问题原因:主要是因IWA WINDOWS AD域控做admin设备管理及WEB访问认证时消耗大量CPU,IWA使用导致SG设备CPU高问题详细原因暂时不能确定
解决过程:
1、通过对VPM策略中相关IWA调用关系进行解除,在authentication导航中行后对IWA进行删除并对windows domain中的SDB进行离开动作,解除IWA与域控之间的交互,以尝试解决CPU高的问题。
2、在statistics选项卡中点击summary,并查看device,CPU利用率逐渐降低,直到与主用设备相近到1%左右,结果,CPU回落到1%正常状态。
参考
Bluecoat Support找到了几个跟这个问题相关的问题点:
1,SG_B(有问题的SG)TCP资源比较低,很多TCP连接处理Time Wait状态未得到释放,影响到TCP连接的性能。
2,两台SG上的配置不一致,
SG_B对443端口进行了intercept,但SG_A是bypass的,
SG_B的Policy action是Allow,而SG_A是Deny
3, SG_B的CPU经常100%
通过CPU_monitor 看到SG_B的CPU经常是100%,其中LSA组件占用了45%的CPU,而LSA组件是IWA Directly。
对应的解决方案
1, 加快TCP连接池资源的释放
#(config)tcp-ip tcp-2msl 5
#(config)tcp-ip inet-lowport 16384
#(config)tcp-ip tcp-randomize-port disable #(config)tcp-ip tcp-fast-finwait2-recycle enable
2,在SG_B上的配置改成与SG_A上一致
1)将443端口从intercept 改成bypass
2) 将Policy action改成Deny
3, Bluecoat Support建议将认证从IWA Directly改成BCAAA,需要找一台Windows服务器上安装一个BCAAA软件,而这个软件的作用是代替client向AD服务器发起认证的请求,IWA Directl是由Bluecoat SG来发向AD服务器发起认证的请求,相对来说可以减轻Bluecoat SG性能负载。
为了证实是IWA Directly消耗了较高CPU从而导致此问题,我建议先将SG_B上的IWA认证功能先关闭,看能不能解决。如果问题不复现,并且CPU已经降低,我建议再向客户推荐这种方案。
做完第1,2点如果问题还是复现,请捉取以下信息
Snapshot-CPU monitor, snapshot-sysinfo-stats, and PCAP(捉包)
另外,还需要取一下Event Log
Please also get and upload the Event Log to us.
1, do the changes I requested firstly.
2, test and see if the problem still there.
3. after 10 mins, go to the link below to download the entire Event Log and upload it to us.
https://x.x.x.x:8082/eventlog/statistics