我目前处于这种情况,我会尽可能具体。我的防火墙有 20 个不同供应商的 VPN(通过互联网)。一切都很好,直到一个月前。
我通常使用 ping 来监控远程网络,我的一些 VPN 有 1-5% 的丢包率。VPN 不会中断,但 ping 会中断。防火墙日志显示没有任何问题,没有任何被阻止的数据包,一切似乎都很好。总体而言,每天的数据包丢失率为 0%,但在某些时间间隔内,它会达到 5%(大约下午 1 点,此时流量达到峰值)其他一些 VPN 可以 100% 回复。
我注意到的:
- 大多数损失发生在我们处于高峰流量时(同样,仅适用于“损坏”的 VPN。其他 VPN 很好)
- 从我的 WAN 来看,我在 8.8.8.8 上有 0% 的丢失,但是有问题的远程 WAN 有 1-5% 的数据包丢失。
- 重新启动防火墙使情况稳定了大约一天,但随后一切又重新开始。
- VPN 隧道一直处于 UP 状态。
您的经验中的任何帮助将不胜感激
同一条船在这里
我们确定的是运营商正在使用高级盒子(如巨型蓝衣)来限制 udp 和 esp 流量。
如果它们是 cisco asa 5505 并使用 ipsec/tcp 到具有网络扩展模式的主站点,请尝试在 cisco vpn ezvpn 上获取其中之一。这个“小伙子”有一个很好的快速写给你跟随
http://www.jump.net.uk/blog-cisco-easy-vpn-on-asa
当我们执行 ipsec/tcp 时,损失停止了
但吸烟有 5% 的损失数周。
讨厌的时候,是吧?
几乎每个硬件都会丢弃 ICMP (ping) 流量以支持 TCP、UDP 和其他“真实”流量。在峰值利用率期间看到 1-5% 的数据包丢失并不显着。但是,如果是这种情况,我希望在终止于同一防火墙的所有隧道中看到类似的损失,但 1-5% 仍然几乎没有。
提供商限制旧硬件的一种方法是流量整形或速率限制 ICMP,这意味着它会被更积极地丢弃。我还希望通过相同的提供者硬件的所有隧道都有类似的损失,因此您可能想要 Traceroute/MTR(Windows 机器有一个WinMTR)这些隧道端点以查看路由中是否有任何相似之处。但是,同样,1-5% 通常没什么。
您可能需要查看TCPing,它模拟 ICMP 但使用 TCP 连接。如果 TCP 流量也有 1-5% 的数据包丢失,那就更值得注意了(但仍然不可怕)。
检查双方防火墙上的 CPU 利用率、内存、接口统计信息,如错误、丢弃、溢出等。
如果是我,我不会使用 ICMP 测量连接的时间。在这些高峰时段,显示 1-5% ping 数据包丢失的站点是否显示出任何其他链路退化迹象?像 TCP 往返时间增加或会话/服务丢失?
我作为团队的一员工作,对此类情况进行网络分析。我要做的是在主链接(防火墙后面)上放置详细的网络流量监控以捕获流量模式,以便您可以对数据进行全面分析,并查看往返时间等因素如何受到峰值数据使用量的影响。正如另一位用户所建议的那样,制定一些流量整形策略来限制某些数据流的速率,以查看是否可以提高性能。有许多免费和付费的解决方案可以做到这一点。