WAAS - Voorwaarden voor probleemoplossing

Hoofdstuk: Voorwaarden voor probleemoplossing

Dit artikel beschrijft hoe u de voorwaarden voor overbelasting van probleemoplossing kunt oplossen.

Inhoud

• 1 Overzicht
• 2 Informatie over het bewaken van TFO-stromen en overlastomstandigheden
  • 2.1 De TCP-verbindingsgrens controleren
  • 2.2 De geoptimaliseerde TCP-verbindingen controleren
• 3 Voorbehouden MAPI-toepassingsversneller voor verbindingen bij overbelasting
• 4 Oplossingen voor overbelasting

Overzicht

Het Cisco WAAS-netwerk zou zijn ontworpen om een bepaald aantal TCP-verbindingen te optimaliseren, gebaseerd op klantvereisten. Afhankelijk van het model van de WAE, kunnen er extra verbindingsbeperkingen zijn voor de SSL en CIFS applicatie versnellers. Wanneer de algemene verbindingslimiet of een specifieke verbindingsgrens van de applicator wordt overschreden, wordt het apparaat overbelast. In deze situatie komt er meer verkeer het apparaat binnen dan het kan verwerken en is het verkeer dus mogelijk niet zo optimaal als verwacht (overbelast verkeer wordt ongeoptimaliseerd).

Informatie over het bewaken van TFO-stromen en overlastomstandigheden

Wanneer een WAAS-versnellerkaart-apparaat is overbelast, ziet u doorgaans het volgende alarm van de Central Manager: Overloadstatus invoeren door MAX verbindingen (nnn). Het getal nnn is het aantal keer dat de WAE sinds de laatste herstart is overbelast.

Het apparaat logt ook een syslog foutbericht zoals: Sysmon: %WAAS-SYSMON-3-445015: Fout gedetecteerd: TFO-versneller is overbelast (verbindingslimiet)

U kunt bij de CLI verschillende show opdrachten gebruiken om het aantal toegestane en werkelijke verbindingen te bepalen en meer informatie te verzamelen.

De TCP-verbindingsgrens controleren

De eerste nuttige opdracht is toont tfof detail, dat u kan vertellen hoeveel geoptimaliseerde TFO verbindingen het apparaat kan verwerken, als volgt:

wae-7341# show tfo detail
   
  Policy Engine Config Item            Value
  -------------------------            -----
  State                                Registered
  Default Action                       Use Policy
  Connection Limit                     12000            <-----Maximum number of TFO optimized connections
  Effective Limit                      11988
  Keepalive timeout                    3.0 seconds

De waarde van de verbindingsgrens vertelt u dat dit WAAS apparaat 12000 TFO geoptimaliseerde verbindingen kan steunen.

De effectieve limiet kan lager zijn dan de verbindingsgrens als de MAPI AO bepaalde verbindingen heeft gereserveerd. De gereserveerde verbindingen worden van de verbindingsgrens afgetrokken om de effectieve limiet te halen.

De geoptimaliseerde TCP-verbindingen controleren

Om de TCP stromen op het apparaat te begrijpen, kunt u de opdracht van de verbinding van de showstatistiek gebruiken (in versie 4.1.1, gebruik de verbinding van de showstatistiek alle opdracht). Deze opdracht geeft de momenteel gebruikte TFO/DRE/LZ-stromen, doorvoerstromen en stromen weer die door een specifieke applicatie-versneller worden verwerkt. Een voorbeeld van deze opdracht:

wae# show statistics connection
  
Current Active Optimized Flows:                      5
   Current Active Optimized TCP Plus Flows:          5
   Current Active Optimized TCP Only Flows:          0
   Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              12             <---------- Added in 4.1.5
Current Active Pass-Through Flows:                   0
Historical Flows:                                    143
  
  
D:DRE,L:LZ,T:TCP Optimization,
A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO
  
ConnID  Source IP:Port        Dest IP:Port          PeerID             Accel
  
92917   10.86.232.131:41197   70.70.7.11:3268       00:1a:64:69:19:fc  TDL
92918   10.86.232.131:41198   70.70.7.11:3268       00:1a:64:69:19:fc  TDL
92921   10.86.232.131:41216   70.70.7.11:3268       00:1a:64:69:19:fc  TDL
94458   10.86.232.131:45354   70.70.7.11:1026       00:1a:64:69:19:fc  TDL
36883   10.86.232.136:1857    10.86.232.131:1026    00:1a:64:69:19:fc  TDL

Vanaf de eerste regel in de output (Huidige actieve geoptimaliseerde stromen) kunt u zien dat het apparaat momenteel vijf actieve geoptimaliseerde stromen heeft. Vanuit de tweede teller (Huidige Active Optimized TCP Plus-stromen) kunt u zien dat ze allemaal worden verwerkt met TFO/DRE/LZ-optimalisatie (TFO Plus betekent dat DRE en/of LZ-optimalisatie wordt gebruikt naast TFO). De derde teller (Huidige Active Optimized TCP only stromen) toont stromen die alleen door TFO worden geoptimaliseerd.

Een andere nuttige teller is de Huidige Actieve Auto-Discovery Flow, die stromen toont die niet volledig zijn ingesteld om geoptimaliseerde stromen of doorvoerstromen te worden. Om volledig op te zetten, moet de verbinding SYN, SYN ACK, ACK handshake zien, wat handig is om deze op te merken bij een overload toestand. De huidige actieve Pass-Through-Stroomteller toont verbindingen die het apparaat doorlaat-zien of waar het apparaat niet SYN, SYN ACK en ACK instelling heeft gezien. Deze stromen worden niet als geoptimaliseerde stromen geteld. Voor doorvoerstromen moet een voorziening in staat zijn om tot 10 maal het aantal geoptimaliseerde stromen waarvoor ze is beoordeeld, aan te passen.

De huidige reserveteller toont het aantal verbindingen dat gereserveerd is voor de MAPI-versneller. Zie voor meer informatie over gereserveerde MAPI-verbindingen en hun invloed op de overbelasting van apparaten de sectie MAPI Application Accelerator Reserved Connections Impact on Overload.

De som van de volgende drie tellers vertelt u hoe dichtbij het WAE apparaat zijn verbindingsgrens:

• Huidige actieve geoptimaliseerde stromen
• Huidige actieve automatische detectiesstromen
• Huidige gereserveerde stromen (alleen beschikbaar in 4.1.5 en later)

Als deze som gelijk is aan of groter is dan de verbindingsgrens, verkeert het apparaat in een overload toestand.

Details over de vijf geoptimaliseerde stromen worden weergegeven in de tabel onder de tellers.

Een andere opdracht die u kunt gebruiken om het aantal TFO stromen op een apparaat te zien is de show statistiek van detail opdracht. Twee van de meest bruikbare tellers in de output zijn "Nee. van actieve verbindingen" en onder de Statistieken van de Statistieken van de Statistiek van de Werkzame verbindingen", als volgt:

wae# show statistics tfo detail
  
 Total number of connections                          : 22915
 No. of active connections                            : 3                <-----Current optimized connections
 No. of pending (to be accepted) connections          : 0
 No. of bypass connections                            : 113
 No. of normal closed conns                           : 19124
 No. of reset connections                             : 3788
    Socket write failure                              : 2520
    Socket read failure                               : 0
    WAN socket close while waiting to write           : 1
    AO socket close while waiting to write            : 86
    WAN socket error close while waiting to read      : 0
    AO socket error close while waiting to read       : 80
    DRE decode failure                                : 0
    DRE encode failure                                : 0
    Connection init failure                           : 0
    WAN socket unexpected close while waiting to read : 1048
    Exceeded maximum number of supported connections  : 0 
    Buffer allocation or manipulation failed          : 0
    Peer received reset from end host                 : 53
    DRE connection state out of sync                  : 0
    Memory allocation failed for buffer heads         : 0
    Unoptimized packet received on optimized side     : 0
 Data buffer usages:
    Used size:          0 B,  B-size:        0 B,  B-num: 0
    Cloned size:    54584 B,  B-size:    73472 B,  B-num: 111
 Buffer Control:
    Encode size:        0 B,  slow:          0,  stop:          0
    Decode size:        0 B,  slow:          0,  stop:          0
 AckQ Control:
    Total:          0, Current:          0
 Scheduler:
    Queue Size: IO:          0,  Semi-IO:          0, Non-IO:          0
    Total Jobs: IO:     219110,  Semi-IO:     186629, Non-IO:      49227
  
  Policy Engine Statistics
  -------------------------
  Session timeouts: 0,  Total timeouts: 0
  Last keepalive received 00.0 Secs ago
  Last registration occurred 8:03:54:38.7 Days:Hours:Mins:Secs ago
  Hits:                    52125, Update Released:                  17945
  Active Connections:          3, Completed Connections:            37257  <-----Active Connections
  Drops:                       0
  Rejected Connection Counts Due To: (Total: 12)
     Not Registered      :         12,  Keepalive Timeout   :          0
     No License          :          0,  Load Level          :          0
     Connection Limit    :          0,  Rate Limit          :          0   <-----Connection Limit
     Minimum TFO         :          0,  Resource Manager    :          0
     Global Config       :          0,  Server-Side         :          0
     DM Deny             :          0,  No DM Accept        :          0
  
  Auto-Discovery Statistics
  -------------------------
  Total Connections queued for accept:  22907
  Connections queuing failures:         0
  Socket pairs queued for accept:       0
  Socket pairs queuing failures:        0
  AO discovery successful:              0
  AO discovery failure:                 0

In sommige gevallen zullen de twee tellers verschillen en de reden is dat "Nee. van actieve verbindingen" geeft alle huidige stromen weer die worden geoptimaliseerd door TFO, TFO/DRE, TFO/DRE/LZ en TFO/DRE/LZ en een applicatie-versneller. De "actieve verbindingen" in het kader van de statistieken van de beleidsmotoren omvatten alle stromen in de toestand hierboven plus de verbindingen die uitsluitend door TFO en een applicatie-versneller worden geoptimaliseerd. Deze situatie betekent dat een TCP-stroom is binnengekomen en een applicatie-versnellerklassificator matchte, maar SYN, SYN ACK, ACK handshake is niet voltooid.

In veel TFO overload gevallen, als het probleem nog steeds optreedt, kunt u deze opdrachten bekijken en bepalen of het aantal geoptimaliseerde stromen rond het opgegeven aantal geoptimaliseerde TCP-verbindingen voor de hardware is. Als dat zo is, dan kunt u de stroomgegevens bekijken en zien wat alle stromen gebruikt om te bepalen of dit verkeer legaal is en het apparaat overladen of een virus, een beveiligingsscanner of iets anders op het netwerk voorkomt.

De "Connection Limit"-teller onder de statistieken van de beleidsmotor meldt het aantal verbindingen dat is verworpen en doorgegeven omdat de WAE het nominale aantal geoptimaliseerde TCP-verbindingen heeft overschreden. Als deze teller hoog is, betekent het dat de WAE vaak meer verbindingen krijgt dan zij kan verwerken.

Als het aantal geoptimaliseerde verbindingen niet dicht bij het nominale aantal geoptimaliseerde TCP verbindingen ligt en u nog een overloadalarm ontvangt, dan moet u de Huidige actieve auto-zoekstromen bekijken van de opdracht van de verbinding van de showstatistiek of de "Actieve verbindingen" onder Statistieken van de Statistiek van de Statistiek van het Beleid van de show statistiek opdracht. In sommige gevallen kan het aantal geoptimaliseerde verbindingen zeer laag zijn, maar de actieve verbindingen onder de Statistieken van de Beleidsmachine zijn grofweg gelijk aan het nominale aantal geoptimaliseerde stromen voor de hardware. Deze situatie betekent dat er veel stromen zijn die overeenkomen met een classificator, maar die niet volledig zijn vastgesteld. Wanneer een TCP SYN een classificator aanpast, zal het een geoptimaliseerde verbinding reserveren. Deze verbinding zal niet verschijnen in de geoptimaliseerde TCP connecties telling tot de TCP handdruk is voltooid en optimalisatie start. Als het apparaat bepaalt dat de stroom niet geoptimaliseerd dient te worden, zal deze uit de telling van actieve verbindingen onder de Statistieken van de Beleidsmachine worden verwijderd.

Om verdere problemen op te lossen gevallen waarin TFO-overload optreedt en de actieve verbindingen van de Policy Engine Statistieken lijken alle geoptimaliseerde TCP-verbindingen op het apparaat te gebruiken, gebruikt u de opdracht Show statistics accelerator detail. In de output van deze opdracht, bekijk de Active Connections onder de Policy Engine Statistics voor elke applicatie-versneller om te bepalen welke applicatie-versneller deze verbindingen ontvangt die niet volledig zijn ingesteld. Kijk vervolgens naar de status waarin deze stromen kunnen zijn door de opdracht Statistieken filteren te gebruiken, die u het aantal filtertoetsen op het apparaat als volgt geeft:

wae# show statistics filtering
  
Number of filtering tuples:                             18
Number of filtering tuple collisions:                   0
Packets dropped due to filtering tuple collisions:      0
Number of transparent packets locally delivered:        965106
Number of transparent packets dropped:                  0
Packets dropped due to ttl expiry:                      0
Packets dropped due to bad route:                       10
Syn packets dropped with our own id in the options:     0
Syn-Ack packets dropped with our own id in the options: 0
Internal client syn packets dropped:                    0
Syn packets received and dropped on estab. conn:        0
Syn-Ack packets received and dropped on estab. conn:    0
Syn packets dropped due to peer connection alive:       525
Syn-Ack packets dropped due to peer connection alive:   0
Packets recvd on in progress conn. and not handled:     0
Packets dropped due to peer connection alive:           1614
Packets dropped due to invalid TCP flags:               0
Packets dropped by FB packet input notifier:            0
Packets dropped by FB packet output notifier:           0
Number of errors by FB tuple create notifier:           0
Number of errors by FB tuple delete notifier:           0
Dropped WCCP GRE packets due to invalid WCCP service:   0
Dropped WCCP L2 packets due to invalid WCCP service:    0
Number of deleted tuple refresh events:                 0
Number of times valid tuples found on refresh list:     0

Het aantal filtertoetsen is het aantal stromen op het apparaat dat, in doorloop, in FIN WAIT-toestand, in setup-toestand, enzovoort, wordt geoptimaliseerd. Elke ingestelde stroom verschijnt als twee tuples, één voor elke kant van de stroom, zodat het aantal dat u in deze uitvoer ziet veel groter kan zijn dan het aantal stromen dat u in de andere opdrachten ziet.

Om meer informatie over de stromen in de filterlijst te krijgen, kunt u de opdracht Filterlijst tonen als volgt gebruiken:

wae# show filtering list
  
E: Established, S: Syn, A: Ack, F: Fin, R: Reset
s: sent, r: received, O: Options, P: Passthrough
B: Bypass, L: Last Ack, W: Time Wait, D: Done
T: Timedout, C: Closed
  
   Local-IP:Port        Remote-IP:Port          Tuple(Mate)        State
  10.86.232.82:23      10.86.232.134:41784 0xbc1ae980(0x0       )   E
 10.86.232.131:58775      70.70.7.11:3268  0x570b2900(0x570b2b80)   EW
    70.70.7.11:3268    10.86.232.131:58775 0x570b2b80(0x570b2900)   EDL
    70.70.7.11:3268    10.86.232.131:57920 0x570b2d80(0x570b2800)   E
 10.86.232.131:57920      70.70.7.11:3268  0x570b2800(0x570b2d80)   E
  10.86.232.82:23      161.44.67.102:4752  0xbc1aee00(0x0       )   E
 10.86.232.131:58787      70.70.7.11:1026  0x570b2080(0x570b2e80)   EW
    70.70.7.11:1026    10.86.232.131:58787 0x570b2e80(0x570b2080)   EDL
 10.86.232.131:48698      70.70.7.11:1026  0x570b2f00(0x570b2880)   PE
 10.86.232.131:58774      70.70.7.11:389   0x570b2300(0x570b2180)   EW
    70.70.7.11:389     10.86.232.131:58774 0x570b2180(0x570b2300)   EDL
 10.86.232.131:58728      70.70.7.11:1026  0x570b2380(0x570b2a00)   E
 10.86.232.131:58784      70.70.7.11:1026  0x570b2e00(0x570b2980)   EW
    70.70.7.11:1026    10.86.232.131:58784 0x570b2980(0x570b2e00)   EDL
    70.70.7.11:1026    10.86.232.131:48698 0x570b2880(0x570b2f00)   PE
 10.86.232.131:58790      70.70.7.11:3268  0x570b2100(0x570b2c80)   EW
    70.70.7.11:3268    10.86.232.131:58790 0x570b2c80(0x570b2100)   EDL

Als de show statistics accelerator alle opdracht toont welke applicatie versneller alle geoptimaliseerde TFO verbindingen gebruikt, kunt u op die poort of verkeer filteren. Als u bijvoorbeeld op poort 80 wilt filteren, gebruikt u de lijst met filters tonen | I:80 commando.

Kijk naar de legende in de staatskolom. In het geval dat de stromen in de SYN-status zijn, kunt u een hoop stromen met een toestand van S zien. Als de WAE de SYN-ACK heeft teruggestuurd met opties die zijn ingesteld, kunt u de status SAsO zien. Deze indicatie kan u helpen de status van de stroom te bepalen en vanaf daar kunt u bepalen of er een routingprobleem, virus of een probleem is met de WAE die geen verbindingen vrijgeeft. Je hebt misschien sporen nodig om te bepalen wat er precies met de stromen gebeurt, maar de opdrachten hierboven moeten je een idee geven van wat je moet zoeken.

Voorbehouden MAPI-toepassingsversneller voor verbindingen bij overbelasting

Vaak kan een TFO-overload worden veroorzaakt door de MAPI-applicatie gereserveerde verbindingen, zodat het handig is om het proces te begrijpen van hoe de MAPI-applicatie versnellingsaansluitingen behoudt.

De MAPI-applicator behoudt TFO-verbindingen om ervoor te zorgen dat hij over voldoende verbindingen beschikt om alle huidige en toekomstige verbindingen die de klanten aan de Exchange-servers zullen maken, te versnellen. Het is normaal voor een MAPI-client om meerdere verbindingen te maken. Als een cliënt de eerste verbinding maakt via de MAPI-applicatie, maar de volgende verbindingen niet slagen in de MAPI-applicatie, bestaat het risico dat de verbinding van de cliënt mislukt.

Om deze mogelijke aansluitingsmislukkingen te voorkomen, behoudt de MAPI-applicator de verbindingsbronnen als volgt:

• Voordat een client met een verbinding begint, behoudt deze bank 10 verbindingen voor zichzelf als buffer voor verwachte nieuwe verbindingen.
• Voor elke client verbinding met de server behoudt het drie TFO-verbindingen voor dat client-server paar en één van de drie wordt gebruikt als actieve verbinding voor deze eerste verbinding. Als dezelfde client een tweede of derde verbinding met dezelfde server maakt, worden die verwerkt uit de gereserveerde verbinding pool. Als een client maar één verbinding met de server maakt, zullen die twee gereserveerde verbindingen ongebruikt blijven in de gereserveerde pool. Als de client een verbinding maakt met een andere server, zijn drie nieuwe verbindingen opnieuw gereserveerd voor dat client-server paar.

Al deze gereserveerde verbindingen zijn bedoeld om de prestaties te verbeteren en om de mogelijkheid van een cliënt-verbinding te verminderen wanneer deze niet in staat is om extra verbindingen te maken via de MAPI-applicatie.

Overbelasting doet zich voor wanneer de huidige actieve geoptimaliseerde stromen + de huidige actieve automatische detectiesnelheid + de huidige gereserveerde stromen groter zijn dan de vaste verbindingsgrens van het apparaat. In het algemeen zouden dan nieuwe verbindingen door de lucht worden gehaald. Maar sommige nieuwe MAPI-verbindingen worden mogelijk nog steeds geoptimaliseerd. Wanneer het apparaat op het overloadpunt staat, als een client een extra verzoek doet aan een MAPI-server waarop het reeds is aangesloten, worden de gereserveerde verbindingen gebruikt. Maar als er niet genoeg gereserveerde verbindingen zijn (bijvoorbeeld als een client een vierde verbinding maakt met dezelfde MAPI-server en de WAE al overbelast is) kan er een ontsnapte verbindingsvoorwaarde optreden, wat kan leiden tot onjuist gedrag zoals een client die veel dubbele exemplaren van hetzelfde ene mailbericht ontvangt.

Als het systeem de verbinding niet heeft doorgestuurd naar de MAPI applicatie accelerator, dient u "PT Projectbronnen" of "PT in uitvoering" te zien, afhankelijk van of er activiteit is op de verbinding. Als de verbinding werd doorgestuurd naar de MAPI applicator en de reservering faalde, wordt de verbinding gemarkeerd met een "G" voor de versneller in plaats van met een "M" (in de verbinding met de toonstatistiek wordt geoptimaliseerde opdracht uitgevoerd in het mapping-programma). Zie voor een voorbeeld van deze opdracht het artikel Problemen oplossen bij de MAPI AO.

Als u frequente overload omstandigheden ervaart, is het belangrijk om te begrijpen hoe de Outlook klanten verbindingen maken (hoeveel verbindingen met hoeveel Exchange servers). Als Outlook op een client wordt uitgevoerd, houd u de Ctrl-toets ingedrukt terwijl u met de rechtermuisknop op het Outlook-pictogram in het systeemvak op de taakbalk klikt. Kies Connection Status om de lijst weer te geven van servers waarop de Outlook-client is aangesloten. Daaruit kunt u zien hoeveel verbindingen de client maakt en hoeveel verschillende Exchange servers. Als de client verbindingen maakt met verschillende servers, zou het handig zijn om te onderzoeken hoe de post kan worden geconsolideerd, zodat een gebruiker alleen MAPI-verbindingen opent naar één uitwisselingsserver en gebruik maakt van meerdere verbindingen naar die server.

Het is ook nuttig te onderzoeken of er andere toepassingen zijn die MAPI-verbindingen kunnen maken.

Oplossingen voor overbelasting

Onderzoek geoptimaliseerde verbindingen om te zien of ze legitiem zijn. In veel gevallen kan een aanval van de overheid (Denial of Service (DoS) op het netwerk de WAE veroorzaken om de verbindingen te optimaliseren. Gebruik in dat geval een DoS-beveiligingsmechanisme in het netwerk om de verbindingen proactief te sluiten.

In gevallen waarin de verbindingen legitiem zijn, is de WAE die op de locatie wordt ingezet te klein en kan nodig worden bijgewerkt, of kan een extra WAE worden ingezet om de schaalbaarheid binnen die locatie te vergroten.