シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

IOS-XE プラットフォームで Zone Based Firewall 設定時に fman_fp_image プロセスでメモリリークが発生する

2016年1月22日(初版)

TAC SR Collection
主な問題

ASR1000シリーズルータ、ISR4000シリーズルータ、CSR1000v ルータにおいて Zone Based Firewall を設定していると fman_fp_image プロセスにおいてメモリリークが発生することがあります。

この問題は、XE3.13.0.S/15.4(3)S、または XE3.13.1.S/15.4(3)S1 を使用時に発生します。

 

問題の発生条件としては、ルータに以下のような zone based firewall の設定が行われていることが条件になります。

policy-map type inspect PERMIT
 class type inspect INSPECT
  inspect

zone security ZONE-OUT

zone-pair security ZONE-PAIR source ZONE-OUT destination self
 service-policy type inspect PERMIT

ip access-list extended INSPECT
 permit ip host 10.0.0.1 any

interface GigabitEthernet0/0/0
 ip address 20.0.0.1 255.255.255.0
 zone-member security ZONE-OUT

 

メモリリークが発生していることは fman_fp_image プロセスのメモリ使用状況を確認するコマンド、show platform software memory forwarding-manager fp active brief を実行し出力の内容が以下のようになることから確認できます。

Router# show platform software memory forwarding-manager fp active brief | in fw

  module                  allocated     requested     allocs        frees
  ------------------------------------------------------------------------------
 (中略)
  fw-zone-pair            767950992     761094224     857092        428544

この出力内容では、fman_fp_image プロセスにおける zone based firewall の機能によるメモリの取得量を示す fw-zone-pair の項目で、allocs frees の数値の間に約2倍程度の差分が見られます。これは zone based firewall を動作させるために取得したメモリが解放されていないことを意味しメモリリークが発生していることが分かります。

 

この症状が進行すると以下のような事象が発生することがあります。

  • 以下のようなメモリが不足していることを示すメッセージが出力される

%PLATFORM-3-ELEMENT_CRITICAL: F0: smand:  RP/0: Committed Memory value 142% exceeds critical level 100%

 

  • 以下のようなメッセージが出力され再起動が発生する

%SCHED-0-WATCHDOG: Scheduler running for a long time, more than the maximum configured (120) secs.

 

原因

この問題はCSCuq31464 として報告されています。

解決策

不具合の暫定回避策 :

zone based firewall の関連する設定を全て削除してください。

 

改修版ソフトウェア :

CSCuq31464 の問題が改修されたソフトウェアを使用して下さい。

 

備考 本不具合は、Bug Search Tool でも確認できます。

146
閲覧回数
0
いいね!
0
コメント