現(xiàn)網組網:內(nèi)網------- ♦--SW---------USG2250---------ISPπ>∏
USG2250作(zuò)為(wèi)公網出口β∏π上(shàng)行(xíng)連接運營商,下(xià)行(xíng)♣↔通(tōng)過交換機(jī)連接內(n''£←èi)網。
故障時(shí),在USG2250上(shàng)ping直連下 ÷★→(xià)一(yī)跳(tiào)延時(shí)達到(dào)3 ©£↔00多(duō)毫秒(miǎo),丢包率也(yě)很(hěn)高(gāo€>£)。斷開(kāi)內(nèi)網的(de≤↕¥)一(yī)個(gè)服務器(qì)後ping正常。要(yào)•求分(fēn)析下(xià)USG2250 pi£ng公網直連下(xià)一(yī)跳(tiào)延時(shí)和(hé)丢包•♥σ的(de)
自(zì)身(shēn)ping延時(shí)和(hé)丢包的γ✘₩(de)可(kě)能(néng)原因:
§€↕ 1、 管理(lǐ)面CPU高(gāo),上(shà"♥©§ng)送VRP丢包;
&¶βnbsp; 2、 流量太大(dà),超過轉×✘發性能(néng);
&↑£nbsp;3、 接口協商有(yǒu)問(wèn)題;
&€σελnbsp;4、 帶寬限制(zhì),運營商丢包。
1、在內(nèi)網連接服務器(qì)的(de)時(shí)候,登>☆πβ錄設備檢查接口和(hé)流量情況,G0/0/0連接公網,自(z♣∞ì)動協商為(wèi)1000Mb/s接↕£₽♥口,G0/0/1連接內(nèi)網,自(zì)±≈♠動協商成100Mb/s接口。
2、檢查USG2250的(de)CPU使用(yòng)♣•¶率,管理(lǐ)面和(hé)轉發面的(de)CPU都(dōu)不(bù)高(§$¥€gāo),不(bù)會(huì)因為(wèi)C↔÷PU利用(yòng)率高(gāo)導緻丢包。
3、防火(huǒ)牆上(shàng)配置流統看(kàn)ping的(≥≈de)結果,防火(huǒ)牆本身(shēn)沒有(yǒu)↕π®丢包,對(duì)端回應的(de)報(bào)文(wé↓¶¥n)就(jiù)已經少(shǎo)了(le)。從(cóngε≥∞♥)前面的(de)信息以及流統分(fēn)析,防火(huǒ)牆沒有↓≥σ(yǒu)達到(dào)性能(néng)瓶頸,自¥÷Ω§(zì)身(shēn)也(yě)沒有(yǒu)丢包$α ₩,應該跟防火(huǒ)牆不(bù)相(xiàng)關。
4、但(dàn)是(shì)公網出口帶寬有(yǒu)50M,實際經過防火(£>∑huǒ)牆隻有(yǒu)11M,斷開(kāi)內(nè¶&✘i)網服務器(qì)ping又(yòu)正常.
5、協調客戶斷開(kāi)內(nèi)網服務器(qì)進行(xíng™≠↕¶)對(duì)比測試,對(duì)于防火(huǒ)牆來(lái)說↕(shuō),唯一(yī)的(de)差别就(jiù)是(shì)流量大(dà¥)小(xiǎo)由原來(lái)的(de)11M☆Ω降低(dī)到(dào)0.1M,ping就(jiù)正常了(l∏£e)
6、在防火(huǒ)牆上(shàng)配置car對(duì)出口流≤©•量限流測試,限流5M,ping就(jiù)立刻正常,↔÷删除限流策略,ping延時(shí)又(yòu)₩¶增加。逐步調整car的(de)配置,調整到(dà≥∞₹o)限流7M時(shí),ping也(yě)正常,再擴大(dà)就(♠♣<jiù)延時(shí)正常。
7、從(cóng)測試結果很(hěn)明(míng)∑$顯能(néng)夠确認,USG2250實際的(de)公↔₹©網出口帶寬大(dà)于7M的(de)流量就(jiù)開(k₽↓∑φāi)始在運營商側丢包。所以問(wèn)題的(de)根Ω本原因就(jiù)是(shì)運營商帶寬不(φ✘bù)足導緻。
無