Interface Overrun 原因

  • 软件级别
    • ASA 系统没有以足够快的速度将数据包从接口的FIFO队列中拉出,会导致FIFO队列填满导致丢弃新的数据包
  • 硬件级别
    • 数据包进入接口的速率过快,导致ASA系统没有及时的拉出已有数据包,导致FIFO队列被填满导致丢包。

Interface Overrun 步骤

  1. 确定ASA是否遇到CPU占用导致ASA没有及时处理数据包
  2. 数据包超过接口速率导致ASA丢包
    1. 包大小
    2. 数据包间隙
    3. 协议检查-导致需要比其它数据包更多的处理
  3. 间歇性的流量突发,导致问题,可以在ASA接口和相邻交换机的端口上实施流量控制。

ASA 平台中所有的数据包以及所有系统功能都需要通过主CPU核心来处理,如果软件进程长时间使用CPU并没有释放,ASA将会记录为CPU占用事件。CPU占用有时候会导致单核ASA上的接口溢出错误,对于多核系统造成影响,因为其他核心还在处理数据。 show proc cpu-hog

Interface Overrun 缓解方案

  1. interface GigabitEthernet0/2
  2.  flowcontrol send on
  3.  nameif DMZ interface
  4.  security-level 50
  5.  ip address 10.1.3.2 255.255.255.0