ASA 5506-X — проблема с производительностью
-
Здравствуйте, у меня уже несколько недель возникает проблема с ASA 5506-X. ASA является для нас хабом с примерно 10 туннелями IPsec. Каждый день в определенное время, например с 20:00 до 24:00, мы замечаем, что наша система мониторинга начинает отправлять много ложных срабатываний в отношении устройств, которые мы мониторим на другой стороне туннелей.
Первое, что мы проверили, — это общий трафик на устройстве, который составляет около 75 Мбит/с (не изменяется в течение длительного времени). Согласно техническому паспорту, это нормально. Источник:
https://www.cisco.com/c/en/us/products/collateral/security/asa-firepower-services/datasheet-c78-742475.html
На другой стороне туннелей у нас есть много устройств, которые подключаются к контроллеру или отправляют довольно подробные, но легкие журналы в наши системы. Поэтому мы подумали, что, возможно, ASA не может обрабатывать такой большой объем сеансов. Некоторая информация от машины о количестве сеансов:
show xlate count
73 в использовании, 2399 наиболее используемых
show conn count
9697 в использовании, 44623 наиболее используемых
Что касается загрузки ЦП, она почти всегда оставалась на уровне около 80%.
show cpu usage
Использование ЦП за 5 секунд = 71%; 1 минута: 72%; 5 минут: 72% show memory top-usage
Оборудование: ASA5506
Cisco Adaptive Security Appliance Программное обеспечение версии 9.8(4)35
ASLR включен, область текста b7ea047000-b7ee3eef1c
MEMPOOL_MSGLYR pool binsize выделено байт, всего: ----- статистика выделенной памяти ----- размер
фрагмента количество всего
(байты) (байты)
---------------- ---------- -------------- ----- Размер ячейки PC top usage -----
Оборудование: ASA5506
Cisco Adaptive Security Appliance Программное обеспечение версии 9.8(4)35
ASLR включен, текстовая область b7ea047000-b7ee3eef1c
MEMPOOL_HEAPCACHE_0 pool binsize выделено байт всего: ----- статистика выделенной памяти ----- размер
фрагмента количество всего
(байты) (байты)
12582912 4 50331648
96 356126 34188096
1048576 24 25165824
65536 254 16646144
4194304 3 12582912
16384 640 10485760
2097152 5 10485760
131072 74 9699328
8388608 1 8388608
1572864 5 7864320 Вот некоторая информация о программном обеспечении.
Я знаю, что это устаревшее оборудование и что у нас старое программное обеспечение.
Показать инвентарь
Название: «Шасси», Описание: «ASA 5506-X с ПО, 8GE Data, 1GE Mgmt, AC»
PID: ASA5506 , VID: V06 , SN:
Название: «Устройство хранения 1», Описание: «ASA 5506-X SSD»
PID: ASA5506-SSD , VID: N/A , SN: Показать версию
Программное
обеспечение Cisco Adaptive Security Appliance Версия 9.8(4)35 Расширяемая
операционная система Firepower Версия 2.2(2.143)
Диспетчер устройств Версия 7.8(2)
Некоторая другая информация:
show asp drop
Frame drop:
IPSEC tunnel is down (ipsec-tun-down) 1248
SVC Module does not have a channel for reinjection (mp-svc-no-channel) 9
SVC Module does not have a session (mp-svc-no-session) 52
Модуль SVC находится в режиме управления потоком (mp-svc-flow-control) 636 Не удалось
переклассифицировать VPN (vpn-reclassify-failed) 280
Поток освобождается (flow-being-freed) 908
Недопустимая длина TCP (invalid-tcp-hdr-length) 3
Недопустимая длина UDP (invalid-udp-length) 64
Нет действительного соседства (no-adjacency) 74723
Нет маршрута к хосту (no-route) 85
Поток запрещен настроенным правилом (acl-drop) 292114
Недопустимый SPI (np-sp-invalid-spi) 36872
Первый пакет TCP не SYN (tcp-not-syn) 55504195 Неудачное
трехстороннее рукопожатие TCP (tcp-3whs-failed) 118428
TCP RST/FIN не в порядке (tcp-rstfin-ooo) 226158
TCP SEQ в SYN/SYNACK недействителен (tcp-seq-syn-diff) 6824
TCP пакет SEQ прошел окно (tcp-seq-past-win) 239849 Буфер
пакетов TCP Out-of-Order переполнен (tcp-buffer-full) 206712 Таймаут буфера
пакетов TCP Out-of-Order (tcp-buffer-timeout) 65304
TCP RST/SYN в окне (tcp-rst-syn-in-win) 557 Дубликат
пакета TCP в очереди Out-of-Order (tcp-dup-in-queue) 74204
Неудачные ранние проверки безопасности (security-failed) 8
Отказ IP-опции (invalid-ip-option) 10
Истекший поток (flow-expired) 498 Несоответствие номера
последовательности ICMP (inspect-icmp-seq-num-not-matched) 125
Интерфейс не работает (interface-down) 68755
Пакет отклонен (shunned) 2709530
Отброшенные пакеты в закрытом сокете (np-socket-closed) 1
Отказ в отправке из-за превышения лимита очереди отправки (dispatch-queue-limit) 223 Превышен лимит
новых SA IKE (ike-sa-rate-limit) 2849 Неудачная
сборка фрагментов (fragment-reassembly-failed) 705995 Последнее очищение: 11:57:09 CET 12 мая 2025 г. администратором Отказ потока:
туннель был разрушен (tunnel-torn-down) 560
Необходимо начать переговоры IKE (need-ike) 6898 Не найден
дескриптор VPN (vpn-handle-not-found) 6 Обнаружен
поддельный пакет IPsec (ipsec-spoof-detect) 2 Отсутствует
дешифрование VPN (vpn-missing-decrypt) 18
Поток отклонен (shunned) 159878 Сбой
проверки (inspect-fail) 1294
DTLS hello обработан и закрыт (dtls-hello-close) 3 Последнее очищение: 11:57:09 CET 12 мая 2025 г. администратором
show shun statistics
outside=OFF, cnt=0
inside=OFF, cnt=0
TRANSIT=ON, cnt=2789552 Отклонение x.x.x.x cnt=3146, время=(0:07:28)
Отклонение x.x.x.x cnt=362, время=(0:15:35) -
У меня в фоновом режиме работало несколько программ для захвата экрана, и хотя я не думаю, что это было причиной, после их отключения производительность улучшилась. Мне кажется, что это просто совпадение, но, возможно, кому-то эта информация пригодится.
-
Кто-нибудь знает, откуда берется эта проблема?
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти