PDA

Bekijk Volledige Versie : Cisco ASA5510, hoge CPU load



Wido
23/12/06, 22:17
Hallo,

Sinds gisteren heb ik een Cisco ASA5510 firewall en ben er mee aan de gang gegaan in transparante modus.

Ik heb verder nog nooit met Cisco apparatuur gewerkt (op de NL-IX BGP cursus na), dus ik ben er niet al te bekend mee.

Dus ik heb bij Bol.com al heel braaf twee boeken over de ASA en PIX serie besteld, maar die laten nog wel even op zich wachten, dus ik ben maar gaan proberen.

Nu heb ik het aardig werkend voor een beginneling er mee. Hij laat alleen SSH en HTTP verkeer door.

Maar zodra ik een packetflood van enkele honderden UDP packets per seconde start richting een machine achter die firewall schiet de CPU load naar de 98%.

Deze packetflood komt vanaf 1 linux machine aan een 100mbit lijn en volgens mijn statistieken is het niet meer dan 30mbit.

Ik vind dat wel dramatische getallen, dus ik zoek het eerder bij mijn eigen onkunde met deze firewall.

Ik zal wel een regel hebben gemaakt waardoor hij al zijn traffic over de CPU stuurt, maar dat weet ik zo zelf ook niet.

Ik heb de volgende regels gemaakt:

access-list Uplink_access_in extended permit tcp any host 85.92.147.250 eq www
access-list Uplink_access_in extended permit tcp any host 85.92.147.250 eq ssh

Verder draait er de 7.2 versie van de ASA software op en de ADSM versie 5.21

Mijn volledige config staat op: http://crew.pcextreme.nl/~wido/cisco-asa-5510-01.cfg

Wat doe ik hier fout? Of kan dit apparaat echt niet meer hebben? Wat ik vreemd zou vinden aangezien hij volgens de specs meer moet kunnen.

Merlijn
24/12/06, 01:54
Hoe groot zijn de UDP packets en hoeveel verstuur je er daadwerkelijk (30Mbit aan UDP verkeer als het er maar genoeg zijn krijgt de 5510 wel op een hoge CPU load).

Wido
24/12/06, 14:39
Ik durf niet te zeggen hoe groot de packets zijn.

Stuurt een ASA alles over zijn CPU heen?

Merlijn
24/12/06, 15:20
Ik kan in de specs niet vinden wat de maximale packets/sec is. Dat is meestal belangrijker dan de througput (Mbps). Dit zou normaal bij 30Mbps geen probleem mogen zijn. Zie je hetzelfde resultaat ook met TCP verkeer of andere tests? Kun je niet in de process list zien wat er zoveel CPU gebruikt?

Wido
24/12/06, 16:06
Ik kan zonder problemen 100mbit door die firewall heen trekken met een HTTP download.

De CPU load gaat dan naar 1 of 2%, dat is dus prima.

Volgens de specs kan de firewall 300Mbps en 32.000 sessions tracken, packets per seconde heb ik nergens kunnen vinden.

Ik heb verder geen idee hoe ik een processlist op een ASA uitdraai, ik ken alleen "show cpu"

mousehouse
24/12/06, 21:47
Even rekenen... een ASA5510 doet ca. 50.000 sessies/sec. Als je een UDP stream maakt met packets van 64bytes van totaal ca. 30Mbit/s heb je het over 30.000/512 Kpackets/s ~= 58.000packets/s. De ASA houdt per UDP packet het e.e.a. bij dus loop je tegen de limiet aan van wat het device aankan. 100Mbit/s aan 'normale' packets (gemiddeld geloof ik 650bytes/packet) houdt het op 5Kpackets/s.

Je kunt met "show proc" een processlisting zien. Maar in dit geval denk ik dat die je niet veel meer gaat vertellen... Als je andere sessies er niet veel last van hebben zou ik me er niet druk over maken (wellicht een tweede, tcp-based, sessie opzetten en daar de packet-loss en latency eens van bekijken).

Mocht je hulp willen met je config mail of PM me, wellicht kan ik je nog wat verder helpen.

Wido
27/12/06, 17:05
Ik ben nog even wat gaan monitoren.

Mijn tooltje krijgt er rond de 38k UDP packets per seconde uit, dat gaat dus allemaal richting die ASA.

Ik krijg gewoon flinke packetloss op het moment dat die vuurmuur het druk krijgt, werkbaar is het dus niet meer.