Comprensión de los diferentes elementos de memoria de ASA/FTD

Opciones de descarga

  • PDF     (244.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (84.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (71.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:29 de enero de 2025
ID del documento:222737

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la comprensión de varios componentes de memoria en Adaptive Security Appliance (ASA)/Firepower Threat Defence (FTD).

    Antecedentes

    Si recibe notificaciones relacionadas con la memoria, en este artículo se determina cuándo tomar medidas preventivas y cuándo ignorarlas. El sondeo del Protocolo simple de administración de red (SNMP) se utiliza normalmente para iniciar alarmas relacionadas con la memoria. Este SNMP utilizará el resultado del comando show memory detail para recopilar datos y activar las alertas.

    Información general

    En este artículo, se discuten los elementos de memoria mencionados a continuación 

    • MEMPOOL_HEAPCACHE_X
    • MEMPOOL_GLOBAL_SHARED 
    • MEMPOOL_DMA y MEMPOOL_DMA_ALT1

    MEMPOOL_HEAPCACHE_X

    Alertas De Memoria Heapcache

    1. Comportamiento De Asignación De Heapcache
      • Heapcache es el conjunto preferido para las asignaciones de memoria.
      • Una vez que se agota el conjunto Heapcache, se toman más asignaciones del conjunto compartido global.
      • El conjunto compartido global extrae la memoria de la memoria del sistema según sea necesario.
    2. Alertas De Memoria Heapcache
      • Recibir alertas de memoria de caché de heap es normal y no indica un problema.
      • Se espera un uso alto de la memoria de caché de Hepa porque es el primer conjunto asignado para uso.
    3. Punto clave para supervisar
      • Céntrese en el uso de memoria del sistema.
      • Si la memoria del sistema es suficiente, no necesita preocuparse por las alertas para los grupos MEMPOOL_HEAPCACHE_0 o MEMPOOL_GLOBAL_SHARED.
      • Supervise la memoria del sistema con las herramientas SNMP para detectar cualquier umbral crítico o degradación del rendimiento.
    4. Alertas y comportamiento esperado
      • El comportamiento de reserva de memoria es normal.
      • El sistema reserva y asigna la memoria dinámicamente según sea necesario.
      • Puede ignorar de forma segura las alertas relacionadas con Heapcache o los agrupamientos compartidos globales a menos que la memoria del sistema en sí se vuelva críticamente alta.

    MEMPOOL_GLOBAL_SHARED

    • Gestión de memoria dinámica
      MEMPOOL_GLOBAL_SHARED no preasigna toda la memoria en el momento del arranque. En su lugar, solicita memoria al sistema operativo a demanda según sea necesario.
    • Liberación de memoria
      Cuando se libera una gran cantidad de memoria, MEMPOOL_GLOBAL_SHARED devuelve la memoria al sistema operativo.
    • Crecimiento/contracción elástica
      El tamaño de MEMPOOL_GLOBAL_SHARED se amplía y contrae dinámicamente en función de la carga de trabajo. Este comportamiento adaptativo garantiza un uso eficiente de la memoria.
    • Caché mínima para velocidad
      Una pequeña cantidad de memoria permanece asignada dentro de MEMPOOL_GLOBAL_SHARED para acelerar futuras solicitudes de asignación de memoria y evitar la latencia.

    Contexto de alerta

    Si aparece esta alerta, describe el comportamiento esperado de MEMPOOL_GLOBAL_SHARED. Dado que crece, reduce y administra la memoria dinámicamente, el comportamiento es normal y no indica ningún problema. Puede ignorar con seguridad esta alerta a menos que se observen problemas específicos de rendimiento relacionados con la memoria.

    MEMPOOL_DMA y MEMPOOL_DMA_ALT1

    Descripción General de Grupos de Memoria DMA

    El sistema de memoria de acceso directo a memoria (DMA) de Cisco ASA/FTD consta de dos grupos de memoria clave:

    1. MEMPOOL_DMA
    2. MEMPOOL_DMA_ALT1

    Estos dos grupos funcionan juntos para garantizar una disponibilidad de memoria fluida:

    • MEMPOOL_DMA es el conjunto principal.

    • MEMPOOL_DMA_ALT1 sirve como copia de seguridad cuando se agota el conjunto principal.

    Uso de la memoria DMA

    El grupo de memoria DMA se utiliza principalmente para tareas que requieren acceso a datos de alta velocidad y operaciones con uso intensivo de memoria. Se utiliza comúnmente para funciones relacionadas con VPN y otros procesos, incluyendo:

    1. Servicios de red privada virtual (VPN):

      • IPSec (IKEv1/IKEv2)

      • Proxy de seguridad de la capa de transporte (TLS)

      • WebVPN (AnyConnect/VPN sin cliente)
    2. Servicios de seguridad y registro:
      • Sistema de prevención de intrusiones (IPS)
      • Syslogging ("logging host ...")
      • Conexiones de shell seguro (SSH)

    3. Gestión y otros servicios:

      • Adaptive Security Device Manager (ASDM) (servidor HTTPS ASA)

      • Servidor de protocolo de configuración dinámica de host (DHCP)

    Comportamiento de los agrupamientos de memoria DMA

    1. Asignación de tiempo de arranque:
      En el arranque, el ASA asigna la memoria DMA en función de las funciones habilitadas.
    2. Uso de memoria dinámica:

      • Procesa la solicitud de memoria de MEMPOOL_DMA cuando es necesario.

      • Cuando los procesos han finalizado, la memoria vuelve al grupo libre (con un ligero retraso).

    3. Reserva a MEMPOOL_DMA_ALT1:

      • Si se utiliza completamente MEMPOOL_DMA, el sistema comienza automáticamente a utilizar MEMPOOL_DMA_ALT1.

      • Esto garantiza un funcionamiento continuo sin interrupciones relacionadas con la memoria.

    ¿Cuándo debe preocuparse?

    • Si la utilización de MEMPOOL_DMA es alta (cercana al 100%), no hay ningún problema inmediato mientras MEMPOOL_DMA_ALT1 tenga suficiente memoria.

    • Si MEMPOOL_DMA_ALT1 también comienza a llenarse, indica un problema de agotamiento de memoria y requiere una investigación adicional.

    • Acción requerida:

      • Supervise el uso de MEMPOOL_DMA_ALT1.

      • Si ambos grupos se acercan a la utilización completa, investigue el uso de funciones, la actividad de registro y los procesos que consumen mucha memoria.

    si está observando problemas relacionados con la memoria DMA alta, verifique:

    Servidor HTTP: si HTTP está configurado, asignará bloques de 4, 80, 1550, 2048 y 2560 bytes, lo que dará como resultado el uso de aproximadamente 7 Mb de DMA. Intente inhabilitar el acceso ASDM por el momento.
    Servidor URL: Si se configura, se agregarán otros 81 Kb de memoria DMA.
    Intercambio de claves de Internet (IKE) y WebVPN: Si tiene activada cualquier forma de VPN, la memoria se extraerá del grupo de memoria DMA.
    Si está utilizando una VPN, entonces eso también podría utilizar esta memoria. Verifique el uso de la VPN para asegurarse de que no exceda la capacidad de la caja.
    Registro: El DMA utilizado para el registro depende del tamaño de la cola y del número de hosts de registro.
    #sh run log
    no utilizar cola de registro 0
    no utilizar la cola de registro 8192
    no configure más de un servidor de registro
    no configure tramas jumbo

    Supervisión SNMP

    Las bases de información de administración (MIB) mostradas se utilizan para la supervisión de la memoria SNMP.

    Comprensión de los valores Counter64 en estas MIB y cómo se pueden utilizar:

    Valores Counter64 en MIB

    1. MIB .1.3.6.1.4.1.9.9.221.1.1.1.18: - Esta MIB representa el objeto cempMemPoolHCUsed, que es un contador de alta capacidad para el conjunto de memoria utilizado. Proporciona la cantidad de memoria utilizada en el conjunto, medida en bytes.
    2. MIB .1.3.6.1.4.1.9.9.221.1.1.1.20: - Esta MIB representa el objeto cempMemPoolHCFree, que es un contador de alta capacidad para el conjunto de memoria libre. Proporciona la cantidad de memoria libre del grupo, medida en bytes.

    Propósito de MIBs Específicas:

    1. MEMPOOL_MSGLYR_HB: - Representa el grupo de memoria para el latido de la capa de mensajes. Se utiliza para supervisar la memoria asignada a los mensajes de latido en el sistema.
    2. MEMPOOL_MSGLYR: - Representa el grupo de memoria para la capa de mensajes. Se utiliza para supervisar la memoria asignada para las operaciones generales de la capa de mensajes en el sistema.
    3. MEMPOOL_HEAPCACHE_1: - Representa el grupo de memoria para la caché de montón 1. Se utiliza para supervisar la memoria asignada para la primera caché de montón del sistema.
    4. MEMPOOL_HEAPCACHE_0: - Representa el conjunto de memoria para la caché de montón 0. Se utiliza para supervisar la memoria asignada para la caché de montón principal en el sistema.
    5. MEMPOOL_DMA_ALT1: - Representa el conjunto de memoria para la alternativa 1 de DMA. Se utiliza para supervisar la memoria asignada para las primeras operaciones alternativas de DMA en el sistema.
    6. MEMPOOL_DMA: - Representa el conjunto de memoria para DMA. Se utiliza para supervisar la memoria asignada para las operaciones DMA en el sistema.
    7. MEMPOOL_GLOBAL_SHARED: - Representa el conjunto de memoria para la memoria compartida global. Se utiliza para supervisar la memoria asignada a las operaciones compartidas globalmente en el sistema.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    29-Jan-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Srinivasulu Poda
      Ingeniero del TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos