отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Cisco Employee

Спросить эксперта на тему: "Использование packet-tracer, capture и других утилит Cisco ASA для диагностики сетей"

С Олегом Типисовым

Read the bio

Во время сессии "Спросить Эксперта" инженер Cisco TAC Олег Типисов ответит на вопросы об использовании различных возможностей и диагностических средств Cisco ASA для решения проблем, возникающих при передаче трафика.

Олег Типисов работает с различными решениями и продуктами Cisco в области безопасности, такими как межсетевые экраны Cisco PIX и Cisco ASA, системы обнаружения атак IPS 4200, виртуальные частные сети (VPN), построенные с использованием маршрутизаторов Cisco и Cisco ASA, на протяжении более чем десяти лет и с продуктами Cisco в целом - более тринадцати лет. В течение последних пяти лет он является инженером Cisco TAC и занимается поддержкой российских и зарубежных клиентов. Олег имеет сертификацию CCIE #18059 по направлению маршрутизация и коммутация (RS), а также является сертифицированным инструктором Cisco (CCSI).

Пожалуйста, не забывайте оценивать ответы Олега, чтобы он знал, что Вы получили совет, который Вам помог. Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия продлится до 31-го января.

Ссылки:

Теги (6)
25 ОТВЕТ.
New Member

Спросить эксперта на тему: "Использ

Мария,

извиняюсь за тормоза, но не могу разобраться - как спросить эксперта?

Где/куда нажимать, чтобы написать вопрос?

Cisco Employee

Спросить эксперта на тему: "Использ

Виталий, добрый день!

Вы все правильно сделали. Нажимаете на "reply" в конце поста и размещаете свое обращение к Эксперту - Олегу Типисову. По аналогии с тем, как Вы адресовали свой вопрос мне. Далее Олег ответит на Ваши вопросы.

Спасибо!

Мария

New Member

Спросить эксперта на тему: "Использ

Олег, добрый день!

Время от времени наблюдаю на ASA наличие switch ingress policy drops:

Interface Ethernet0/0 "", is up, line protocol is up

  Hardware is 88E6095, BW 100 Mbps, DLY 100 usec

        Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)

        Input flow control is unsupported, output flow control is unsupported

        Available but not configured via nameif

        MAC address 4c00.8204.1691, MTU not set

        IP address unassigned

        117698900280 packets input, 116484757410011 bytes, 0 no buffer

        Received 24592809 broadcasts, 0 runts, 0 giants

        2605429 input errors, 0 CRC, 0 frame, 2605429 overrun, 0 ignored, 0 abort

        0 pause input, 0 resume input

        0 L2 decode drops

        32143188 switch ingress policy drops

        118985776751 packets output, 90280546060444 bytes, 0 underruns

        0 pause output, 0 resume output

        0 output errors, 0 collisions, 0 interface resets

        0 late collisions, 0 deferred

        0 rate limit drops

        0 switch egress policy drops

        0 input reset drops, 0 output reset drops

Что это за policy?

Где/когда отрабатывает?

Как посмотреть что именно оно drop?

Можно ли его редактировать/убрать?

спасибо заранее.

Cisco Employee

Спросить эксперта на тему: "Использ

Добрый день,

Что в точности имеется ввиду под "switch ingress policy drops"? Если речь об overruns на интерфейсе, то они могут быть вызваны рядом причин:

- потоком трафика, который превышает возможности платформы;

- кратковременными всплесками трафика;

- багами в ПО, в результате которых процессы захватывают CPU на существенное время (CPU Hog);

- слишком высокой постоянной загрузкой CPU;

- и т.д.

Технически overrun фиксируется, когда в течение определенного времени в RX ring нет указателя на свободный блок DMA-памяти, и в результате невозможно выполнить передачу пакета из FIFO-буфера входного интерфейса в DRAM, что приводит к переполнению FIFO.

Увидеть, какие пакеты были потеряны из-за overrun на ASA нельзя (есть enhancement request CSCud39300, но он не реализован). Более подробная диагностика возможна только, если открыть кейс в TAC.

New Member

Спросить эксперта на тему: "Использ

Вот и я хотел бы знать, что имеется ввиду под "switch ingress policy drops"... собственно, в этом и был вопрос...

Выделил данные строки в sh int ниже жирным:

Interface Ethernet0/0 "", is up, line protocol is up

  Hardware is 88E6095, BW 100 Mbps, DLY 100 usec

        Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)

        Input flow control is unsupported, output flow control is unsupported

        Available but not configured via nameif

        MAC address 4c00.8204.1691, MTU not set

        IP address unassigned

        117698900280 packets input, 116484757410011 bytes, 0 no buffer

        Received 24592809 broadcasts, 0 runts, 0 giants

        2605429 input errors, 0 CRC, 0 frame, 2605429 overrun, 0 ignored, 0 abort

        0 pause input, 0 resume input

        0 L2 decode drops

        32143188 switch ingress policy drops

        118985776751 packets output, 90280546060444 bytes, 0 underruns

        0 pause output, 0 resume output

        0 output errors, 0 collisions, 0 interface resets

        0 late collisions, 0 deferred

        0 rate limit drops

        0 switch egress policy drops

        0 input reset drops, 0 output reset drops

Cisco Employee

Спросить эксперта на тему: "Использ

Cisco Employee

Спросить эксперта на тему: "Использ

ВОПРОС С ВЕБКАСТА:

Есть ли данные, сколько примерно ACE в ACL поддерживается для той или иной модели ASA?

Cisco Employee

Спросить эксперта на тему: "Использ

Да, я рекомендую посмотреть презентацию Cisco Live BRKSEC-3020:

https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION_ID=7880&backBtn=true

Жесткого ограничения нет, но есть рекомендуемые предельные значения. Например, для 5505 это 25k, для 5555-X - 600K, для 5585 SSP-60 - 2M.

Cisco Employee

Спросить эксперта на тему: "Использ

ВОПРОС С ВЕБКАСТА:

Есть ли возможность  отграничить не количество соединений, а количество ресурсов. Например,  чтобы 10% были выделены только СP. Чтобы никакой трафик, полезный или не  полезный, не смог отнять все ресурсы.

Cisco Employee

Спросить эксперта на тему: "Использ

Нет, такой возможности нет. 10% чего? CPU? DRAM? Packet buffers?

Cisco Employee

Спросить эксперта на тему: "Использ

ВОПРОС С ВЕБКАСТА:

Очень не хватает привязки мак-адреса к IP в dhcpd! Будет когда-нибудь?

Cisco Employee

Спросить эксперта на тему: "Использ

Нет, до тех пор пока вы не обратитесь к аккаунт-менеджерам Cisco, с которыми работаете, с просьбой реализовать:

CSCsw72963    ASA local address pools should support DHCP reservations/assignments

New Member

Спросить эксперта на тему: "Использ

На ASA5505 очень не хватает функции DHCP snooping. Т.к. там встроенный коммутатор и зачастую одного этого устройства необходимо и достаточно для малого/удаленного офиса, данный функционал был бы очень логичен и к месту. Заказчики не хотят ставить рядом ещё один коммутатор, чтобы только включить DHCP snooping и DAI.

Не планируется на ASA5505 такой функционал?

Если нет - прошу считать этот мой вопрос фиче реквестом.

Спасибо заранее.

Cisco Employee

Спросить эксперта на тему: "Использ

На 5505 это реализовано не будет.

New Member

Спросить эксперта на тему: "Использ

Время от времени наблюдаю такую ситуацию - imaps-клиент (outlook) перестает отправлять почту. Сообщения накапливаются в папке Исходящие. При этом все остальное работает (идут пинги, открываются странички), в т.ч. и входящие сообщения этого же outlook - доходят.

imaps-клиент уст. на ноутбуке, подключенном через l2tp-ipsec vpn (стандартный виндовый vpn-клиент) к ASA5520. Вся схема:

imaps-клиент->l2tp-ipsec vpn->ASA(outside)->ASA(outside)->imaps-сервер(не Exchange, unix)

Два раза указал ASA(outside), т.к. сначал пакет прилетает на ASA(outside) со стороны vpn-клиента, а затем вылетает через этот же ASA(outside), расшифрованный, в сторону imaps-сервера (сервер тоже за outside).

Если в момент такой проблемы, с ноутбука на кот. imaps-клиент, сделать telnet imaps-сервер 25, то соединение открывается, но данные по нему не идут (imaps-сервер не выдает приглашение) и так оно открытое может висеть сколь угодно долго, само по тайм-ауту не отваливается.

Как разобраться - что происходит, в чем проблема и как от нее избавиться?

спасибо заранее.

Cisco Employee

Спросить эксперта на тему: "Использ

Надо начать с того, что проверить с помощью Wireshark на отправителе и получателе и capture на ASA, какие данные доходят и докуда. Маловероятно, что это проблема ASA.

New Member

Спросить эксперта на тему: "Использ

В 100% случаях эта проблема наблюдается только при использовании (l2tp-ipsec) vpn. Без vpn нигде, ни разу такого не происходило.

Про Wireshark - понял. Буду пробовать.

New Member

Спросить эксперта на тему: "Использ

Добрый день,

У меня такая проблема, приобрел Firewall Cisco ASA5510-K8 и при включении на нем желтым горит индикатор "status" и "aktive" и отсутствует связь по всем внешним интерфейсам. Остальные индикаторы "горят" зеленым. В чем может быть проблема и что можно сделать?

С уважением, Евгений

Cisco Employee

Спросить эксперта на тему: "Использ

Желтый статус свидетельствует о том, что устройство неисправно. Надо менять.

New Member

Спросить эксперта на тему: "Использ

Как ожиивить USB-порты на ASA5505 ?

Я помню, что они только для IOS'ов и сертификатов.

Спасибо заранее.

Cisco Employee

Спросить эксперта на тему: "Использ

Никак. Они отключены на 5505.

New Member

Спросить эксперта на тему: "Использ

Это точно? Может имеет смысл уточнить в недрах BU?

Сам слышал, своими ушами, на одном из партнерских мероприятий, правда давно, что они будут иметь ограниченный функционал, т.е. имиджи IOS можно хранить/обновлять и сертификаты. Но для этих целей однозначно заявлялось, что работать будет.

Cisco Employee

Спросить эксперта на тему: "Использ

Мы сами недра глубже некуда. USB работает начиная с 5500-X.

New Member

Спросить эксперта на тему: "Использ

На оборудование Cisco ASA 5520 нет поддержки протокола FlowControl, как в принципе и на другом оборудование Cisco. Проблема возникает при подключение к провайдеру: коммутатор Dlink провайдера шейпит трафик на нашем порту. При подключение оборудования без FlowControl наблюдается "жуткая пила", трафик идёт рывками и занижение скорости. Любой ноутбук (включён FlowControl) подключаем в порт провайдера и наблюдаем идеальную картину: скорость как заявлено, пинг ровный, нет джиттера. Как обойти данную проблему на оборудование Cisco?

Cisco Employee

Спросить эксперта на тему: "Использ

802.3x flowcontrol поддерживается на гигабитных интерфейсах ASA на всех моделях семейства 5500 начиная с 8.2(5), 8.4(2).

http://www.cisco.com/en/US/docs/security/asa/asa82/command/reference/ef.html#wp1952456

Уж и не знаю, правда ли что коммутатор DLINK умеет высылать 802.3x pause frames при срабатывании shaping. Возможно, что проблема в чем-то другом.

1655
Просмотры
25
Полезный материал
25
Ответы