USG9520由于分配给虚拟防火墙的资源值不当导致业务中断。

发布时间:  2016-09-28 浏览次数:  127 下载次数:  0
问题描述

客户网络中有USG9520作为出口,在客户配置虚拟墙并分配资源后,业务发生异常,作为出口设备业务中断。

告警信息

从客户配置虚拟墙到分配资源,从日志信息上一直在提示如下信息:

Sep 12 2016 13:17:16+08:00 TEL10G-USG9560 %%01SEC/4/VSYSRES(l)[377]:Slot=8/3,Vcpu=0;VSYS=public; No enough remained session resource in the virtual firewall.

Sep 12 2016 13:17:14+08:00 TEL10G-USG9560 %%01SEC/4/VSYSRES(l)[378]:Slot=8/3,Vcpu=0;VSYS=public; No enough remained session resource in the virtual firewall.

Sep 12 2016 13:17:01+08:00 TEL10G-USG9560 %%01SEC/4/VSYSRES(l)[379]:Slot=8/3,Vcpu=0;VSYS=public; No enough remained session resource in the virtual firewall.

该日志经过分析应该是由于资源不足导无法建立会话

从日志中可以看到:

Sep 12 2016 13:17:01+08:00 TEL10G-USG9560 %%01SHELL/4/CMDRECORD(l)[380]:Record command information. (Task=VT0 , Ip=X.X.X.198, User=mayan, Vrf=public, Command="assign resource-class wuhuguangdian")
Sep 12 2016 13:16:30+08:00 TEL10G-USG9560 %%01SHELL/4/CMDRECORD(l)[381]:Record command information. (Task=VT0 , Ip=X.X.X.198, User=mayan, Vrf=public, Command="assign resource-class WuHuGuangDian")

Sep 12 2016 13:09:03+08:00 TEL10G-USG9560 %%01SHELL/4/CMDRECORD(l)[424]:Record command information. (Task=VT0 , Ip=X.X.X.198, User=mayan, Vrf=public, Command="resource-item-limit session reserved-number 40000000 maximum 40000000")


客户配置了资源项并进行了分配后即出现了上述故障

处理过程

查看丢包统计:

vsys session limit check fail:  74,370,971

发现有会话建立失败导致丢包的统计计数

取消虚拟墙配置后,业务恢复.




根因

resource-item-limit session reserved-number 40000000 maximum 40000000

该命令将40000000条会话资源分配给了虚拟墙,已经达到了该设备(单CPU)的上限, reserved-number 的参数为独占,分配后完全被该虚拟墙所独占。所以根墙下的正常业务无法建立新的会话导致业务异常。

解决方案

取消虚拟墙配置后,业务恢复.


建议与总结

后面重新配置虚拟墙资源时,可以将

reserved-number(独占) 对应的参数设置小一些 ,防止设置不当导致根墙下的业务中断。

maximum(共享)  对应的参数可以适当调大,保证新上的虚拟墙的业务,在业务稳定后适当调制reserved-number的值达到最佳

END