Interface Overrun 原因
- 软件级别
- ASA 系统没有以足够快的速度将数据包从接口的FIFO队列中拉出,会导致FIFO队列填满导致丢弃新的数据包
- 硬件级别
- 数据包进入接口的速率过快,导致ASA系统没有及时的拉出已有数据包,导致FIFO队列被填满导致丢包。
Interface Overrun 步骤
- 确定ASA是否遇到CPU占用导致ASA没有及时处理数据包
- 数据包超过接口速率导致ASA丢包
- 包大小
- 数据包间隙
- 协议检查-导致需要比其它数据包更多的处理
- 间歇性的流量突发,导致问题,可以在ASA接口和相邻交换机的端口上实施流量控制。
ASA 平台中所有的数据包以及所有系统功能都需要通过主CPU核心来处理,如果软件进程长时间使用CPU并没有释放,ASA将会记录为CPU占用事件。CPU占用有时候会导致单核ASA上的接口溢出错误,对于多核系统造成影响,因为其他核心还在处理数据。 show proc cpu-hog
Interface Overrun 缓解方案
interface GigabitEthernet0/2
flowcontrol send on
nameif DMZ interface
security-level 50
ip address 10.1.3.2 255.255.255.0