Introduzione
In questo documento viene descritto come risolvere i problemi di velocità effettiva e di velocità di connessione di Cisco Adaptive Security Appliance (ASA).
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Per la stesura del documento, è stata usata una appliance Cisco Adaptive Security Appliance (ASA).
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Alcuni clienti potrebbero riscontrare un problema nella prima installazione di un'appliance ASA o nel test della nuova connettività. Il problema è che la velocità di trasmissione TCP delle connessioni che passano attraverso l'ASA è molto più bassa rispetto a quando l'ASA non si trova sul percorso di connessione (o le connessioni sono molto più lente rispetto a prima che l'ASA venisse implementata sulla rete).
Ad esempio, un cliente può sostituire un router D-Link (o un altro dispositivo di routing) di fascia bassa con un'appliance ASA 5505 o ASA 5510; tuttavia, una volta sostituito il router, la velocità di connessione si riduce notevolmente. Il cliente potrebbe risolvere una controversia con Cisco TAC perché ritiene che l'ASA abbia causato la riduzione della velocità della connessione.
Metodologia di risoluzione dei problemi
I flussi TCP rallentano in caso di perdita o ritardo dei pacchetti sulla rete. Per capire l'esatta causa del problema, i dati devono mostrare i pacchetti TCP effettivi sul cavo per quella connessione e come la rete potrebbe influenzarli. Di solito un amministratore di rete viene avvisato del problema quando esegue un'azione specifica, come un trasferimento di file FTP o un test di velocità online. Molto spesso il problema può essere riprodotto. Pertanto, l'amministratore può raccogliere i dati necessari per trovare la causa principale.
Per raccogliere i dati richiesti, il comando show tech deve essere eseguito dall'appliance ASA prima e dopo il test. Questo comando mostra le statistiche della configurazione e dei pacchetti (principalmente da show service-policy) e anche l'incremento degli errori dell'interfaccia.
Le acquisizioni simultanee bidirezionali dei pacchetti (acquisite dalle due interfacce ASA interessate dai passaggi della connessione) sono necessarie per diagnosticare completamente la causa del problema.
Per esempi su come applicare le acquisizioni dei pacchetti all'appliance ASA, consultare i seguenti documenti:
Analisi dei dati
Dopo aver raccolto i dati richiesti, è possibile usare le acquisizioni dei pacchetti per determinare quale dei seguenti problemi potrebbe essersi verificato:
- I pacchetti provenienti dall'host esterno vengono scartati o ritardati prima di raggiungere l'interfaccia esterna dell'ASA.
- I pacchetti vengono ritardati o scartati dall'appliance ASA.
- I pacchetti vengono ritardati o scartati da qualche parte nella rete interna.
Nota: Questa analisi presuppone che i dati vengano inviati da un host sull'interfaccia esterna a un host sull'interfaccia interna.
Questo video mostra un esempio di come eseguire l'analisi su un pacchetto di acquisizione:
L'unione di flussi TCP è una considerazione tecnica specifica di questo problema perché, quando si attivano alcune funzionalità sull'appliance ASA, il firewall unisce completamente il flusso TCP che lo attraversa.
Ad esempio, se l'ASA rileva un pacchetto mancante sulla rete (in quanto non viene ricevuto dall'ASA), invia un ACK per conto dell'altro endpoint TCP per i dati mancanti. Questo scenario è il più comune. Se l'ASA rileva dei pacchetti non ordinati, li riordina e li passa al destinatario nell'ordine corretto. Se non si verificano perdite di rete o riordino dei pacchetti, non si verificano effetti collaterali. Se tutti i pacchetti inviati da uno dei due endpoint TCP sono stati passati correttamente attraverso la rete e l'ASA, non si sa se questa funzione è abilitata, in quanto non interviene sui flussi di pacchetti. L'attivazione di questa funzionalità rallenterà ulteriormente il traffico di rete solo in caso di problemi con la connessione TCP in rete. L'unione del flusso TCP comporta un notevole dispendio di risorse per l'appliance ASA. Per ciascun pacchetto scartato sulla rete, l'ASA deve non solo inviare una richiesta di pacchetto TCP per la ritrasmissione del pacchetto, ma deve anche memorizzare nel buffer i pacchetti che il mittente ha continuato a inviare dopo la perdita del pacchetto.
Problemi comuni
Configurazione errata dei valori di velocità e duplex sull'interfaccia che connette l'ASA al dispositivo adiacente
Questo problema si verifica spesso quando un dispositivo viene sostituito da un'ASA. Se i valori di velocità e duplex sull'interfaccia ASA non sono gli stessi dei valori sul dispositivo adiacente, il pacchetto viene scartato sull'interfaccia. Controllare i valori della velocità e del duplex sull'interfaccia ASA e sull'interfaccia adiacente.
Controllare l'output del comando show interface dell'appliance ASA per individuare gli errori evidenti che sono sintomi del problema:
Interface Ethernet0/0 "Outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 100 Mbps
Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
MAC address 0019.2f58.c324, MTU 1500
IP address 192.168.222.122, subnet mask 255.255.255.252
124047996 packets input, 35340918453 bytes, 0 no buffer
Received 3 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
156918660 packets output, 40931551514 bytes, 0 underruns
1 output errors, 4286634 collisions, 0 interface resets
0 babbles, 123332 late collisions, 4752834 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (0/0) software (0/0)
output queue (curr/max blocks): hardware (0/245) software (0/0)
Traffic Statistics for "Outside":
124047995 packets input, 33107957301 bytes
157041993 packets output, 38195084709 bytes
103480 packets dropped
1 minute input rate 2140 pkts/sec, 477200 bytes/sec
1 minute output rate 2630 pkts/sec, 396763 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 2152 pkts/sec, 525496 bytes/sec
5 minute output rate 2701 pkts/sec, 421215 bytes/sec
5 minute drop rate, 0 pkts/sec
Invia traffico al modulo IPS
Quando l'ASA è configurata per inviare il traffico al modulo IPS, la funzione di unione dei flussi TCP viene attivata sull'ASA. Per ulteriori informazioni sulla funzione di unione dei flussi TCP, consultare la sezione Analisi dei dati di questo documento.
La modifica dell'opzione TCP MSS da parte dell'ASA causa di una leggera riduzione delle prestazioni
Per impostazione predefinita, l'ASA imposta l'opzione TCP MSS nei pacchetti SYN su 1380. Pertanto, gli endpoint TCP non devono trasmettere un segmento TCP più grande di 1380 byte. Questo valore è inferiore al valore spesso predefinito di 1460 byte e rappresenta un calo delle prestazioni TCP di circa il 6% (6%). Le prestazioni potrebbero migliorare se si aumenta il valore MSS massimo sull'appliance ASA o si disabilita la regolazione del valore MSS. Prima di modificare il comando predefinito sull'appliance ASA, valutare i rischi relativi alla potenziale frammentazione se il pacchetto viene ulteriormente incapsulato nel percorso.
Per ulteriori informazioni, fare riferimento alla sezione tcpmss della guida di riferimento dei comandi di Cisco ASA serie 5500.
Informazioni correlate