シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA: %ASA-3-210005:LU allocate connection failedのメッセージについて

 

概要    

 
ASA の Failover の構成にて Standby 機が Active から connection 同期に失敗した場合、以下のログが繰り返して出力する場合があります。
 
Syslogメッセージ例:
%ASA-3-210005: LU allocate connection failed
 
上記の事象が発生した場合、コネクションの同期失敗となり、通常使用時には通信に影響しません。但し、Failover が発生した場合、複製に失敗したコネクションに該当する通信に影響が発生する可能性があります。
 
なお、稀にしか当ログメッセージが出力されない場合は、通常 大きな問題にはなりません。 常にコネクションは作り替えられているためです。 仮に当ログメッセージが短時間に大量に出る場合は、Failover が発生時の通信影響が発生するリスクが上がりますので、以下のトラブルシューティングの実施を検討してください。
 
 

トラブルシューティング方法               


1. Active機とStandby機にて同時のログを取得
 
どのコネクションエントリが同期できていないかの比較情報の取得のため、Active 機とStandby 機にて以下のログを複数回取得します。 なお、コネクションエントリは常に作成・解放を繰り返しているため、%ASA-3-210005 のログメッセージが出力する"前"と"後"で、 Active 機と Standby 機で"同時"に、"複数回"取得することが重要です。 また、大量のコネクションが出力される環境では、Telnet や SSH など高速な CLI で取得をしてください。

show conn long
show clock

 
 
2. Active 機と Standby 機の show conn long 比較
 
どのコネクションが同期失敗したかを Standby 側にて欠けている差分を特定します。
 

3. 失敗したコネクションが inspection policy などに該当しないかを確認
 
  inspection policy について:
 
ASA はデフォルトで主要通信 (DNS、FTP、SIPなど) の inspection を有効にすることで、セカンダリコネクションを動的に許可したり、セキュリティ違反のなどのチェックをしております。この inspection ポリシーに該当した通信を確認するには、以下のコマンドにて確認可能となります。
 
 show service-policy inspect <プロトコル>
 
例: FTP の inspection policy のマッチ状況を確認する場合、以下のような出力例となります。

show service-policy inspect ftp:

Global policy:
 
Service-policy: global_policy
  
Class-map: inspection_default
   
Inspect: ftp, packet 3593353, lock fail 0, drop 3852, reset-drop 0, v6-fail-close 0


仮に複製失敗したコネクションが特定の inspection にマッチした場合、該当 inspection を無効にして改善できるか、或いは以下手順5の通り、バージョンアップにて改善できるかをご確認お願いいたします。

※ inspection を無効にした場合、セカンダリコネクションが動的に許可されなくなるため、該当通信の戻りパケットを許可する ACL などの設定を追加する必要があります。
 
 
4. Inspection ポリシーにマッチしていない場合や、原因特定ができない場合
 
問題解決には詳細な切り分け(デバッグ含む)が必要になります。具体的には以下の情報をご参考ください。以下は show log コマンドで情報を収集するコマンドですが、シスログサーバを利用時は シスログ側でのログ取得でも構いません。

なお、デバッグは Standby 機側で有効化するため、Active 機側への負荷や通信影響はありません。 
 

4.1. Active 機にて以下のコマンドを事前有効化

logging standby ---------------------->Standby機のログ出力を有効化
logging debug-trace ------------------>デバックログをsyslogとして出力する設定
!
logging buffer-size 1048576 ----------->デバッグ出力量が多いため、バッファーのサイズを大きくする
logging timestamp -------------------->ロギングメッセージにタイムスタンプを付与
logging message 711001 level alert ----> 解りやすくするため、DebugメッセージをAlertレベルに変更
logging buffered informational ---------> show log出力をinformationalに変更 (もしくは任意Sevレベルを選択)


 
4.2. Standby 機にて以下のデバックログを有効化

debug fover fail

 
上記実施後、Standby 機側で show log コマンドを実行し、期待のログ (%ASA-3-210005 で出力) や デバッグメッセージ (%ASA-1-711001 で出力) があることを確認します。

   
4.3. %ASA-3-210007 出力"前"と"後"で、Standby 機側のログ取得
 
なお、冗長構成での Standby 機側のデバッグ取得方法について詳しくは、ASA: logging debug-traceを活用したトラブルシューティング も参考にしてください。
 
 
4.4. デバックログの確認例 
 
 
パターン1:

 
%ASA-3-210005 の Syslog が出力するタイミングで、Standby 機の debug fover fail にて以下のようなログが繰り返し出力する場合があります。

SNP flow: 6 192.168.10.1/50082 - 192.168.20.1/25 cut_thru missing punt ch
SNP flow: 6 192.168.10.1/50084 - 192.168.20.1/25 cut_thru missing punt ch
SNP flow: 6 192.168.10.1/50086 - 192.168.20.1/25 cut_thru missing punt ch
SNP flow: 6 192.168.10.1/50088 - 192.168.20.1/25 cut_thru missing punt ch

 

上記のログが出力した場合、CSCur56689 に該当しますので、該当 inspection を無効にするか、バージョンアップをご検討ください。  
 
※ inspection を無効にした場合、セカンダリコネクションが動的に許可されなくなるため、該当通信の戻りパケットを許可する ACL などの設定を追加する必要があります。

パターン2:
 
%ASA-3-210005 の Syslog が出力するタイミングで、Standby 機の debug fover fail にて以下のようなログが繰り返し出力する場合があります。

Failed to attach child conn for np/port/id/7/-1: 192.168.20.1/20 - np/port/id/8/-1: 192.168.10.1/4171
Failed to attach child conn for np/port/id/7/-1: 192.168.20.1/20 - np/port/id/8/-1: 192.168.10.1/4172
Failed to attach child conn for np/port/id/7/-1: 192.168.20.1/20 - np/port/id/8/-1: 192.168.10.1/4173
Failed to attach child conn for np/port/id/7/-1: 192.168.20.1/20 - np/port/id/8/-1: 192.168.10.1/4174

 
FTP の通信により発生しているので、CSCtr31788 に該当しており、バージョンアップをご検討ください。
 

5. Failover 構成のバージョンアップ

上記のように既知の不具合がありますため、ご利用バージョンが古い場合は、利用中のトレインの最新バージョンにアップグレードし、事象が改善するかもご確認ください。バージョンアップの手順につきましては、ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法 をご参照ください。
 

 

 

バージョン履歴
改訂番号
2/2
最終更新:
‎08-30-2017 07:08 AM
更新者:
 
ラベル(1)
寄稿者:
タグ(1)