Come risolvere i problemi di Sensor latenza
Articoli tecnici ID:
KB70861
Ultima modifica: 25/02/2021
Ultima modifica: 25/02/2021
Ambiente
McAfee Network Security Sensor Appliance
Riepilogo
Informazioni preliminari:
- Leggere il Guida di NSP Sensor CLI per la versione del software. Vedere docs.mcafee.com per questa guida.
- Determinare le risposte alle seguenti domande:
- Quando è stata notata la latenza per la prima volta e sono stati visualizzati eventi insoliti sulla rete?
Per determinare se si sono verificati problemi contemporaneamente alla latenza, esaminare i registri firewall, router e switch. Risolvere questi problemi. Monitorare quindi il Sensor e verificare che la latenza sia stata risolta.
- È stata modificata la configurazione della rete o Sensor appena prima o durante il periodo di latenza?
Se si invertono queste modifiche, il problema è stato risolto?
- Determinare quali Sensor software è in esecuzione sul Sensor. È la versione più recente? Per informazioni sulla versione, consultare: KB55448-attuali informazioni sulla versione di Network Security Platform
Se il software Sensor non è la versione più recente, effettuare l'upgrade per verificare se il problema si risolve.
- La quantità di traffico di rete è la scansione Sensor e rientra nella capacità del Sensor?
Nota Un problema di latenza è spesso correlato ai problemi dei pacchetti eliminati. Spesso, quando la latenza viene visualizzata in un Sensor, si verificano anche i pacchetti eliminati.
- Quando è stata notata la latenza per la prima volta e sono stati visualizzati eventi insoliti sulla rete?
- Aprire una sessione della riga di comando al Sensor tramite HyperTerminal, PuTTy o un'altra applicazione.
Nota: Avviare la registrazione della sessione nell'applicazione di connessione. Se il problema è ancora presente al termine della sessione, salvare i registri. Per la procedura di salvataggio dei registri, consultare la documentazione del prodotto.
- Se il Sensor è in esecuzione versione software 8.3 o versione successiva, raccogliere l'output del comando Mostra stato funzionalità.
Per ulteriori informazioni, consultare la guida Sensor CLI per la versione del software.
- Avviare il debug di latenza isolando la coppia di porte che mostra la latenza. Digitare i seguenti comandi, a Sensor o sull'interfaccia di destinazione, quindi premere INVIO dopo ciascuno di essi:
show intfport
Per esempioshow intfport 1A/1B/etc . Per ulteriori informazioni sulshow inftport comando, consultare: KB54660-comando Sensor: Mostra inftport
show inlinepktdropstats
Per esempioshow inlinepktdropstats 1A/1B/etc . Per ulteriori informazioni sulshow inlinepktdropstats comando, consultare: KB69806-Sensor risoluzione dei problemi: Mostra comando inlinepktdropstats
Esempio di output riportato di seguito:
intruShell@IPS-5200> show inlinepktdropstats g1/1
IP Checksum Error Drop Count : 0
TCP Checksum Error Drop Count : 0
UDP Checksum Error Drop Count : 0
ICMP Checksum Error Drop Count : 0
ICMPv6 Checksum Error Drop Count : 0
ACL Drop Count : 0
Out-Of-Context/Bad Packet Drop Count : 0
Cold Start Drop Count : 0
Off/HdrLen Error Drop Count : 0
Attack Packet Drop Count : 0
IP Reassembly Timeout Drop Count : 0
IPv6 Reassembly Timeout Drop Count : 0
TCP Out-Of-Order Timeout Drop Count : 0
TCP Protocol Error Drop Count : 0
UDP Protocol Error Drop Count : 0
ICMP Protocol Error Drop Count : 0
ICMPv6 Protocol Error Drop Count : 0
IP Protocol Error Drop Count : 0
IPv6 Protocol Error Drop Count : 0
System Out-of-Resource Drop Count : 0
Host Quarantine IPv4 Packet Drop Count : 0
Host Quarantine IPv6 Packet Drop Count : 0
Conn Limiting/L7ddos Packet Drop Count : 0
DoS Attack Packets Dropped : 0
Stateless ACL Drop Count : 0
Total CRC Error Packets Dropped : 0
Total Other Layer-2 Error Packets Dropped: 0
Total IP Spoofed Packets dropped : 0
Total IP No Credit Packets dropped : 0
- Visualizzare l'output dei comandi nel passaggio precedente.
- Se viene visualizzato un errore CRC o altri errori:
- Assicurarsi che le impostazioni Speed/duplex siano configurate sullo stesso Sensor e sui dispositivi peer.
IMPORTANTE Non configurare un dispositivo manualmente e impostare l'altro su negoziazione automatica. devono essere configurati in modo identico.
- Modificare i cavi di connessione per assicurarsi che il problema non sia un cavo difettoso. Se possibile, utilizzare cavi noti.
- Assicurarsi che le impostazioni Speed/duplex siano configurate sullo stesso Sensor e sui dispositivi peer.
- Se viene visualizzato un numero di rilascio del pacchetto di quarantena host positivo:
Verificare la presenza di IPs in quarantena in Manager e verificare se il traffico interessato è uno degli host in quarantena.
- Se viene visualizzato un numero elevato di
Conn LimitazioneL7ddos Valore drop pacchetto:
Verifica delle policy di limitazione della connessione e dei DoS webserver in Policy opzioni di ispezione.
- Se viene visualizzato un valore elevato DoS i pacchetti di attacco sono stati eliminati:
Controllare i registri degli attacchi per verificare se è in corso l'attivazione di qualsiasi DoS attacco correlato.
- Se viene visualizzato un numero di rilascio ACL senza stato:
Verificare le policy del firewall per le regole ACL applicabili
- Se viene visualizzato un errore CRC o altri errori:
- Inserire il Sensor in modalità layer2. Digitare il comando seguente e premere INVIO:
layer2 mode assert
- Riprodurre il problema:
- Se si mette il Sensor in modalità layer2 e non risolve il problema:
Il software Sensor non sta causando la latenza. Quando si mette il Sensor in modalità layer2, il Sensor funge da hub ed è invisibile alla rete. Poiché il software Sensor viene eliminato come causa, il problema è con l'hardware del sensore o da un'altra parte. (sensor hardware può includere interfacce, cavi o kit di apertura non riuscita).
Provare a utilizzare altre interfacce, cavi o kit di apertura noti, oppure ignorare fisicamente il Sensor. Se queste azioni non consentono di risolvere il problema, McAfee consiglia di utilizzare un analizzatore di rete per ispezionare il traffico di rete e risolvere il problema.
- Se il problema è stato risolto:
- Prendere il Sensor modalità layer2:
Tipolayer2 mode deassert e premere INVIO.
- Assicurarsi che il Sensor sia fuori layer2:
Tipo stato e premere INVIO.
Lo stato corretto è:
Layer 2 Status : normal (IDS/IPS/NAC).
- Continua con la risoluzione dei problemi.
- Prendere il Sensor modalità layer2:
- Se si mette il Sensor in modalità layer2 e non risolve il problema:
- Impostare il Sensor per il bilanciamento del carico del traffico prima che venga inviato al processore front-end:
- Tipo
loadbalance pre-fe e premere INVIO. - Assicurarsi che il Sensor sia bilanciato dal carico
pre-fe :
Tipoloadbalance status e premere INVIO.
Lo stato corretto è:
Primary : Pre-FE
- Tipo
- Impostare il Sensor per il bilanciamento del carico del traffico inviare il processore front-end:
- Tipo
loadbalance post-fe e premere INVIO. - Assicurarsi che il Sensor sia bilanciato dal carico
post-fe :
Tipoloadbalance status e premere INVIO.
Lo stato corretto è:
Primary : Post-FE
- Tipo
- Impostare Sensor bilanciamento del carico in modalità normale per ulteriori informazioni sulla risoluzione dei problemi:
- Tipo
loadbalance normal e premere INVIO. - Assicurarsi che Sensor bilanciamento del carico sia impostato su normale:
Tipoloadbalance status e premere INVIO.
Lo stato corretto è:
Primary : (null)
- Tipo
- Disattivare l'elaborazione dei pacchetti Layer3 sul Sensor utilizzando la modalità di debug Sensor:
- Digitare il comando seguente e premere INVIO:
debug
- Digitare il comando seguente e premere INVIO:
set l3 off
- Digitare il comando seguente e premere INVIO:
- Riprodurre il problema ed esaminare il risultato:
Se disattivazione disattiva Layer3 risolve il problema, è correlato all'elaborazione dei pacchetti Layer3 sul Sensor. Si noti questo dettaglio e lo si include all'apertura di una richiesta di assistenza.
- Riattivare l'elaborazione dei pacchetti Layer3 e continua la risoluzione dei problemi. Digitare il comando seguente e premere INVIO:
set l3 on - Verificare se la frammentazione IP (funzione Layer3) è la causa del problema disattivando:
- Tipo
debug e premere INVIO. - Tipo
set ipfrag off e premere INVIO.- Se la disattivazione della frammentazione IP risolve il problema, verificare la presenza di pacchetti frammentati nella rete.
- In caso di modifica, riattivare la frammentazione IP e continuare a eseguire ulteriori operazioni di risoluzione dei problemi:
Tiposet ipfrag on e premere INVIO.
- Tipo
- Spegni Elaborazione dei pacchetti Layer7 e rilevamento degli attacchi nella Sensor:
- Digitare il comando seguente e premere INVIO:
set l7 off - Verifica se la latenza e altri problemi sono stati risolti o il loro impatto è stato ridotto:
- Se la latenza/problemi vengono ridotti o risolti, un pacchetto Layer7 specifico all'interno del traffico causa il problema. Se si sospetta che un determinato protocollo sia la causa, utilizzare gli ACL per isolare Sensor latenza.
Creare un ACL che elimini il protocollo sospetto dall'ispezione. Quando un ACL viene definito per un protocollo specifico, il Sensor ignora il protocollo e il protocollo non viene ispezionato internamente.
Consultare il Guida alla configurazione IPS Per ulteriori informazioni sulla creazione di ACL, per la versione del software.
Nota È necessario riattivare Layer7 per consentire l'utilizzo di ACL. Tipo imposta L7 su e premere INVIO.
- Se si riscontra che un determinato protocollo è la causa della latenza:
- Annotare il protocollo, il server/host di origine e la destinazione.
- Se possibile, raccogliere una cattura di questo traffico e includere questi dettagli quando si apre la richiesta di assistenza.
- Attiva l'elaborazione dei pacchetti Layer7 e il rilevamento degli attacchi, digita il comando seguente e premi invio:
set l7 on - Passa a quello successivo passaggio numerato e continuare la risoluzione dei problemi.
- Se non è stata rilevata la causa della latenza:
- Registrare gli ACL configurati e i protocolli eliminati.
- Attiva l'elaborazione dei pacchetti Layer7 e il rilevamento degli attacchi, digita il comando seguente e premi invio:
set l7 on - Passa a quello successivo passaggio numerato e continua la risoluzione dei problemi
- Se si riscontra che un determinato protocollo è la causa della latenza:
- Se la latenza/problemi non sono ridotti:
Attiva l'elaborazione dei pacchetti Layer7 e il rilevamento degli attacchi e continua a risolvere i problemi. Digitare il comando seguente e premere INVIO:
set l7 on
- Se la latenza/problemi vengono ridotti o risolti, un pacchetto Layer7 specifico all'interno del traffico causa il problema. Se si sospetta che un determinato protocollo sia la causa, utilizzare gli ACL per isolare Sensor latenza.
- Digitare il comando seguente e premere INVIO:
- Raccogliere memoria, Sensor consumo di carico, monitoraggio della latenza e informazioni sul livello di debug delle prestazioni e dettagli relativi a TCP, UDP, ICMP e traffico frammentato.
Nota Prima di eseguire la procedura seguente, attivare i registri di sessione nel pacchetto utilizzato per gestire la sessione della riga di comando (HyperTerminal o PuTTy).
- Digitare i comandi seguenti e premere INVIO dopo ciascuno per raccogliere le informazioni:
latency-monitor enable action alert-only or latency-monitor enable action layer2-forward
Nota La modalità layer2 deve essere attiva per rendere effettiva l'azione layer2 forward. È necessario eseguire il comando modalità layer2 su per abilitare la modalità layer2.latency-monitor status sensor perf-debug
Nota Assicurarsi di impostare il tempo sufficiente per completare la procedura riportata di seguito. Ad esempio, per attivare il debug perf per 15 minuti:sensor perf-debug 15 .sensor perf-debug status set sensor-load on - Eseguire i seguenti comandi nell'ordine:
IMPORTANTE È necessario eseguire l'intero set almeno tre volte per raccogliere dati sufficienti nel tempo.show sensor-load sensor perf-debug show
Nota È necessario eseguire il comando entro l'intervallo di tempo specificato al momento dell'esecuzione Perf-Debug del sensore.sensor-datapath-stat-analysis show datapathstat core all parameter all show tcpipstats show flows show mem-usage show intfport (ad esempio,show intfport 1A/1B/etc )show inlinepktdropstats (ad esempio,show inlinepktdropstats 1A/1B/etc )show statistics l4 show statistics tcp show statistics udp show statistics icmp show statistics ipfrag
bcmcli "ports"
bcmcli "show counters"
bcmcli "show counters all"
bcmcli "ps"
bcmcli "vlan show"
bcmcli "trunk show"
l7dpstat
show datapath processunits
show all datapath error-counters
show statistics l4
l7show
show attack count
show statistics alerts
rspstat
show fe stat
- Dopo aver eseguito i comandi precedenti almeno tre volte, eseguire i comandi seguenti una volta:
Perf Sensor-upload di debug-protoStats
imposta sensore-Load disattivatosensor perf-debug off
- Digitare i comandi seguenti e premere INVIO dopo ciascuno per raccogliere le informazioni:
- Uscire dalla modalità di debug. Tipo disabilitare e premere INVIO.
- Raccogliere il SSH registri di sessione e
tracelogs . Per informazioni su come raccogliere una traccia di diagnostica dal Sensor (Trace. log), consultare: KB55549-come raccogliere una traccia di diagnostica da Network Security Platform Sensor (Trace. log)
Fornire entrambi i registri per Assistenza tecnica all'apertura di una richiesta di assistenza e includere i seguenti dettagli:- La disattivazione dell'elaborazione di layer 2, Layer 3 o Layer 7 ha effetto?
- È stato stabilito che un protocollo potrebbe essere la causa della latenza?
- Quali applicazioni sono influenzate dalla latenza?
- Sono state apportate modiche alla rete, alle applicazioni o a Sensor intorno al periodo in cui è iniziata la latenza?
- Qual era la versione software precedente installata su Sensor?
- Per quanto tempo è stata installata la versione corrente del software senza causare latenza?
Per contattare assistenza tecnica, accedere alla pagina Crea richiesta di assistenza e accedere a ServicePortal.
- Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
- Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Informazioni correlate
Per i documenti del prodotto, accedere al portale della documentazione del prodotto.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue:
GermanEnglish United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified
