toegang URL’s (websites) per seconde toegankelijk

URL-serverreq Verzoeken verzonden naar WebecSony en N2H2 per seconde (hiervoor is een filteropdracht nodig)

TCP-filtering Aantal TCP-pakketten die de ASA per seconde doorstuurt TCPIntercept Aantal SYN-pakketten per seconde die de op een statisch

Aantal pakketten die bedoeld zijn om 80 per seconde te starten (hiervoor is een protocol

(20)

van fixup-opdracht vereist)

FTP-filtering FTP-opdrachten per seconde geïnspecteerd AAA Authen Verificatieverzoeken per seconde

AAA-auteur Vergunningsaanvragen per seconde AAA-account Boekingsverzoeken per seconde

blokken tonen

Samen met de opdracht tonen cpu gebruik, kunt u de show blokblokken gebruiken om te bepalen of de ASA overbelast is.

Packet-Processing Block (1550 en 16384 bytes)

Wanneer deze in de ASA interface komt, wordt een pakje op de input interface wachtrij geplaatst, doorgegeven aan het besturingssysteem en in een blok geplaatst. Voor Ethernet-pakketten worden de 1550-byte-blokken gebruikt; Als het pakket op een 66 MHz Gigabit Ethernet-kaart wordt ingevoerd, worden de 16384-byte-blokken gebruikt. ASA bepaalt of het pakket toegestaan of ontkend is op basis van het Adaptieve Security Algorithm (ASA) en verwerkt het pakket tot de uitvoerwachtrij op de uitgaande interface. Als de ASA de verkeersbelasting niet kan ondersteunen, ligt het aantal beschikbare 1550-byte-blokken (of 16384-byte-blokken voor 66 MHz GE) rond de 0 (zoals weergegeven in de CNT-kolom van de opdrachtoutput). Wanneer de CNT-kolom op nul slaat, probeert de ASA meer blokken toe te wijzen, tot een maximum van 8192. Als er geen blokken meer beschikbaar zijn, laat de ASA het pakje vallen.

Failover en Syslogblokkers (256 bytes)

De 256-byte blokken worden voornamelijk gebruikt voor stateful failover-berichten. De actieve ASA genereert en stuurt pakketten naar de stand-by ASA om de vertaal- en verbindingstabel bij te werken. Tijdens periodes van opgebrand verkeer waar hoge tarieven van verbindingen worden gecreëerd of afgebroken, kan het aantal beschikbare 256 byte blokken tot 0 dalen. Deze daling wijst erop dat één of meer verbindingen niet aan de reserve ASA worden bijgewerkt. Dit is over het algemeen aanvaardbaar omdat de volgende keer rond het stateful failover protocol de

verbinding of de verbinding vangt die verloren is. Als de CNT-kolom voor 256-byte-blokken echter gedurende langere perioden op of bij 0 blijft, kan de ASA de vertalingen verbindingstabellen niet bijhouden die gesynchroniseerd worden vanwege het aantal verbindingen per seconde dat de ASA verwerkt. Als dit consistent gebeurt, upgrade de ASA naar een sneller model.

(21)

Syslogberichten die uit de ASA worden verstuurd, gebruiken ook de blokken van 256 bytes. Maar ze worden over het algemeen niet vrijgegeven in een hoeveelheid die een depletie van de

blokpool van 256 bytes veroorzaakt. Als de CNT-kolom aantoont dat het aantal 256-byte-blokken nabij 0 is, zorg er dan voor dat u niet logt bij Debugging (niveau 7) op de syslogserver. Dit wordt aangegeven door de logklem in de ASA configuratie. Het wordt aanbevolen om houtkap in te stellen op Meldingen (niveau 5) of lager, tenzij u aanvullende informatie nodig hebt voor het debuggen.

Voorbeeld

Ciscoasa#show blocks

SIZE MAX LOW CNT 4 1600 1597 1600 80 400 399 400 256 500 495 499 1550 1444 1170 1188 16384 2048 1532 1538

In deze tabel worden de kolommen in de uitvoer van blokken beschreven.

kolom Beschrijving

GROOTTE E Size, in bytes, van het blok. Elke grootte vertegenwoordigt een bepaald type MAX

Maximum aantal blokken beschikbaar voor het opgegeven byte-blokpool. Het maximale aantal blokken wordt bij het opstarten uit het geheugen gehaald. Meestal verandert het maximum aantal blokken niet. Deze uitzondering geldt voor de blokjes van 256 en 1550 bytes, waarin het adaptieve security apparaat waar nodig dynamisch meer kan maken, tot een maximum van 8192.

LAAG

Laag watermerk. Dit getal geeft het laagste aantal van deze blokken aan die beschikbaar zijn sinds het adaptieve security apparaat is ingeschakeld of sinds de laatste blokkering van de blokken (met de opdracht blokkeren). Een nul in de kolom LAAG geeft een vorige gebeurtenis aan waar het geheugen vol was.

CNT Huidige aantal blokken beschikbaar voor die specifieke grootte blokgroep. Een nulpunt in de CNT- kolom betekent dat het geheugen nu vol is.

In deze tabel worden de waarden voor de GROOTTE-rij in de uitvoer van blokken beschreven.

SIZE-waarde Beschrijving

0 Gebruikt door dupb-blokken.

Dupliceert bestaande blokken in toepassingen zoals DNS, ISAKMP, URL-filtering, auth, TFTP-

(22)

en TCP-modules. Dit blok kan ook normaal door middel van een code worden gebruikt om pakketten naar stuurprogramma's te verzenden.

80 Gebruikt in TCP onderschepping om ontvangstpakketten te genereren en voor failover hallo berichten.

256

Gebruikt voor Stateful failover updates, syslogging en andere TCP functies. Deze blokken worden voornamelijk gebruikt voor Stateful failover-berichten. Het actieve adaptieve security apparaat genereert en stuurt pakketten naar het standby adaptieve security apparaat om de vertaaltabel en de verbindingstabel bij te werken. In zwaar verkeer, waar hoge tarieven voor verbindingen worden gecreëerd of afgebroken, kan het aantal beschikbare blokken tot 0 dalen.

Deze situatie duidt erop dat een of meer verbindingen niet zijn bijgewerkt naar het adaptieve security apparaat in standby. Het Stateful failover-protocol vangt de ontbrekende vertaling of verbinding de volgende keer op. Als de CNT-kolom voor 256-byte-blokken voor langere tijd op of bij 0 blijft, heeft het adaptieve security apparaat moeite de vertaal- en verbindingstabellen

gesynchroniseerd te houden, vanwege het aantal verbindingen per seconde dat het adaptieve security apparaat verwerkt. Syrische berichten die afkomstig zijn van het adaptieve security apparaat gebruiken ook de blokken van 256 bytes, maar deze worden meestal niet in zo veel hoeveelheden vrijgegeven om een depletie van de blokpool van 256 bytes te veroorzaken. Als de CNT-kolom aantoont dat het aantal 256-byte-blokken nabij 0 is, zorg er dan voor dat u niet logt op Debugging (niveau 7) op de syslogserver. Dit wordt aangegeven door de logklem in de configuratie van het adaptieve security apparaat. We raden aan om houtkap op Meldingsniveau (niveau 5) of lager in te stellen, tenzij u aanvullende informatie nodig hebt voor het debuggen.

1550

Gebruik deze knop om Ethernet-pakketten op te slaan om door het adaptieve security apparaat te worden verwerkt. Wanneer een pakje een interface met adaptief security apparaat invoert, wordt het in de rij van de ingangsinterface gezet, tot het besturingssysteem doorgegeven en in een blok geplaatst. Het adaptieve security apparaat bepaalt of het pakket toegestaan of ontkend moet worden, op basis van het beveiligingsbeleid, en verwerkt het pakket tot in de uitvoerwachtrij op de uitgaande interface. Als het adaptieve security apparaat niet goed met de verkeerslading kan blijven werken, zal het aantal beschikbare blokken nabij 0 liggen (zoals weergegeven in de CNT-kolom van de opdrachtoutput). Wanneer de kolom op CNT nul is, probeert het adaptieve security apparaat meer blokken toe te wijzen, tot een maximum van 8192. Als er geen blokken meer beschikbaar zijn, laat het adaptieve security apparaat het pakket vallen.

16384 Alleen gebruikt voor de 64-bits, 66 MHz Gigabit Ethernet-kaarten (i82543). Zie de beschrijving voor 1550 voor meer informatie over Ethernet-pakketten.

2048 Bedienings- of geleidingsframes gebruikt voor controle-updates.

geheugensteuntje

De opdracht Show memory geeft het totale fysieke geheugen (of RAM) voor de ASA weer, samen met het aantal bytes dat momenteel beschikbaar is. Om deze informatie te gebruiken moet je eerst begrijpen hoe de ASA geheugen gebruikt. Wanneer de ASA start start, kopieert het OS van Flash naar RAM en voert het OS van RAM (net zoals routers) in. Daarna kopieert de ASA de opstartconfiguratie van Flash en plaatst het in RAM. Ten slotte wijst de ASA RAM toe om de blokpoelen te creëren die in de sectie van de showblokken besproken worden. Zodra deze toewijzing is voltooid heeft de ASA extra RAM slechts nodig als de configuratie groter wordt.

Bovendien slaat de ASA de vertaal- en verbindingsgegevens op in RAM.

Tijdens normaal gebruik zou het vrije geheugen van de ASA zeer weinig, zo niet helemaal,

(23)

moeten veranderen. Meestal, de enige keer dat je weinig geheugen hebt is als je onder aanval bent en honderdduizenden connecties door de ASA heen gaan. Om de verbindingen te

controleren, geef de opdracht show conn count uit, die het huidige en maximum aantal

verbindingen door de ASA toont. Als de ASA niet meer weet, zal hij uiteindelijk crashen. Vóór de crash, zou u de meldingen van geheugentoewijzing in de syslog (%ASA-3-21001) kunnen

opmerken. Als u niet meer in het geheugen hebt omdat u onder vuur ligt, neemt u contact op met het Cisco Technical Assistance Center (TAC).

Voorbeeld

Ciscoasa#

show memory

Free memory: 845044716 bytes (79%) Used memory: 228697108 bytes (21%) --- ---

Total memory: 1073741824 bytes (100%)

tentoonstellen

De opdracht toveraantal tonen geeft het huidige en het maximum aantal vertalingen door de ASA weer. Een vertaling is een omzetting van een intern adres in een extern adres en kan een

omzetting van één op één zijn, zoals Netwerkadresomzetting (NAT), of een omzetting van veel naar één, zoals Port Address Translation (PAT). Deze opdracht is een subset van de show Xlate opdracht, die elke vertaling via de ASA uitzet. De opdrachtoutput toont vertalingen "in gebruik" die verwijzen naar het aantal actieve vertalingen in de ASA wanneer de opdracht wordt gegeven;

"meest gebruikt" verwijst naar de maximale vertalingen die sinds de aanschakeling op de ASA ooit zijn gezien.

Opmerking: Een enkele host kan meerdere verbindingen met verschillende bestemmingen hebben, maar slechts één vertaling. Als het aantal uiteinden veel groter is dan het aantal hosts op uw interne netwerk, is het mogelijk dat één van uw interne hosts is

gecompromitteerd. Als uw interne gastheer is gecompromitteerd, beslaat het het bronadres en stuurt pakketten uit de ASA.

Opmerking: Wanneer de configuratie van de VPN-client is ingeschakeld en de interne host DNS-verzoeken verstuurt, kan de opdracht Show Exlate een lijst maken van meerdere limieten voor een statische vertaling.

(24)

Voorbeeld

Ciscoasa#

show xlate count

84 in use, 218 most used

Ciscoasa(config)#show xlate 3 in use, 3 most used

Flags: D - DNS, d - dump, I - identity, i - inside, n - no random, o - outside, r - portmap, s - static

TCP PAT from inside:10.1.1.15/1026 to outside:192.150.49.1/1024 flags ri idle 62:33:57 timeout 0:00:30

UDP PAT from 10.1.1.15/1028 to outside:192.150.49.1/1024 flags ri idle 62:33:57 timeout 0:00:30

ICMP PAT from inside:10.1.1.15/21505 to outside:192.150.49.1/0 flags ri idle 62:33:57 timeout 0:00:30

De eerste ingang is een TCP-poortomzetting voor host-poort (10.1.1.15, 1026) op het

binnennetwerk naar host-poort (192.150.49.1, 1024) op het externe netwerk. De markering "r"

geeft aan dat de vertaling een poortadresomzetting is. De vlaggen "i" duiden erop dat de vertaling van toepassing is op de binnenpoort.

De tweede ingang is een UDP-poortadresomzetting voor host-poort (10.1.1.15, 1028) op het binnennetwerk naar host-poort (192.150.49.1, 1024) op het externe netwerk. De markering "r"

geeft aan dat de vertaling een poortadresomzetting is. De vlaggen "i" duiden erop dat de vertaling van toepassing is op de binnenpoort.

De derde ingang is een ICMP-poortomzetting voor host-ICMP-id (10.1.1.15, 21505) op het binnennetwerk naar host-ICMP-id (192.150.49.1, 0) op het externe netwerk. De markering "r"

geeft aan dat de vertaling een poortadresomzetting is. De vlaggen "i" duiden erop dat de vertaling van toepassing is op de binnenste adres-ICMP-id.

De binnen adresvelden verschijnen als bronadressen op pakketten die van de meer veilige interface naar de minder veilige interface verplaatsen. Omgekeerd verschijnen zij als

bestemmingsadressen op pakketten die van de minder veilige interface naar de meer veilige interface verplaatsen.

(25)

show conn count

De opdracht Toon Conn teller toont het huidige en maximum aantal verbindingen door de ASA.

Een verbinding is het in kaart brengen van Layer 4-informatie van een intern adres naar een extern adres. De verbindingen worden opgebouwd wanneer ASA een pakket SYN voor TCP sessies ontvangt of wanneer het eerste pakket in een UDP-sessie arriveert. De verbindingen worden afgebroken wanneer ASA het definitieve ACK-pakket ontvangt, dat voorkomt wanneer de TCP-sessie handshake wordt afgesloten of wanneer de tijdelijke versie verloopt in de UDP-sessie.

Extreem hoge verbindingstellingen (50-100 keer normaal) kunnen duiden op een aanval. Geef de opdracht Show memory uit om er zeker van te zijn dat de hoge connectietelling er niet voor zorgt dat de ASA niet op raakt. Als u wordt aangevallen, kunt u het maximum aantal verbindingen per statische ingang beperken en ook het maximum aantal embryonale verbindingen beperken. Deze actie beschermt uw interne servers, zodat ze niet overweldigd worden. Raadpleeg Cisco ASA 5500 Series adaptieve security applicaties, opdrachtreferenties voor meer informatie.

Voorbeeld

Ciscoasa#show conn count 2289 in use, 44729 most used

raakvlak tonen

De opdracht interface tonen kan helpen bij het vaststellen van duplex mismatch problemen en kabelproblemen. Het kan ook verder inzicht verschaffen in de vraag of de interface al dan niet wordt overschreden. Als de ASA de CPU-capaciteit niet heeft, ligt het aantal 1550-byte-blokken rond de 0. (Kijk naar de blokken 16384 van de 16384 bytes op de 66 MHz Gig-kaarten). Een andere indicator is de toename van "geen buffers" op de interface. Het bericht geen buffers geeft aan dat de interface het pakket niet naar het ASA OS kan verzenden omdat er geen beschikbaar blok voor het pakje is en het pakje wordt ingetrokken. Als er regelmatig een stijging in geen bufferniveaus optreedt, geeft u de opdracht Proc CPU uit om het CPU-gebruik in de ASA te controleren. Als het CPU-gebruik hoog is vanwege een zware verkeersbelasting, kunt u een upgrade uitvoeren naar een krachtigere ASA die de lading kan verwerken.

Wanneer een pakket voor het eerst een interface invoert, wordt het in de hardware-wachtrij

(26)

geplaatst. Het pakket wordt doorgegeven uit de invoerwachtrij en geplaatst in een blok met 1550 bytes (of in een blok met 16384 bytes op 66 MHz Gigabit Ethernet-interfaces). ASA bepaalt vervolgens de uitvoerinterface voor het pakket en stelt het pakket in de juiste hardwarewachtrij.

Als de hardwarewachtrij vol is, wordt het pakket in de uitvoersoftwarefrij geplaatst. Als de

maximale blokken in een van de softwarewachtrijen groot zijn, wordt de interface overschreden.

Bijvoorbeeld, als 200 Mbps in de ASA kwam en allen één enkele 100 Mbps interface uitgaat, wijst de rij van de uitvoersoftware op hoge aantallen op de uitgaande interface, die erop wijst dat de interface het verkeersvolume niet kan aan. Als u deze situatie ervaart, upgrade naar een snellere interface.

Voorbeeld

Ciscoasa#show interface

Interface GigabitEthernet0/1 "inside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps, DLY 10 usec

IP address 192.168.17.4, subnet mask 255.255.255.0 311981 packets input, 20497296 bytes, 0 no buffer Received 311981 broadcasts, 157 runts, 0 giants

379 input errors, 107 CRC, 273 frame, 0 overrun, 0 ignored, 0 abort 0 pause input, 0 resume input

0 L2 decode drops

U dient ook de interface op fouten te controleren. Als u fouten, invoerfouten, CRC's of frame- fouten ontvangt, is het waarschijnlijk dat u een dubbele fout-match hebt. De kabel kan ook defect zijn. Zie Snelheids- en duplexinstellingen voor meer informatie over duplexproblemen. Denk eraan dat elke foutteller het aantal pakketten vertegenwoordigt dat vanwege die bepaalde fout wordt gedropt. Als u een specifieke teller ziet die regelmatig stijgt, zullen de prestaties op uw ASA waarschijnlijk lijden, en u moet de diepere oorzaak van het probleem vinden.

Tijdens onderzoek van de interfacetellers, let op dat als de interface aan volledig-duplex wordt geplaatst u geen botsingen, late botsingen, of uitgestelde pakketten moet ervaren. Omgekeerd, als de interface op half-duplex wordt ingesteld, zou u botsingen, sommige late botsingen, en mogelijk sommige uitgestelde pakketten moeten ontvangen. Het totale aantal botsingen, late botsingen, en uitgestelde pakketten moet niet hoger zijn dan 10% van de som van de input en uitvoerpakkettellers. Als uw botsingen 10% van uw totale verkeer overschrijden, dan wordt de verbinding overgebruikt, en u moet aan volledig-duplex of aan een snellere snelheid (10 Mbps tot 100 Mbps) verbeteren. Onthoud dat botsingen van 10% betekenen dat de ASA 10% van de pakketten die door die interface gaan, laat vallen; elk van deze pakketten moet opnieuw worden

(27)

verzonden .

Raadpleeg de opdracht interface in Cisco ASA 5500 Series adaptieve security applicaties, referenties voor gedetailleerde informatie over de interfacetellers.

demonstratieprocessen

De opdracht show processen op de ASA toont alle actieve processen die op de ASA lopen op het moment dat de opdracht wordt uitgevoerd. Deze informatie is nuttig om te bepalen welke

processen teveel CPU-tijd ontvangen en welke processen geen CPU-tijd ontvangen. Om deze informatie te krijgen, geeft u de opdracht tonen processen tweemaal uit; Wacht ongeveer één minuut tussen elk geval . Voor het proces in kwestie, trek de waarde van de Runtime die in de tweede uitvoer wordt weergegeven af van de waarde van de Runtime die in de eerste uitvoer wordt weergegeven. Dit resultaat toont u hoeveel tijd van CPU (in milliseconden) het proces in dat tijdsinterval wordt ontvangen. Merk op dat sommige processen gepland zijn om met bepaalde tussenpozen te lopen, en sommige processen lopen slechts wanneer zij informatie hebben om te verwerken. Het 577e verkiezingen proces heeft waarschijnlijk de grootste waarde van al uw processen. Dit is normaal omdat de 577poll de Ethernet interfaces opiniepeilt om te zien of er gegevens zijn die verwerkt moeten worden.

Opmerking: Een onderzoek van elk ASA-proces valt buiten het toepassingsgebied van dit document, maar wordt kort genoemd voor de volledigheid. Raadpleeg de ASA show Procesopdracht voor meer informatie over de ASA processen.

Overzicht van opdrachten

Samengevat, gebruik de opdracht tonen cpu gebruik om de lading te identificeren die de ASA ondergaat. Onthoud dat de output een lopend gemiddelde is; ASA kan hogere

centrifugesnelheden van CPU-gebruik hebben die door het gemiddelde worden gemaskeerd.

Zodra de ASA 80% CPU-gebruik heeft bereikt, neemt de latentie door de ASA langzaam toe tot ongeveer 90% CPU. Wanneer het cpu-gebruik meer dan 90% is, begint de ASA pakketten te laten vallen.

Als het CPU-gebruik hoog is, gebruikt u de opdracht Show processen om de processen te

identificeren die de meeste CPU-tijd gebruiken. Gebruik deze informatie om een deel van de tijd te verminderen die door de intensieve processen wordt geconsumeerd (zoals houtkap).

(28)

Als de CPU geen heet geheugen gebruikt, maar u gelooft dat pakketten nog steeds vallen, gebruik dan de opdracht interface tonen om de ASA interface te controleren op geen buffers en botsingen, mogelijk veroorzaakt door een duplex mismatch. Als de stappen van de geen buffertelling, maar het cpu-gebruik niet laag is, kan de interface het verkeer niet ondersteunen dat erdoor stroomt.

Als de buffers goed zijn, controleert u de blokken. Als de huidige CNT-kolom in de uitvoer van showblokken dicht bij 0 is op de 1550-byte-blokken (16384-byte-blokken voor 66 MHz Gig- kaarten) daalt de ASA-pakketten waarschijnlijk omdat ze te druk zijn. In dit geval, spiekt de CPU hoog.

Als u problemen ondervindt wanneer u nieuwe verbindingen maakt door de ASA, gebruik de show conn teller opdracht om de huidige telling van verbindingen door de ASA te controleren.

Als het huidige aantal is hoog, controleer de uitvoer van het showgeheugen om te verzekeren dat de ASA niet zonder geheugen werkt. Als het geheugen laag is, onderzoek de bron van de

verbindingen met de show conn of toon lokaal-host bevel om te verifiëren dat uw netwerk geen ontkenning-van-service aanval heeft ervaren.

U kunt andere opdrachten gebruiken om de hoeveelheid verkeer te meten die door de ASA

passeert. De opdracht Verkeersverkeer tonen de geaggregeerde pakketten en bytes per interface, en de show breekt het verkeer omlaag in verschillende typen die de ASA inspecteert.

Gerelateerde informatie

Cisco ASA 5500 Series adaptieve security applicaties

●

Technische ondersteuning - Cisco-systemen

●