事象:
FPR3100シリーズ製品で、port-channel利用のInterfaceで全く疎通ができなくなってしまう事象があります。ASA Layerでキャプチャを取ると、ARP Replyの送出まで問題なくキャプチャされますが、対向機器ではARP Replyが受信されません。そこで、FXOS側のキャプチャを見ると、internal switch側ではキャプチャされておらず、FXOS側でパケットをドロップしたことが確認できます。
発生原因:
本事象は、CSCwk33099に該当しており、priority-queue側の不具合による影響となります。
発生条件:
FPR3100シリーズのApplianceモードのASAで、下記のように、priority-queueを設定していて、かつ、show priority-queue statisticsを実施した場合に、Tail Dropsのカウンターが上昇すればCSCwk33099の影響と判断できます。
firewall# show run | i priority
priority-queue inside
firewall# show priority-queue statistics
Priority-Queue Statistics interface inside
(Uplink statistics is displayed for all TenGigabitEthernet interfaces)
Queue Type = BE
Tail Drops = 241786 <===
Reset Drops = 0
Packets Transmit = 184
Packets Enqueued = 4800
Current Q Length = 4800
Max Q Length = 0
(Uplink statistics is displayed for all TenGigabitEthernet interfaces)
Queue Type = LLQ
Tail Drops = 0
Reset Drops = 0
Packets Transmit = 0
Packets Enqueued = 0
Current Q Length = 0
Max Q Length = 0
回避策:
no priority-queue <interface> にて、priority-queueを無効にすることで回避可能となります。当事象については、CSCwf47227もありますが、最終的にはCSCwk33099にて修正される予定のため、恒久対策については、CSCwk33099をトラッキングしてください。修正バージョンが確定、リリーズ後に、必要に応じてアップグレードを実施してください。
なお、priority-queueコマンドについては、下記をご参照ください。
Cisco ASA シリーズ コマンド リファレンス、I ~ R コマンド