本帖最后由 adds 于 2021-7-9 15:31 编辑
一、问题 1、带宽500M,但流量一直跑不上去。 AF接口流量24小时内最高100M左右。 AC接口流量24小时内最高100M左右。
2、使用人数 通过AC上的在线人数,确定人数为367人。
二、排查 1、AF a.上下联接口均为千兆接口。 b.授权为增强功能,模块包括防火墙基本功能、入侵防御、僵尸网络、WEB安全、网页防篡改、实时漏洞分析功能。 该设备硬件如果同时开通IPS+WAF,支持流量为350M左右。目前IPS和WAF均有在使用。 c.系统有升级。 购买时系统版本应该为AF6.3或AF6.2,系统升级后占用硬件资源升高。 d.测试网速。 由于PC接入网络是百兆,测试出来的速度为百兆。
2、AC a.上下联接口均为千兆接口。 b.流量管理配置有问题。 配置多个虚拟线路没有意义。 c.AC性能为300M。 d.系统有升级。 购买时版本为AC 6.1,系统升级后占用硬件资源升高。
三、解决思路 1、建议电脑单独接光猫,测试下运营商过来的链路是否能达到500M。 用speedtest.cn。 2、禁用AF的安全防护策略。 3、适当调高或禁用AC的流控策略;禁用上网策略。 4、去掉防雷器观察是否有改观。 5、更换高性设备观察是否有改善。
四、更改配置 1、AC (1)删除多余虚拟线路。 (2)提高流控阀值。 (3)提高用户限额措施。
2、光猫测试 直连防雷交换机。 IP:218.205.XXX.XXX/30 218.205.XXX.XXX DNS:114.114.114.114 下载能达到440M。
3、AF测试 直连AF的Eth0口。 配置10.251.251.25/24 10.251.251.251的地址 DNS:114.114.114.114 配置地址转换和应用控制策略 下载能达到420M。
4、AC 直连AC的eth0口。 配置192.168.1.2/24 192.168.1.1的地址。 DNS:114.114.114.114 下载能达到380M。
5、交换机 直连交换机的Eth5口。IP地址自动获取。 下载能达到96M。
总结:核心交换机是瓶颈。
五、解决方案 1、将核心交换机更换为千兆交换机即可。
六、注意 1、流控优先级的作用:当保证通道已经到达了保证带宽最低值,但总的线路带宽还有剩余时,优先级高的则优先突破最低值使用剩余带宽
例如:通道1保证30%,优先级高;通道2保证30%,优先级低,那此时通道1会优先使用剩余的40%带宽
限制通道的优先级在未启用【当线路空闲时,允许突破限制】的情况下不生效。 |