WAAS - Resolución de problemas de condiciones de sobrecarga

Capítulo: Resolución de problemas de condiciones de sobrecarga

Este artículo describe cómo resolver problemas de sobrecarga.

Contenido

• 1 Overview
• 2 Cómo supervisar flujos de TFO y condiciones de sobrecarga
  • 2.1 Verificación del límite de conexión TCP
  • 2.2 Verificación de las Conexiones TCP Optimizadas
• 3 Impacto en la sobrecarga del Acelerador de aplicaciones MAPI
• 4 Soluciones para condiciones de sobrecarga

Overview

La red Cisco WAAS se habría diseñado para optimizar un determinado número de conexiones TCP, según los requisitos del cliente. Según el modelo de WAE, podría haber limitaciones de conexión adicionales para los aceleradores de aplicaciones CIFS y SSL. Cuando se excede el límite de conexión total o un límite de conexión del acelerador de aplicaciones específico, el dispositivo se sobrecarga. En esta situación, el tráfico que entra en el dispositivo es mayor de lo que puede gestionar y, por lo tanto, es posible que el tráfico no esté optimizado según lo esperado (el tráfico sobrecargado pasa a través de un proceso sin optimización).

Cómo supervisar flujos de TFO y condiciones de sobrecarga

Cuando se sobrecarga un dispositivo del acelerador WAAS, normalmente aparece la siguiente alarma de Central Manager: Ingresando el estado de sobrecarga debido a conexiones máximas (nnn). El número nnn es el número de veces que el WAE se ha sobrecargado desde el último reinicio.

El dispositivo también registra un mensaje de error syslog similar al siguiente: Sistema: %WAAS-SYSMON-3-445015: Falla detectada: El acelerador TFO está sobrecargado (límite de conexión)

Puede utilizar varios comandos show en la CLI para determinar el número de conexiones permitidas y reales y recopilar más información.

Verificación del límite de conexión TCP

El primer comando útil es show tfo detail, que puede indicarle cuántas conexiones TFO optimizadas puede manejar el dispositivo, de la siguiente manera:

wae-7341# show tfo detail
   
  Policy Engine Config Item            Value
  -------------------------            -----
  State                                Registered
  Default Action                       Use Policy
  Connection Limit                     12000            <-----Maximum number of TFO optimized connections
  Effective Limit                      11988
  Keepalive timeout                    3.0 seconds

El valor del límite de conexión le indica que este dispositivo WAAS puede admitir conexiones optimizadas para TFO 12000.

El límite efectivo puede ser inferior al límite de conexión si MAPI AO ha reservado algunas conexiones. Las conexiones reservadas se restan del límite de conexión para obtener el límite efectivo.

Verificación de las Conexiones TCP Optimizadas

Para entender los flujos TCP en el dispositivo, puede utilizar el comando show statistics connection (en la versión 4.1.1, utilice el comando show statistics connection all). Este comando muestra los flujos de TFO/DRE/LZ actualmente manejados, los flujos de transferencia y los flujos que está manejando un acelerador de aplicaciones específico. A continuación se muestra un ejemplo de este comando:

wae# show statistics connection
  
Current Active Optimized Flows:                      5
   Current Active Optimized TCP Plus Flows:          5
   Current Active Optimized TCP Only Flows:          0
   Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              12             <---------- Added in 4.1.5
Current Active Pass-Through Flows:                   0
Historical Flows:                                    143
  
  
D:DRE,L:LZ,T:TCP Optimization,
A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO
  
ConnID  Source IP:Port        Dest IP:Port          PeerID             Accel
  
92917   10.86.232.131:41197   70.70.7.11:3268       00:1a:64:69:19:fc  TDL
92918   10.86.232.131:41198   70.70.7.11:3268       00:1a:64:69:19:fc  TDL
92921   10.86.232.131:41216   70.70.7.11:3268       00:1a:64:69:19:fc  TDL
94458   10.86.232.131:45354   70.70.7.11:1026       00:1a:64:69:19:fc  TDL
36883   10.86.232.136:1857    10.86.232.131:1026    00:1a:64:69:19:fc  TDL

Desde la primera línea del resultado (Flujos optimizados activos actuales), puede ver que el dispositivo actualmente tiene cinco flujos optimizados activos. Desde el segundo contador (Flujos TCP Plus Optimizados Activos Actuales), puede ver que todos se manejan con optimización TFO/DRE/LZ (TFO Plus significa que la optimización de DRE y/o LZ se está utilizando además de TFO). El tercer contador (Flujos solo TCP optimizados activos actuales) muestra los flujos optimizados solo por TFO.

Otro contador útil es el flujo de detección automática activa actual, que muestra los flujos que no se han configurado completamente para convertirse en flujos optimizados o flujos de transferencia. Para configurarse completamente, la conexión debe ver el protocolo SYN, SYN ACK, ACK, que es útil tener en cuenta cuando se trata de una condición de sobrecarga. El contador Flujos de paso activo actuales muestra las conexiones que el dispositivo ha determinado que pasan o donde el dispositivo no vio la configuración SYN, SYN ACK, ACK. Estos flujos no se contarán como flujos optimizados. En el caso de los flujos de transferencia, un dispositivo debe poder gestionar hasta 10 veces el número de flujos optimizados para los que está clasificado.

El contador Corrientes reservadas actuales muestra el número de conexiones reservadas para el acelerador MAPI. Para obtener más detalles sobre las conexiones MAPI reservadas y su impacto en la sobrecarga del dispositivo, vea la sección Impacto en la sobrecarga del Acelerador de aplicaciones MAPI.

La suma de los siguientes tres contadores indica lo cerca que está el dispositivo WAE de su límite de conexión:

• Flujos optimizados activos actuales
• Flujos de detección automática activa actuales
• Flujos reservados actuales (disponibles sólo en 4.1.5 y posteriores)

Si esta suma es igual o superior al límite de conexión, el dispositivo se encuentra en una condición de sobrecarga.

Los detalles sobre los cinco flujos optimizados se muestran en la tabla que se encuentra debajo de los contadores.

Otro comando que puede utilizar para ver el número de flujos TFO actualmente en un dispositivo es el comando show statistics tfo detail. Dos de los contadores más útiles en la salida son "Nº de conexiones activas" y bajo el Policy Engine Statistics las "conexiones activas", como se indica a continuación:

wae# show statistics tfo detail
  
 Total number of connections                          : 22915
 No. of active connections                            : 3                <-----Current optimized connections
 No. of pending (to be accepted) connections          : 0
 No. of bypass connections                            : 113
 No. of normal closed conns                           : 19124
 No. of reset connections                             : 3788
    Socket write failure                              : 2520
    Socket read failure                               : 0
    WAN socket close while waiting to write           : 1
    AO socket close while waiting to write            : 86
    WAN socket error close while waiting to read      : 0
    AO socket error close while waiting to read       : 80
    DRE decode failure                                : 0
    DRE encode failure                                : 0
    Connection init failure                           : 0
    WAN socket unexpected close while waiting to read : 1048
    Exceeded maximum number of supported connections  : 0 
    Buffer allocation or manipulation failed          : 0
    Peer received reset from end host                 : 53
    DRE connection state out of sync                  : 0
    Memory allocation failed for buffer heads         : 0
    Unoptimized packet received on optimized side     : 0
 Data buffer usages:
    Used size:          0 B,  B-size:        0 B,  B-num: 0
    Cloned size:    54584 B,  B-size:    73472 B,  B-num: 111
 Buffer Control:
    Encode size:        0 B,  slow:          0,  stop:          0
    Decode size:        0 B,  slow:          0,  stop:          0
 AckQ Control:
    Total:          0, Current:          0
 Scheduler:
    Queue Size: IO:          0,  Semi-IO:          0, Non-IO:          0
    Total Jobs: IO:     219110,  Semi-IO:     186629, Non-IO:      49227
  
  Policy Engine Statistics
  -------------------------
  Session timeouts: 0,  Total timeouts: 0
  Last keepalive received 00.0 Secs ago
  Last registration occurred 8:03:54:38.7 Days:Hours:Mins:Secs ago
  Hits:                    52125, Update Released:                  17945
  Active Connections:          3, Completed Connections:            37257  <-----Active Connections
  Drops:                       0
  Rejected Connection Counts Due To: (Total: 12)
     Not Registered      :         12,  Keepalive Timeout   :          0
     No License          :          0,  Load Level          :          0
     Connection Limit    :          0,  Rate Limit          :          0   <-----Connection Limit
     Minimum TFO         :          0,  Resource Manager    :          0
     Global Config       :          0,  Server-Side         :          0
     DM Deny             :          0,  No DM Accept        :          0
  
  Auto-Discovery Statistics
  -------------------------
  Total Connections queued for accept:  22907
  Connections queuing failures:         0
  Socket pairs queued for accept:       0
  Socket pairs queuing failures:        0
  AO discovery successful:              0
  AO discovery failure:                 0

En algunos casos, los dos contadores diferirán y la razón es que el "No. de conexiones activas" muestra todos los flujos actuales que están siendo optimizados por TFO, TFO/DRE, TFO/DRE/LZ, TFO/DRE/LZ y un acelerador de aplicaciones. Las "Conexiones activas" en las estadísticas del motor de políticas incluyen todos los flujos en el estado anterior, además de las conexiones optimizadas solo por TFO y un acelerador de aplicaciones. Esta situación significa que un flujo TCP ha entrado y coincidido con un clasificador del acelerador de aplicaciones, pero el intercambio de señales SYN, SYN ACK y ACK no se ha completado.

En muchos casos de sobrecarga de TFO, si el problema persiste, puede observar estos comandos y determinar si el número de flujos optimizados está alrededor del número nominal de conexiones TCP optimizadas para el hardware. Si lo es, puede ver los detalles del flujo y ver qué está usando todos los flujos para determinar si este tráfico es legítimo y sobrecarga el dispositivo o si es un virus, un escáner de seguridad o algo más que ocurre en la red.

El contador "Límite de conexión" debajo de las estadísticas del motor de políticas informa el número de conexiones rechazadas y pasadas porque el WAE ha superado su número nominal de conexiones TCP optimizadas. Si este contador es alto, significa que WAE está recibiendo con frecuencia más conexiones de las que puede manejar.

Si el número de conexiones optimizadas no se acerca al número nominal de conexiones TCP optimizadas y todavía está recibiendo una alarma de sobrecarga, entonces debería observar los flujos de detección automática activa actual del comando show statistics connection o las "Conexiones activas" bajo Estadísticas del Motor de Políticas del comando show statistics to detail. En algunos casos, el número de conexiones optimizadas puede ser muy bajo, pero las conexiones activas en las estadísticas del motor de políticas son aproximadamente iguales al número nominal de flujos optimizados para el hardware. Esta situación significa que hay muchos flujos que coinciden con un clasificador, pero que no están completamente establecidos. Cuando un TCP SYN coincide con un clasificador, reservará una conexión optimizada. Esta conexión no aparecerá en el conteo de conexiones TCP optimizadas hasta que se complete el intercambio de señales TCP y se inicie la optimización. Si el dispositivo determina que el flujo no debe optimizarse, se eliminará del conteo de conexiones activas en las Estadísticas del Motor de Políticas.

Para resolver problemas adicionales en los casos en los que se produce una sobrecarga de TFO y las Conexiones Activas de Estadísticas del Motor de Políticas parecen estar utilizando todas las conexiones TCP optimizadas en el dispositivo, utilice el comando show statistics Accelerator detail. En el resultado de este comando, observe las Conexiones activas bajo las Estadísticas del Motor de Políticas para cada acelerador de aplicaciones para determinar qué acelerador de aplicaciones está recibiendo estas conexiones que no están completamente establecidas. A continuación, observe en qué estado podrían estar estos flujos mediante el comando show statistics filter, que le proporciona el número de tuplas de filtrado en el dispositivo, de la siguiente manera:

wae# show statistics filtering
  
Number of filtering tuples:                             18
Number of filtering tuple collisions:                   0
Packets dropped due to filtering tuple collisions:      0
Number of transparent packets locally delivered:        965106
Number of transparent packets dropped:                  0
Packets dropped due to ttl expiry:                      0
Packets dropped due to bad route:                       10
Syn packets dropped with our own id in the options:     0
Syn-Ack packets dropped with our own id in the options: 0
Internal client syn packets dropped:                    0
Syn packets received and dropped on estab. conn:        0
Syn-Ack packets received and dropped on estab. conn:    0
Syn packets dropped due to peer connection alive:       525
Syn-Ack packets dropped due to peer connection alive:   0
Packets recvd on in progress conn. and not handled:     0
Packets dropped due to peer connection alive:           1614
Packets dropped due to invalid TCP flags:               0
Packets dropped by FB packet input notifier:            0
Packets dropped by FB packet output notifier:           0
Number of errors by FB tuple create notifier:           0
Number of errors by FB tuple delete notifier:           0
Dropped WCCP GRE packets due to invalid WCCP service:   0
Dropped WCCP L2 packets due to invalid WCCP service:    0
Number of deleted tuple refresh events:                 0
Number of times valid tuples found on refresh list:     0

El número de tuplas de filtrado es el número de flujos en el dispositivo que se optimizan, en el paso a través, en el estado FIN WAIT, en el estado de configuración, etc. Cada flujo establecido aparece como dos tuplas, una para cada lado del flujo, por lo que el número que se ve en este resultado puede ser mucho mayor que el número de flujos que se ven en los otros comandos.

Para obtener más información sobre los flujos en la lista de filtros, puede utilizar el comando show filter list de la siguiente manera:

wae# show filtering list
  
E: Established, S: Syn, A: Ack, F: Fin, R: Reset
s: sent, r: received, O: Options, P: Passthrough
B: Bypass, L: Last Ack, W: Time Wait, D: Done
T: Timedout, C: Closed
  
   Local-IP:Port        Remote-IP:Port          Tuple(Mate)        State
  10.86.232.82:23      10.86.232.134:41784 0xbc1ae980(0x0       )   E
 10.86.232.131:58775      70.70.7.11:3268  0x570b2900(0x570b2b80)   EW
    70.70.7.11:3268    10.86.232.131:58775 0x570b2b80(0x570b2900)   EDL
    70.70.7.11:3268    10.86.232.131:57920 0x570b2d80(0x570b2800)   E
 10.86.232.131:57920      70.70.7.11:3268  0x570b2800(0x570b2d80)   E
  10.86.232.82:23      161.44.67.102:4752  0xbc1aee00(0x0       )   E
 10.86.232.131:58787      70.70.7.11:1026  0x570b2080(0x570b2e80)   EW
    70.70.7.11:1026    10.86.232.131:58787 0x570b2e80(0x570b2080)   EDL
 10.86.232.131:48698      70.70.7.11:1026  0x570b2f00(0x570b2880)   PE
 10.86.232.131:58774      70.70.7.11:389   0x570b2300(0x570b2180)   EW
    70.70.7.11:389     10.86.232.131:58774 0x570b2180(0x570b2300)   EDL
 10.86.232.131:58728      70.70.7.11:1026  0x570b2380(0x570b2a00)   E
 10.86.232.131:58784      70.70.7.11:1026  0x570b2e00(0x570b2980)   EW
    70.70.7.11:1026    10.86.232.131:58784 0x570b2980(0x570b2e00)   EDL
    70.70.7.11:1026    10.86.232.131:48698 0x570b2880(0x570b2f00)   PE
 10.86.232.131:58790      70.70.7.11:3268  0x570b2100(0x570b2c80)   EW
    70.70.7.11:3268    10.86.232.131:58790 0x570b2c80(0x570b2100)   EDL

Si el comando show statistics Accelerator all muestra qué acelerador de aplicaciones está usando todas las conexiones TFO optimizadas, puede filtrar en ese puerto o tráfico. Por ejemplo, si desea filtrar el tráfico del puerto 80, utilice la lista de filtros show | I:80 orden.

Observe la leyenda en la columna Estado. En el caso de que los flujos se encuentren en el estado SYN, es posible que vea muchos flujos con un estado de S. Si el WAE ha devuelto el SYN ACK con opciones configuradas, puede ver el estado SAsO. Esta indicación puede ayudarle a determinar el estado del flujo y, a partir de ahí, puede determinar si hay un problema de ruteo, un virus o un problema con el WAE que no libera conexiones. Es posible que necesite seguimientos para determinar exactamente lo que está sucediendo con los flujos, pero los comandos anteriores deberían darle una idea de qué buscar.

Impacto en la sobrecarga del Acelerador de aplicaciones MAPI

A menudo, las conexiones reservadas del acelerador de aplicaciones MAPI pueden provocar una sobrecarga de TFO, por lo que resulta útil comprender el proceso de cómo el acelerador de aplicaciones MAPI reserva las conexiones.

El acelerador de aplicaciones MAPI reserva conexiones TFO para asegurarse de tener suficientes conexiones disponibles para acelerar todas las conexiones actuales y futuras que los clientes realizarán a los servidores Exchange. Es normal que un cliente MAPI realice varias conexiones. Si un cliente realiza la conexión inicial a través del acelerador de aplicaciones MAPI, pero las conexiones subsiguientes fallan en el acelerador de aplicaciones MAPI, existe el riesgo de que la conexión del cliente falle.

Para evitar estos posibles fallos de conexión, el acelerador de aplicaciones MAPI reserva los recursos de conexión de la siguiente manera:

• Antes de que comiencen las conexiones de cualquier cliente, se reservan 10 conexiones, como búfer para las nuevas conexiones previstas.
• Para cada conexión cliente al servidor, reserva tres conexiones TFO para ese par cliente-servidor y una de las tres se utiliza como conexión activa para esta primera conexión. Si el mismo cliente realiza una segunda o tercera conexión con el mismo servidor, éstas se manejan fuera del grupo de conexiones reservado. Si un cliente solo realiza una única conexión con el servidor, esas dos conexiones reservadas se dejarán sin utilizar y permanecerán en el conjunto reservado. Si el cliente realiza una conexión a un servidor diferente, se reservan tres nuevas conexiones para ese par cliente-servidor.

Todas estas conexiones reservadas están diseñadas para mejorar el rendimiento y reducir la posibilidad de que una conexión cliente falle debido a la incapacidad de realizar conexiones adicionales a través del acelerador de aplicaciones MAPI.

La sobrecarga se produce cuando los flujos optimizados activos actuales + los flujos de detección automática activa actuales + los flujos reservados actuales son mayores que el límite de conexión fijo del dispositivo. En general, las nuevas conexiones pasarían a continuación. Sin embargo, es posible que se sigan optimizando algunas nuevas conexiones MAPI. Cuando el dispositivo se encuentra en el punto de sobrecarga, si un cliente realiza una solicitud adicional a un servidor MAPI al que ya se ha conectado, se utilizan las conexiones reservadas. Pero si no hay suficientes conexiones reservadas (por ejemplo, si un cliente realiza una cuarta conexión con el mismo servidor MAPI y el WAE ya está en sobrecarga), podría producirse una condición de conexión de escape, lo que podría conducir a un comportamiento erróneo como un cliente que recibe muchas copias duplicadas del mismo mensaje de correo único.

Si el sistema no reenvió la conexión al acelerador de aplicaciones MAPI, debería ver "PT Project Resources" o "PT in progress", dependiendo de si hay actividad en la conexión. Si la conexión se reenvió al acelerador de aplicaciones MAPI y luego la reserva falló, la conexión se marcará con una "G" para el Acelerador, en lugar de una "M" (en la salida del comando show statistics connection optimizada mapi). Para ver un ejemplo de este comando, vea el artículo Solución de problemas de la AO MAPI.

Si experimenta condiciones frecuentes de sobrecarga, es importante comprender cómo los clientes de Outlook están realizando conexiones (cuántas conexiones a cuántos servidores Exchange). Con Outlook ejecutándose en un cliente, mantenga presionada la tecla Ctrl mientras hace clic con el botón derecho del ratón en el icono de Outlook de la bandeja del sistema en la barra de tareas. Elija Estado de conexión para mostrar la lista de servidores a los que se ha conectado el cliente de Outlook. A partir de eso, puede ver cuántas conexiones está realizando el cliente y cuántos servidores Exchange diferentes. Si el cliente realiza conexiones a varios servidores diferentes, sería útil investigar formas de consolidar el correo para que un usuario solo abra conexiones MAPI a un único servidor Exchange y utilice varias conexiones a ese servidor.

También es útil investigar si hay otras aplicaciones que podrían estar realizando conexiones MAPI.

Soluciones para condiciones de sobrecarga

Examine las conexiones optimizadas para ver si son legítimas. En muchos casos, un ataque de denegación de servicio (DoS) que se produce en la red puede estar provocando que WAE intente optimizar las conexiones. Si es así, emplee un mecanismo de protección de DoS en la red para cerrar las conexiones de forma proactiva.

En los casos en los que las conexiones son legítimas, el dispositivo WAE implementado en la ubicación tiene un tamaño inferior al normal y es posible que deba actualizarse, o bien se puede implementar un dispositivo WAE adicional para aumentar la escalabilidad en ese sitio.