现网组网:内网---------SW---------USG2250---------ISP
USG2250作为公网出口上行连接运营商,下行通过交换机连接内网。
故障时,在USG2250上ping直连下一跳延时达到300多毫秒,丢包率也很高。断开内网的一个服务器后ping正常。要求分析下USG2250 ping公网直连下一跳延时和丢包的
自身ping延时和丢包的可能原因:
1、 管理面CPU高,上送VRP丢包;
2、 流量太大,超过转发性能;
3、 接口协商有问题;
4、 带宽限制,运营商丢包。
1、在内网连接服务器的时候,登录设备检查接口和流量情况,G0/0/0连接公网,自动协商为1000Mb/s接口,G0/0/1连接内网,自动协商成100Mb/s接口。
2、检查USG2250的CPU使用率,管理面和转发面的CPU都不高,不会因为CPU利用率高导致丢包。
3、防火墙上配置流统看ping的结果,防火墙本身没有丢包,对端回应的报文就已经少了。从前面的信息以及流统分析,防火墙没有达到性能瓶颈,自身也没有丢包,应该跟防火墙不相关。
4、但是公网出口带宽有50M,实际经过防火墙只有11M,断开内网服务器ping又正常.
5、协调客户断开内网服务器进行对比测试,对于防火墙来说,唯一的差别就是流量大小由原来的11M降低到0.1M,ping就正常了
6、在防火墙上配置car对出口流量限流测试,限流5M,ping就立刻正常,删除限流策略,ping延时又增加。逐步调整car的配置,调整到限流7M时,ping也正常,再扩大就延时正常。
7、从测试结果很明显能够确认,USG2250实际的公网出口带宽大于7M的流量就开始在运营商侧丢包。所以问题的根本原因就是运营商带宽不足导致。
无