SASE-AC，引流后50M带宽被限制到25M

一、问题背景

某客户全国分支采购深信服SASE-AC产品线，通过引流方案做应用访问控制和带宽控制，每个分支双出口保障业务连续性。实际使用中发现，西安分支联通线路50M带宽，始终无法突破25M，内网用户明显感知到卡慢，移动线路达到50M，联通线路始终在25M左右。

西安分支出口两条线路，移动+联通。

   

初步分析，SASE-AC和本地没有带宽限制，引流器配置也无问题。

二、问题排查

1，问题升级研发，确认引流器后台没有问题；

确认SASE引流机制，引流通过引流策略将经过设备的流量封装发到平台，由平台去做解封，对上网流量做审计和管控。封装的方式是把原来的数据包当成数据，在外层再使用UDP做封装。

2，和客户沟通对比测试，考虑移动线路无问题，怀疑运营商问题。（这里使用iperf工具测试），测试共分为4步；
附iperf工具参数说明：

1）对比引流和不引流状态打流测试，测试结果为不引流可以打满50M，引流之后被限制到25M；

测试命令参考，测试截图不方便发出来，可以本地模拟 iperf.exe -c xxx.xxx.xxx.xxx -t 10000 -i 1 -l 1300 -b 50M -u

2）对比TCP和UDP流量，不引流状态，策略路由指定到联通线路，内网PC使用iperf.exe打流，TCP 流量打满50M，UDP流量限制25M；

3）对比移动线路和联通线路，分别打流50M UDP测试，移动可以打满50M，联通被限制在25M；

4）对比西安联通、厦门联通、武汉联通，测试只有西安联通会被限制在25M，其余运营商均未限速；

5）客户协调运营商排查，客户反馈多次，运营商均反馈无问题，直到客户表示换运营商才开始配合（无力吐槽），最终确认是运营商上层设备策略导致，机制类似于我们引流协议会封装数据包，导致五元组一致，运营商有类似优化机制，砍一半，（运营商拒绝提供问题报告，无法得知真实原因）。

三、总结

该问题原因是我们引流协议会将数据包封装成相同的五元组数据，然后西安联通运营商未知原因过滤了UDP数据包，从而导致客户带宽无法突破25M，后续通过运营商优化策略，解决该问题，最终测试如下：