Cisco ASA 5512-xのインターフェースサマリを見ていたところ、overrunというカウンタがあった。そのカウンタの値が増えていた。
増えていたのは、input error とoverrunのカウンタで、両方とも同じ値だった。
エラーカウンタのoverunは、ネットワークインターフェースでパケットが受信されたが、インターフェースFIFOキューにパケットを保存するための使用スペースがなかったときにカウントアップ(階数が増える)する。
ASAの場合は、Firewallという特性から、パケットの処理に時間がかかり、処理速度以上にパケットが送られてくると、簡単にたまってしまい、あふれる(負荷がかかっているのはCPU)。そうすると、`overrun`のエラーカウンタが増える。
状況を把握するためには、パケット着信時のCPUの状況(CPU-HOG)を調べるためのコマンドを実行し、状況を確認する。
コマンド: show proc cpu-hog
ciscoasa# show interface summary
Interface GigabitEthernet0/0 "Outside", is up, line protocol is up
Hardware is i82574L rev00, BW 1000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
Input flow control is unsupported, output flow control is off
MAC address 6073.5c68.fd67, MTU 1454
IP address 219.163.xxx.xxx, subnet mask 255.255.255.255
5961524560 packets input, 6341231636630 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
1740 input errors, 0 CRC, 0 frame, 1740 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
0 L2 decode drops
3655881367 packets output, 1089584429139 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 1 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (blocks free curr/low): hardware (478/362)
output queue (blocks free curr/low): hardware (464/346)
Traffic Statistics for "Outside":
11921162403 packets input, 12420084859214 bytes
3655881367 packets output, 1023723468517 bytes
28612147 packets dropped
1 minute input rate 318 pkts/sec, 61380 bytes/sec
1 minute output rate 241 pkts/sec, 97037 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 616 pkts/sec, 343904 bytes/sec
5 minute output rate 359 pkts/sec, 104433 bytes/sec
5 minute drop rate, 0 pkts/sec
FIFOキュー
FIFO = First In First Out。 つまり、パケットを処理するための普通のキュー。
参考