この記事では、シリアルインラインクラスタの問題をトラブルシューティングする方法について説明します。
注:非最適化ピアと代行受信ACL間のシリアルインラインクラスタリングは、WAASバージョン4.2.1で導入されました。このセクションは、以前のWAASバージョンには適用されません。
インラインインターフェイスに接続されているデバイスを確認するには、次のようにshow cdp neighborsコマンドを使用します。
WAE#show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID BBSw-R32-R62 Inline 1/1/lan 154 S I WS-C3750G-Gig 3/0/17 BBSw-R32-R62 Inline 1/0/lan 154 S I WS-C3750G-Gig 2/0/18 BBSw-R32-R62 Gig 1/0 126 S I WS-C3750G-Gig 2/0/22 PLT-32-08-7301 Inline 1/1/wan 148 R 7301 Gig 0/2 PLT-32-08-7301 Inline 1/0/wan 147 R 7301 Gig 0/1 WAE-32-08-7341 Inline 1/1/wan 145 T H OE7341 Inline 1/1/w WAE-32-08-7341 Inline 1/0/wan 145 T H OE7341 Inline 1/0/w
シリアルピアが1つ以上のスイッチで分離されている場合、ピアは上記の出力に表示されません。
シリアルピアが正しく設定されていることを確認するには、次のようにshow peer optimizationコマンドを使用します。
WAE#show peer optimization Configured Non-optimizing Peers: Peer Device Id: 00:1a:64:c2:40:8c
両方のピアでこのコマンドを実行し、各デバイスがもう一方で正しく表示されることを確認します。
デバイスIDを確認するには、次のようにshow device-idコマンドを使用します。
WAE#show device-id System Device ID is: 00:21:5e:57:e9:d4
次のトポロジ例を使用します。
BR-WAE —WAN— DC-WAE2 — DC-WAE1
または
BR-WAE1 — BR-WAE2 —WAN — DC-WAE2 — DC-WAE1
通常、最適化は、最も外側のWAE(BR-WAEとDC-WAE1、またはBR-WAE1とDC-WAE1)間で行う必要があります。これを確認するには、show statistics connectionコマンドを使用して、接続のデバイスIDを確認します。BR-WAEのPeerIDはDC-WAE1で最適化されていることを示し、DC-WAE1のPeerIDはBR-WAEで最適化していることを示す必要があります。
BR-WAE#show statistics connection Current Active Optimized Flows: 7552 Current Active Optimized TCP Plus Flows: 7563 Current Active Optimized TCP Only Flows: 0 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 12891 Current Reserved Flows: 100 Current Active Pass-Through Flows: 3053 Historical Flows: 429 D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO ConnID Source IP:Port Dest IP:Port PeerID Accel RR 786432 190.190.3.175:19268 155.155.7.208:80 00:21:5e:52:25:5c THDL 00.0% 786435 190.190.5.115:19283 155.155.0.144:80 00:21:5e:52:25:5c THDL 86.0% 786438 199.199.3.0:58436 155.155.9.15:443 00:21:5e:52:25:5c TSDL 00.0% 786440 190.190.2.231:19312 155.155.0.112:80 00:21:5e:52:25:5c THDL 86.0%
上記の出力のPeerIDは、DC-WAE1のPeerIDと一致する必要があります。
DC-WAE2上のすべての接続は、「PT Intermediate」状態である必要があります。
DC-WAE1に障害が発生したり、過負荷になった場合は、BR-WAE1とDC-WAE2の間で新しい接続を最適化する必要があります。これを確認するには、DC-WAE2でshow statistics connection optimizedコマンドをを使用しますピアデバイスとしてWAE1。
BR-WAE1が故障したり過負荷になった場合は、DC-WAE2とDC-WAE1の間で最適化が行われない。すべての接続がDC-WAE1の「非最適化ピア」状態およびDC-WAE 2の「非最適化ピア」状態であるである必要があります。予想されるshow statistics connectionコマンドの出力例を次に示します。
DC-WAE1# sh stat conn Current Active Optimized Flows: 0 Current Active Optimized TCP Plus Flows: 0 Current Active Optimized TCP Only Flows: 0 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 0 Current Reserved Flows: 100 Current Active Pass-Through Flows: 1 Historical Flows: 1 Local IP:Port Remote IP:Port Peer ID ConnType 2.74.2.162:37116 2.74.2.18:80 00:21:5e:27:ae:14 PT Non-optimizing Peer 2.74.2.18:80 2.74.2.162:37116 00:21:5e:27:ae:14 PT Non-optimizing Peer
DC-WAE2# sh stat conn Current Active Optimized Flows: 0 Current Active Optimized TCP Plus Flows: 0 Current Active Optimized TCP Only Flows: 0 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 0 Current Reserved Flows: 100 Current Active Pass-Through Flows: 1 Historical Flows: 1 Local IP:Port Remote IP:Port Peer ID ConnType 2.74.2.162:37116 2.74.2.18:80 N/A PT No Peer 2.74.2.18:80 2.74.2.162:37116 N/A PT No Peer
Central Managerの接続統計情報レポート([Device] > [Monitor] > [Optimization] > [Connections Statistics])を使用して、図1に示すように、テーブルにデバイスの接続統計情報を表示することもできます。ピアIDはデバイス名で示されます。
シリアルピアは、それぞれが他のピアと非最適化ピアとして指定されるように設定する必要があります。デバイスAがBのピアとして設定されているが、BがAのピアとして設定されていない場合は、不一致です。図2に示すように、Central Managerの[My WAN] > [Configure] > [Peer Settings]ページを使用して、すべてのシリアルピアのステータスを報告できます。正しく設定されたシリアルピアの[Mutual Pair]列に緑色のチェックマークが表示されます。緑色のチェックマークが付いていないデバイスは、シリアルピアとして設定されていないシリアルピアで誤って設定されています。
シリアルピア設定の不一致を検出するには、次のようなsyslogメッセージを探すこともできます。
%WAAS-SYS-4-900000: AD: Serial Mode configuration mismatch with peer_id=00:21:5e:27:a8:80
このエラーは、シリアルピアの設定が両方のピアデバイスで対称でないことを示しています。
一般的なMAPI AOのトラブルシューティングについては、『アプリケーションのアクセラレーションのトラブルシング』の「MAPIアクセラレータ」の項を参照してください。
シリアルインラインクラスタのMAPIアクセラレーションでは、次の問題が発生する可能性があります。
show policy-engine application dynamicコマンドを使用して、次のようにEPMおよびMAPIの動的ポリシーを確認します。
WAE34#show policy-engine application dynamic Dynamic Match Freelist Information: Allocated: 32768 In Use: 3 Max In Use: 4 Allocations: 14 Dynamic Match Type/Count Information: None 0 Clean-Up 0 Host->Host 0 Host->Local 0 Local->Host 0 Local->Any 0 Any->Host 3 Any->Local 0 Any->Any 0 Individual Dynamic Match Information: Number: 1 Type: Any->Host (6) User Id: EPM (3) <------ EPM Policy Src: ANY:ANY Dst: 10.56.45.68:1067 Map Name: uuid1544f5e0-613c-11d1-93df-00c04fd7bd09 Flags: TIME_LMT REPLACE FLOW_CNT Seconds: 1200 Remaining: 8 DM Index: 32765 Hits: 1 Flows: 0 Cookie: 0x00000000 DM Ref Index: -None- DM Ref Cnt: 0 Number: 2 Type: Any->Host (6) User Id: EPM (3) <------ EPM Policy Src: ANY:ANY Dst: 10.56.45.68:1025 Map Name: uuidf5cc5a18-4264-101a-8c59-08002b2f8426 Flags: TIME_LMT REPLACE FLOW_CNT Seconds: 1200 Remaining: 10 DM Index: 32766 Hits: 1 Flows: 0 Cookie: 0x00000000 DM Ref Index: -None- DM Ref Cnt: 0 Number: 3 Type: Any->Host (6) User Id: EPM (3) Src: ANY:ANY Dst: 10.56.45.68:1163 Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da Flags: TIME_LMT REPLACE FLOW_CNT Seconds: 1200 Remaining: 509 DM Index: 32767 Hits: 5 Flows: 0 Cookie: 0x00000000 DM Ref Index: -None- DM Ref Cnt: 0
WAE33#show policy-engine application dynamic Dynamic Match Freelist Information: Allocated: 32768 In Use: 2 Max In Use: 5 Allocations: 12 Dynamic Match Type/Count Information: None 0 Clean-Up 0 Host->Host 1 Host->Local 0 Local->Host 0 Local->Any 0 Any->Host 1 Any->Local 0 Any->Any 0 Individual Dynamic Match Information: Number: 1 Type: Host->Host (2) User Id: MAPI (5) <------ MAPI Policy Src: 10.56.45.246:ANY Dst: 10.56.45.68:1163 Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da Flags: REPLACE FLOW_CNT RSRVD_POOL REF_SRC_ANY_DM Seconds: 0 Remaining: - NA - DM Index: 32764 Hits: 12 Flows: 5 Cookie: 0x00000000 DM Ref Index: 32767 DM Ref Cnt: 0 Number: 2 Type: Any->Host (6) User Id: EPM (3) Src: ANY:ANY Dst: 10.56.45.68:1163 Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da Flags: TIME_LMT REPLACE FLOW_CNT Seconds: 1200 Remaining: - NA - DM Index: 32767 Hits: 2 Flows: 0 Cookie: 0x00000000 DM Ref Index: -None- DM Ref Cnt: 1
次のコマンドの出力を調べて、関連するMAPIカウンタが増加しているかどうかを確認します。
WAE#show stat auto-discovery Auto discovery structure: Allocation Failure: 0 Allocation Success: 12886550 Deallocations: 12872245 Timed Out: 1065677 . . . Auto discovery Miscellaneous: RST received: 87134 SYNs found with our device id: 0 SYN retransmit count resets: 0 SYN-ACK sequence number resets (syncookies): 0 SYN-ACKs found with our device id: 0 SYN-ACKs found with mirrored options: 0 Connections taken over for MAPI optimization: 0 <----- MAPI & Serial Inline cluster statistic
WAE#show stat filtering Number of filtering tuples: 44892 Number of filtering tuple collisions: 402 Packets dropped due to filtering tuple collisions: 3 Number of transparent packets locally delivered: 287133100 Number of transparent packets dropped: 0 Packets dropped due to ttl expiry: 0 Packets dropped due to bad route: 589 Syn packets dropped with our own id in the options: 0 In ternal client syn packets dropped: 0 Syn packets received and dropped on estab. conn: 1 Syn-Ack packets received and dropped on estab. conn: 22016 Syn packets dropped due to peer connection alive: 0 Syn-Ack packets dropped due to peer connection alive: 4 Packets recvd on in progress conn. and not handled: 0 Packets dropped due to peer connection alive: 1806742 Packets dropped due to invalid TCP flags: 0 Packets dropped by FB packet input notifier: 0 Packets dropped by FB packet output notifier: 0 Number of errors by FB tuple create notifier: 0 Number of errors by FB tuple delete notifier: 0 Dropped WCCP GRE packets due to invalid WCCP service: 0 Dropped WCCP L2 packets due to invalid WCCP service: 0 Number of deleted tuple refresh events: 0 Number of times valid tuples found on refresh list: 0 SYN packets sent with non-opt option due to MAPI: 0 <----- MAPI & Serial Inline Cluster statistic Internal Server conn. not optimized due to Serial Peer: 0 Duplicate packets to synq dropped: 8
ダイナミックポリシーとフィルタリングおよび自動検出の統計情報が役に立たない場合は、デバッグログを有効にして、テクニカルサポートエンジニアがシリアルインラインクラスタのMAPI高速接続で発生している問題をトラブルシューティングできるようにします。
次のコマンドを実行して、デバッグを有効にします。
WAE#debug policy-engine connection WAE#debug auto-discovery connection WAE#debug filtering connection WAE#debug connection acl
ディスクのロギングは常に有効にする必要があり、ディスクのログレベルをデバッグに設定する必要があります。
注:デバッグロギングはCPUに負荷がかかり、大量の出力を生成する可能性があります。実稼働環境では慎重に慎重に使用してください。
この項では、代行受信ACLに関連する次の問題をトラブルシューティングする方法について説明します。
接続が期待どおりに最適化されていない場合は、次の原因が考えられます。
1.インターフェイスがダウンしている可能性があります。インラインインターフェイスの場合、すべてのトラフィックはハードウェアでバイパスされます。次のコマンドを使用して、インターフェイスのステータスを確認します。
WAE#show interface inlinegroup 1/0 Interface is in intercept operating mode. <------ Interface must be in intercepting mode Standard NIC mode is off.
2.インターフェイスがアップしている場合は、接続の状態を確認し、接続がパススルーの場合は、次のコマンドを使用して理由を確認します。
WAE#show stat connection pass-through Current Active Optimized Flows: 9004 Current Active Optimized TCP Plus Flows: 9008 Current Active Optimized TCP Only Flows: 0 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 10294 Current Reserved Flows: 100 Current Active Pass-Through Flows: 2994 Historical Flows: 443 Local IP:Port Remote IP:Port Peer ID ConnType 155.155.14.9:21 199.199.1.200:28624 N/A PT App Cfg 155.155.13.92:21 199.199.1.147:26564 N/A PT App Cfg <----- Pass-through reason
3.理由が「PT代行受信ACL」と表示される場合は、代行受信ACLがSYNパケットを拒否したことが原因です。
次の出力を見ると、ACLをドリルダウンして、一致した条件を確認できます。
WAE#show ip access-list Space available: 49 access lists 499 access list conditions Standard IP access list test 1 permit any (1296 matches) (implicit deny any: 0 matches) total invocations: 1296 Interface access list references: None Configured Application access list references: INTERCEPTION Standard test Any IP Protocol
接続が期待どおりにバイパスされない場合は、次のコマンドを使用して、インターセプションACL設定が有効になっていることを確認します。
WAE#show ip access-list Space available: 49 access lists 499 access list conditions Standard IP access list test 1 permit any (1296 matches) (implicit deny any: 0 matches) total invocations: 1296 Interface access list references: None Configured Application access list references: INTERCEPTION Standard test Any IP Protocol
上記の出力のヒットカウントを確認し、期待どおりに増加しているかどうかを確認します。
上記のコマンドを使用しても問題が解決しない場合は、次のデバッグロギングを有効にして、対象のSYNパケットに対するポリシーエンジンの決定を探します。
WAE#debug policy-engine connection
ディスクのロギングは常に有効にする必要があり、ディスクのログレベルをデバッグに設定する必要があります。
注:デバッグロギングはCPUに負荷がかかり、大量の出力を生成する可能性があります。実稼働環境では慎重に慎重に使用してください。