
<div dir="ltr">I had it set as:<div style><div>policy-map global_policy</div><div> class inspection_default</div><div style>    inspect dns maximum-length 4096</div><div style><br></div><div style>Which is what Cisco recommends.  EDNS tests worked fine, but the BIND servers would still get backed up.</div>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Mar 26, 2014 at 7:35 AM, Thom, Paul E <span dir="ltr"><<a href="mailto:Paul.Thom@ssc-spc.gc.ca" target="_blank">Paul.Thom@ssc-spc.gc.ca</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-CA" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Do you have the FWSM DNS inspection configured to support EDNS.  Not sure if I have seen ASA / PIX code causing that problem when EDNS support was not configured

 on the firewalls but it’s something to look at.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> bind-users-bounces+paul.thom=<a href="mailto:dfo-mpo.gc.ca@lists.isc.org" target="_blank">dfo-mpo.gc.ca@lists.isc.org</a> [mailto:<a href="mailto:bind-users-bounces%2Bpaul.thom" target="_blank">bind-users-bounces+paul.thom</a>=<a href="mailto:dfo-mpo.gc.ca@lists.isc.org" target="_blank">dfo-mpo.gc.ca@lists.isc.org</a>]

<b>On Behalf Of </b>Jason Brandt<br>

<b>Sent:</b> March-26-14 9:09 AM<br>

<b>To:</b> Sam Wilson<br>

<b>Cc:</b> <a href="mailto:comp-protocols-dns-bind@isc.org" target="_blank">comp-protocols-dns-bind@isc.org</a><br>

<b>Subject:</b> Re: High recursive client counts<u></u><u></u></span></p><div><div class="h5">

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal" style="margin-right:0cm;margin-bottom:10.0pt;margin-left:0cm">

The code on our FWSMs isn't the latest release, so that could be part of the issue, but it's been about 16 hours now since I shut it off, and so far so good.  I would say though with the other load on our firewalls, it's highly possible that they were being

 overloaded.  Unfortunately our MRTG isn't setup to track firewall CPU, so I can't say for sure.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-right:0cm;margin-bottom:10.0pt;margin-left:0cm">

<u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-right:0cm;margin-bottom:10.0pt;margin-left:0cm">

Thanks,<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-right:0cm;margin-bottom:10.0pt;margin-left:0cm">

Jason<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-right:0cm;margin-bottom:12.0pt;margin-left:0cm">--<br></p><p class="MsoNormal" style="margin-right:0cm;margin-bottom:10.0pt;margin-left:0cm"><u></u></p>

<div>

<p class="MsoNormal" style="margin-right:0cm;margin-bottom:10.0pt;margin-left:0cm">

Jason K. Brandt<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-right:0cm;margin-bottom:10.0pt;margin-left:0cm">

Systems Administrator<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-right:0cm;margin-bottom:10.0pt;margin-left:0cm">

<u></u> <u></u></p>

</div>

</div>

</div>

</div></div></div>

</div>


</blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Jason K. Brandt</div><div>Systems Administrator</div><div><br></div>

</div></div>