案例 EG3210 IPsec傳輸速率由9000KB降低到200KB
故障主題
EG3210 IPsec傳輸速率由9000KB降低到200KB
關鍵字
IPSEC 傳輸速率低
(一)故障現象描述
某單位反饋使用分支EG3210和總部EG3000UE建立IPSEC隧道用于FTP文件傳輸,近日發現FTP傳輸文件速率由9000KB降低到200KB。
正常時候的傳輸速率:
異常時候的傳輸速率:
網絡拓撲:
(二)故障排查分析
1、基礎信息排查
a)檢查設備配置
分析設備沒開流控、沒有異常CPU內存日志、接口帶寬沒有出現不足的情況。
b) 了解現場故障范圍
現場反饋就EG3210這個網點會出現該異常現象,其他NBR設備作為網點未出現傳輸慢的問題
c) EG3210下聯用戶使用測速工具進行測速
用戶測速可以達到700Mb,基本達到接口1000Mb的速率。說明用戶沒有被限速,互聯網也沒有限速用戶上網。
2、搭建環境,測試映射場景下的下載速度
分析互聯網沒有限速,唯一懷疑的是IPSEC隧道傳輸慢導致。
現場通過總部服務器搭建HFS文件傳輸,在總部EG3000UE進行映射,分支通過映射地址放通總部HFS服務器進行下載測試。
最終下載可以達到7400KB,說明是IPSEC隧道傳輸慢導致。
3、復現傳輸慢現象,總部分支一起抓包分析
分析抓包文件看到大量TCP Duplicate ACK的信息(TCP丟包或亂序導致),且與運營商網絡的ESP丟包現象有強關聯性。
- 如圖,ESP丟包128個,TCP丟包和亂序也是128個,說明ESP丟包的是TCP報文。
- TCP傳輸重傳,觸發TCP降速,導致TCP傳輸速率不高
- ESP丟包說明,在報文中,可以看到ESP提示報文丟失,ESP報文是按照順序+1的方式進行傳輸,此圖中,當序號傳輸到689572的時候,發現689571的報文未收到。
1、規避方案,新建VPDN隧道
為了盡快恢復FTP下載傳輸業務,在分支EG3210和總部EG3000UE搭建VPDN隧道。將業務引到VPDN隧道,引入后FTP測速恢復9000KB。
但是觀察2天后,又出現傳輸速率慢的情況。將業務從VPDN隧道再切換到IPsec隧道,這個時候IPsec隧道FTP測速也能達到9000KB。
基于以上現象和丟包現象,分析判斷運營商針對VPN隧道,如果存在大流量下載的情況下,觸發VPN隧道限速或者丟包的現象。
(三)故障根因說明
運營商針對VPN隧道存在丟包的現象,導致TCP報文規律性丟包。出現TCP重新傳輸,觸發TCP降速效果。
(四)故障解決方案
由客戶端溝通運營商進行技術分析VPN丟包的原因,并解除限制。
如遇該故障無法定位解決可點擊進入:售后閃電兔 處理
發布時間:2024-06-13
點擊量:479
文檔評價
