Velocità di trasmissione e connessione ASA - Risoluzione dei problemi e analisi delle acquisizioni dei pacchetti

Opzioni per il download

  • PDF     (90.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (91.1 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (79.6 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:29 marzo 2018
ID documento:113393

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come risolvere i problemi di velocità effettiva e di velocità di connessione di Cisco Adaptive Security Appliance (ASA).  

    Prerequisiti

    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    Per la stesura del documento, è stata usata una appliance Cisco Adaptive Security Appliance (ASA).

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Alcuni clienti potrebbero riscontrare un problema nella prima installazione di un'appliance ASA o nel test della nuova connettività. Il problema è che la velocità di trasmissione TCP delle connessioni che passano attraverso l'ASA è molto più bassa rispetto a quando l'ASA non si trova sul percorso di connessione (o le connessioni sono molto più lente rispetto a prima che l'ASA venisse implementata sulla rete).

    Ad esempio, un cliente può sostituire un router D-Link (o un altro dispositivo di routing) di fascia bassa con un'appliance ASA 5505 o ASA 5510; tuttavia, una volta sostituito il router, la velocità di connessione si riduce notevolmente. Il cliente potrebbe risolvere una controversia con Cisco TAC perché ritiene che l'ASA abbia causato la riduzione della velocità della connessione.

    Metodologia di risoluzione dei problemi

    I flussi TCP rallentano in caso di perdita o ritardo dei pacchetti sulla rete. Per capire l'esatta causa del problema, i dati devono mostrare i pacchetti TCP effettivi sul cavo per quella connessione e come la rete potrebbe influenzarli. Di solito un amministratore di rete viene avvisato del problema quando esegue un'azione specifica, come un trasferimento di file FTP o un test di velocità online. Molto spesso il problema può essere riprodotto. Pertanto, l'amministratore può raccogliere i dati necessari per trovare la causa principale.

    Per raccogliere i dati richiesti, il comando show tech deve essere eseguito dall'appliance ASA prima e dopo il test. Questo comando mostra le statistiche della configurazione e dei pacchetti (principalmente da show service-policy) e anche l'incremento degli errori dell'interfaccia.

    Le acquisizioni simultanee bidirezionali dei pacchetti (acquisite dalle due interfacce ASA interessate dai passaggi della connessione) sono necessarie per diagnosticare completamente la causa del problema.

    Per esempi su come applicare le acquisizioni dei pacchetti all'appliance ASA, consultare i seguenti documenti:

    Analisi dei dati

    Dopo aver raccolto i dati richiesti, è possibile usare le acquisizioni dei pacchetti per determinare quale dei seguenti problemi potrebbe essersi verificato:

    • I pacchetti provenienti dall'host esterno vengono scartati o ritardati prima di raggiungere l'interfaccia esterna dell'ASA.
    • I pacchetti vengono ritardati o scartati dall'appliance ASA.
    • I pacchetti vengono ritardati o scartati da qualche parte nella rete interna.  

    Nota: Questa analisi presuppone che i dati vengano inviati da un host sull'interfaccia esterna a un host sull'interfaccia interna.

    Questo video mostra un esempio di come eseguire l'analisi su un pacchetto di acquisizione:

    L'unione di flussi TCP è una considerazione tecnica specifica di questo problema perché, quando si attivano alcune funzionalità sull'appliance ASA, il firewall unisce completamente il flusso TCP che lo attraversa.

    Ad esempio, se l'ASA rileva un pacchetto mancante sulla rete (in quanto non viene ricevuto dall'ASA), invia un ACK per conto dell'altro endpoint TCP per i dati mancanti. Questo scenario è il più comune. Se l'ASA rileva dei pacchetti non ordinati, li riordina e li passa al destinatario nell'ordine corretto. Se non si verificano perdite di rete o riordino dei pacchetti, non si verificano effetti collaterali. Se tutti i pacchetti inviati da uno dei due endpoint TCP sono stati passati correttamente attraverso la rete e l'ASA, non si sa se questa funzione è abilitata, in quanto non interviene sui flussi di pacchetti. L'attivazione di questa funzionalità rallenterà ulteriormente il traffico di rete solo in caso di problemi con la connessione TCP in rete. L'unione del flusso TCP comporta un notevole dispendio di risorse per l'appliance ASA. Per ciascun pacchetto scartato sulla rete, l'ASA deve non solo inviare una richiesta di pacchetto TCP per la ritrasmissione del pacchetto, ma deve anche memorizzare nel buffer i pacchetti che il mittente ha continuato a inviare dopo la perdita del pacchetto.

    Problemi comuni

    Configurazione errata dei valori di velocità e duplex sull'interfaccia che connette l'ASA al dispositivo adiacente

    Questo problema si verifica spesso quando un dispositivo viene sostituito da un'ASA. Se i valori di velocità e duplex sull'interfaccia ASA non sono gli stessi dei valori sul dispositivo adiacente, il pacchetto viene scartato sull'interfaccia. Controllare i valori della velocità e del duplex sull'interfaccia ASA e sull'interfaccia adiacente. 

    Controllare l'output del comando show interface dell'appliance ASA per individuare gli errori evidenti che sono sintomi del problema:

    Interface Ethernet0/0 "Outside", is up, line protocol is up
      Hardware is i82546GB rev03, BW 100 Mbps
            Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
            MAC address 0019.2f58.c324, MTU 1500
            IP address 192.168.222.122, subnet mask 255.255.255.252
            124047996 packets input, 35340918453 bytes, 0 no buffer
            Received 3 broadcasts, 0 runts, 0 giants
            0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
            0 L2 decode drops
            156918660 packets output, 40931551514 bytes, 0 underruns
            1 output errors, 4286634 collisions, 0 interface resets
            0 babbles, 123332 late collisions, 4752834 deferred
            0 lost carrier, 0 no carrier
            input queue (curr/max blocks): hardware (0/0) software (0/0)
            output queue (curr/max blocks): hardware (0/245) software (0/0)
      Traffic Statistics for "Outside":
            124047995 packets input, 33107957301 bytes
            157041993 packets output, 38195084709 bytes
            103480 packets dropped
          1 minute input rate 2140 pkts/sec,  477200 bytes/sec
          1 minute output rate 2630 pkts/sec,  396763 bytes/sec
          1 minute drop rate, 0 pkts/sec
          5 minute input rate 2152 pkts/sec,  525496 bytes/sec
          5 minute output rate 2701 pkts/sec,  421215 bytes/sec
          5 minute drop rate, 0 pkts/sec

    Invia traffico al modulo IPS

    Quando l'ASA è configurata per inviare il traffico al modulo IPS, la funzione di unione dei flussi TCP viene attivata sull'ASA. Per ulteriori informazioni sulla funzione di unione dei flussi TCP, consultare la sezione Analisi dei dati di questo documento.

    La modifica dell'opzione TCP MSS da parte dell'ASA causa di una leggera riduzione delle prestazioni

    Per impostazione predefinita, l'ASA imposta l'opzione TCP MSS nei pacchetti SYN su 1380. Pertanto, gli endpoint TCP non devono trasmettere un segmento TCP più grande di 1380 byte. Questo valore è inferiore al valore spesso predefinito di 1460 byte e rappresenta un calo delle prestazioni TCP di circa il 6% (6%). Le prestazioni potrebbero migliorare se si aumenta il valore MSS massimo sull'appliance ASA o si disabilita la regolazione del valore MSS. Prima di modificare il comando predefinito sull'appliance ASA, valutare i rischi relativi alla potenziale frammentazione se il pacchetto viene ulteriormente incapsulato nel percorso.

    Per ulteriori informazioni, fare riferimento alla sezione tcpmss della guida di riferimento dei comandi di Cisco ASA serie 5500.

    Informazioni correlate

    TAC Authored

    Contributo dei tecnici Cisco

    • Jay Johnston
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti