отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

ASA 5525-x Cluster error

Имеется две ASA 5525-x (софт 9.1(4) ), собранные в Spanned EtherChannel Cluster через VSS.

Схема включения по докам: Gi0/0 и Gi0/1 - PortChannel 10 (cluster link), Gi0/2 и Gi0/3 - PortCahnnel 20 (data link)

 

схема

 

Вроде все работает нормально, но есть два странных момента:

1. В логах на мастере постоянно сыпет сообщение

Oct 30 2014 12:24:53: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:24:54: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:24:55: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:24:55: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:24:56: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:24:57: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:24:58: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:24:59: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:25:01: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:25:01: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:25:01: %ASA-4-210005: LU allocate connection failed
Oct 30 2014 12:25:01: %ASA-4-210005: LU allocate connection failed

 

2. При смене мастера (в ручном или аварийном режиме) NAT сходит с ума. Отбивает все подключения с ошибкой, что не хватает  NAT pool adresses. После команды clear xlate в ручную, все ок. В обычной работе xlate держит примерно 2500 записей, свободных много.

 

Гугление этих проблем ничего не дало, может подскажет кто-нибудь с чем эти проблемы могут быть связаны и куда копать?

5 ОТВЕТ.

А покажите show failover?Что

А покажите show failover?

Что касается 210005 - может это CSCun56296 и ничего страшного?

New Member

судя по CSCun56296 непонятно

судя по CSCun56296 непонятно страшно это или нет, как раз из-за того что в 210005 мало инфы.

и вторая проблема выглядит подозрительно следствием из сообщений из первой. Т.е. не все соединения дублируются на secondary плечо кластера, отсюда и NAT сходит с ума.

New Member

# sh failover

# cluster exec sh failover
ASA1(LOCAL):**********************************************************
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 216 maximum

ASA2:*****************************************************************
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 216 maximum

failover тут непричем,

failover тут непричем, извините, а покажите конфигурацию, относящуюся к clustering?

И ещё судя по документации:

 

• NAT results in poor load balancing of connections, and the need to rebalance all returning traffic to 
the correct units.
• When membership changes, the cluster needs to rebalance a large number of connections, thus 
temporarily using a large amount of cluster control link bandwidth.
A higher-bandwidth cluster control link helps the cluster to converge faster when there are membership 
changes and prevents throughput bottlenecks.

Note:
If your cluster has large amounts of asymmetric (rebalanced) traffic, then you should increase the cluster 
control link size.

 

может у вас не хватает пропускной для control link?

 

New Member

# cluster exec sh run

#  cluster exec sh run cluster
ASA1(LOCAL):**********************************************************
cluster group ASA
 local-unit ASA1
 cluster-interface Port-channel10 ip 10.40.50.1 255.255.255.0
 priority 10
 console-replicate
 health-check holdtime 1
 clacp system-mac auto system-priority 1
 enable

ASA2:*****************************************************************
cluster group ASA
 local-unit ASA2
 cluster-interface Port-channel10 ip 10.40.50.2 255.255.255.0
 priority 20
 console-replicate
 health-check holdtime 1
 clacp system-mac auto system-priority 1
 enable

 

Кластерный интерфейс - 2гигабита в etherchannel. Внешние каналы (где висит NAT) в сумме 50Мбит, загрузки больше 200Мбит/с на кластерном интерфейсе не видел никогда.

Да и ошибка проявляется только когда одно плечо ложится ( reboot'ом или аварийно), т.е. cluster link down в этом случае. А вот NAT почему-то решает что address pool исчерпан. После clear xlate все восстанавливается.

Попробую дернуть еще разок сегодня вечером, посмотрю что будет в sh xlate.

# cluster exec sh int po 10
ASA1(LOCAL):**********************************************************
Interface Port-channel10 "cluster", is up, line protocol is up
  Hardware is EtherChannel/ON, BW 2000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        Description: Clustering Interface
        MAC address 4c00.821d.6c9a, MTU 9000
        IP address 10.40.50.1, subnet mask 255.255.255.0
  Traffic Statistics for "cluster":
        42323314 packets input, 11637735367 bytes
        349716513 packets output, 341580256191 bytes
        767223 packets dropped
      1 minute input rate 64 pkts/sec,  20170 bytes/sec
      1 minute output rate 887 pkts/sec,  1007947 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 61 pkts/sec,  19602 bytes/sec
      5 minute output rate 843 pkts/sec,  933728 bytes/sec
      5 minute drop rate, 0 pkts/sec
  Members in this channel:
      Active:   Gi0/0 Gi0/1

ASA2:*****************************************************************
Interface Port-channel10 "cluster", is up, line protocol is up
  Hardware is EtherChannel/ON, BW 2000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        Description: Clustering Interface
        MAC address bc16.6520.c61a, MTU 9000
        IP address 10.40.50.2, subnet mask 255.255.255.0
  Traffic Statistics for "cluster":
        101924529 packets input, 39851231526 bytes
        6094145970 packets output, 7776491640961 bytes
        766573 packets dropped
      1 minute input rate 189 pkts/sec,  86151 bytes/sec
      1 minute output rate 8987 pkts/sec,  12510131 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 195 pkts/sec,  88743 bytes/sec
      5 minute output rate 11724 pkts/sec,  16459964 bytes/sec
      5 minute drop rate, 0 pkts/sec
  Members in this channel:
      Active:   Gi0/0 Gi0/1

# cluster exec sh int gi 0/0
ASA1(LOCAL):**********************************************************
Interface GigabitEthernet0/0 "", is up, line protocol is up
  Hardware is i82574L rev00, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        Active member of Port-channel10
        MAC address 4c00.821d.6c9a, MTU 9000
        IP address unassigned
        4408633889 packets input, 5667854344517 bytes, 0 no buffer
        Received 7938249 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        250555822 packets output, 223197360323 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (493/362)
        output queue (blocks free curr/low): hardware (451/0)

ASA2:*****************************************************************
Interface GigabitEthernet0/0 "", is up, line protocol is up
  Hardware is i82574L rev00, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        Active member of Port-channel10
        MAC address bc16.6520.c61a, MTU 9000
        IP address unassigned
        251079166 packets input, 223104499453 bytes, 0 no buffer
        Received 8002221 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        4407805332 packets output, 5667694648991 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (476/363)
        output queue (blocks free curr/low): hardware (489/159)
# cluster exec sh int gi 0/1
ASA1(LOCAL):**********************************************************
Interface GigabitEthernet0/1 "", is up, line protocol is up
  Hardware is i82574L rev00, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        Active member of Port-channel10
        MAC address 4c00.821d.6c96, MTU 9000
        IP address unassigned
        1686819575 packets input, 2134347479450 bytes, 0 no buffer
        Received 6 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        99199071 packets output, 121249264555 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (476/362)
        output queue (blocks free curr/low): hardware (476/304)

ASA2:*****************************************************************
Interface GigabitEthernet0/1 "", is up, line protocol is up
  Hardware is i82574L rev00, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        Active member of Port-channel10
        MAC address bc16.6520.c616, MTU 9000
        IP address unassigned
        98983872 packets input, 120929801441 bytes, 0 no buffer
        Received 88 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        1686692107 packets output, 2134244432331 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (490/430)
        output queue (blocks free curr/low): hardware (499/178)

И еще у меня вызывают подозрения drop'ы на Po интерфейсах, которых нет на Gi. Похоже какие-то софтовые дропы пакетов, из идей - ASA дропает spanning-tree  от коммутатора, но точно как-то узнать что это неудалось.

88
Просмотры
0
Полезный материал
5
Ответы