SANGFOR VPN丢包问题,首先需要先收集总部和分支两端的网络拓扑,了解设备的部署方式、出口是否有多线路、出口带宽、是否存在流控设备、单个分支丢包还是所有分支丢包。这些基本信息是非常有必要收集的,收集好之后,可以做以下简单排查,判断网络环境本身存在丢包
1、确认公网和内网本身是否存在明显的ping测试丢包
总部、分支内网电脑直接去ping测试对方公网IP地址,确认是否本身就存在公网丢包的情况。测试总部、分支内网的电脑到本端设备的LAN口存在丢包,确认是否本身就存在内网丢包的情况。
2、确认物理层是否存在异常
查看网口LAN口、WAN口是否本身存在error包以及drop包,并且数量一直在增加。如果是,则尝试修改网口双工速率、更换网口网线等。在WOC的【维护】-【页面控制台】输入ifconfig,可以看到接口的error和drop的情况
3、确认VPN是否出现频繁中断
查看VPN运行状态中接入时间是否一直都有刷新,以及查看VPN日志,确认是否VPN出现频繁中断的情况。如果VPN一直断开重连,在VPN隧道里面ping测试的话,就会看到大量连续的丢包,偶尔通几个ICMP包。如果是VPN频繁中断的问题,请参考VPN频繁中断的典型场景。如下图,可以看到接入时间,如果隔一段时间看到接入时间又增加了,那么说明VPN一直在中断。
4、尝试切换传输模式
尝试切换TCP/UDP传输模式,切换完传输模式后确认是否还有丢包。如果某种传输协议有丢包的话,基本上可以说是公网问题导致。如下图,切换传输模式。PS:建议切换到UDP模式的时候,先不要勾选封堵穿透进行测试,【高危操作】另外切换传输模式会造成VPN中断,需要征得客户授权后再操作
![]()
5、有多线路的情况下尝试切换多线路选路有多线路的情况下,尝试切换多线路策略,切换公网线路之后,看看是否还有丢包的情况,如果没有的话,基本上可以判断是公网线路的问题导致。如下图,切换VPN多线路选路策略。【高危操作】:切换VPN多线路选路策略需要断开VPN重连才会生效,需要征得客户授权后再进行操作
