問題原因:主要是因IWA WINDOWS AD域控做admin設備管理及WEB訪問認證時消耗大量CPU,IWA使用導致SG設備CPU高問題詳細原因暫時不能確定
解決過程:
1、通過對VPM策略中相關IWA調用關係進行解除,在authentication導航中行後對IWA進行刪除並對windows domain中的SDB進行離開動作,解除IWA與域控之間的交互,以嘗試解決CPU高的問題。
2、在statistics選項卡中點擊summary,並查看device,CPU利用率逐漸降低,直到與主用設備相近到1%左右,結果,CPU回落到1%正常狀態。
參考
Bluecoat Support找到了幾個跟這個問題相關的問題點:
1,SG_B(有問題的SG)TCP資源比較低,很多TCP連接處理Time Wait狀態未得到釋放,影響到TCP連接的性能。
2,兩臺SG上的配置不一致,
SG_B對443端口進行了intercept,但SG_A是bypass的,
SG_B的Policy action是Allow,而SG_A是Deny
3, SG_B的CPU經常100%
通過CPU_monitor 看到SG_B的CPU經常是100%,其中LSA組件佔用了45%的CPU,而LSA組件是IWA Directly。
對應的解決方案
1, 加快TCP連接池資源的釋放
#(config)tcp-ip tcp-2msl 5
#(config)tcp-ip inet-lowport 16384
#(config)tcp-ip tcp-randomize-port disable #(config)tcp-ip tcp-fast-finwait2-recycle enable
2,在SG_B上的配置改成與SG_A上一致
1)將443端口從intercept 改成bypass
2) 將Policy action改成Deny
3, Bluecoat Support建議將認證從IWA Directly改成BCAAA,需要找一臺Windows服務器上安裝一個BCAAA軟件,而這個軟件的作用是代替client向AD服務器發起認證的請求,IWA Directl是由Bluecoat SG來發向AD服務器發起認證的請求,相對來說可以減輕Bluecoat SG性能負載。
爲了證實是IWA Directly消耗了較高CPU從而導致此問題,我建議先將SG_B上的IWA認證功能先關閉,看能不能解決。如果問題不復現,並且CPU已經降低,我建議再向客戶推薦這種方案。
做完第1,2點如果問題還是復現,請捉取以下信息
Snapshot-CPU monitor, snapshot-sysinfo-stats, and PCAP(捉包)
另外,還需要取一下Event Log
Please also get and upload the Event Log to us.
1, do the changes I requested firstly.
2, test and see if the problem still there.
3. after 10 mins, go to the link below to download the entire Event Log and upload it to us.
https://x.x.x.x:8082/eventlog/statistics