解决了!AD无法协调UDP协议数据包只走哪一条WAN口线路?
  

tarryyun 2610

{{ttag.title}}
本帖最后由 tarryyun 于 2020-5-14 15:08 编辑

针对我上一篇发的疑问帖子,自己捣鼓出了一个方法,经过验证和实际情况的发生,方法是可行的!
上一个帖子的地址:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=108163
具体步骤如下:
1、用抓包工具分析出,当网络中有大量腾讯会议时,查找出腾讯会议使用的UDP协议地址
      14.0.0.0/8、157.148.0.0/16、219.133.0.0/16
      如图是抓的internet线路入口(AD的WAN口数据):

2、有了这两个腾讯会议的地址段,就好办了;
     为了保障其他业务不受影响,只能牺牲一条出口(我们出口是1.2G,多条WAN线路),联通的300M;
     在AD上定义智能路由和地址翻译(NAT),如图:
     在NAT的图片中,陆续抓到一些零散的地址段(宁可误杀,不能放过,这些地址段都采用UDP协议)


3、我们出口有 一台思科的交换机,在交换机VLAN中定义ACL;在联通300M中放行这几个段的流量,其他互联网线路drop这些段的数据;
ip access-list extended tenxun-drop
permit ip any 14.0.0.0 0.255.255.255
permit ip 14.0.0.0 0.255.255.255 any
permit ip any 157.148.0.0 0.0.255.255
permit ip 157.148.0.0 0.0.255.255 any
permit ip any 219.133.0.0 0.0.255.255
permit ip 219.133.0.0 0.0.255.255 any
ip access-list extended tenxun-permit
permit ip any any
vlan access-map tenxun 10
match ip address tenxun-drop
action drop
vlan access-map tenxun 20
match ip address tenxun-permit
action forward
!
vlan filter tenxun vlan-list vlan-id

4、配置生效后,进行抓包分析,发现在非联通300M线路是看不到这3个网段的流量的,在联通300M线路是可以看到大量的这些数据;
联通300M抓包图:

非联通300M抓包图:

5、当腾讯会议爆表后,只有联通300M出口拥塞,并且抓取到大量这些UDP协议的数据包;其他线路不受影响。
     弊端:有可能腾讯会议地址会变动,这样我们会很被动!系统深信服研发在后续的版本中能够出一些相关的安全措施,能够有效防止此类问题的发生!!!

2020年5月14号下午优化:
今天下午还有有一次小的爆发,在抓包系统分析到所有的大的数据量都采用UDP8000-8100之间的端口进行传递数据;因此修改出口交换机VLAN ACL条目,如下:
876085ebcedbe87e12.png
ip access-list extended tenxun-drop
permit ip any 14.0.0.0 0.255.255.255
permit ip 14.0.0.0 0.255.255.255 any
permit ip any 157.148.0.0 0.0.255.255
permit ip 157.148.0.0 0.0.255.255 any
permit udp any 互联网出口地址 0.0.0.255 range 8000 8200
permit udp 互联网出口地址 0.0.0.255 any range 8000 8200
permit udp any 互联网出口地址 0.0.0.255 range 8000 8200
permit udp 互联网出口地址 0.0.0.255 any range 8000 8200
permit udp any 互联网出口地址 0.0.0.255 range 8000 8200
permit udp 互联网出口地址 0.0.0.255 any range 8000 8200

配置完后,再一次对非联通300M互联网出口进行抓包分析,发现已经没有了“抓包分析软件”识别的QQ协议、UDP-other协议(有一部分udp-other,不知道是不是腾讯的,但是后来腾讯会议爆发过一次,只有联通300M线路爆表了,其他线路没有):
920595ebcee42d5908.png

724765ebcee66a2341.png

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

Sangfor_闪电回_朱丽 发表于 2020-5-13 17:43
  
感谢您的分享,满满的干货,已将文章放入技术博客中!

社区技术博客征稿活动正在进行,只要符合内容要求,就有奖励,欢迎投稿~
了解奖励和投稿要求,请参考:https://bbs.sangfor.com.cn/forum ... read&tid=103115
新手548437 发表于 2020-5-14 10:42
  
感谢分享。
tarryyun 发表于 2020-5-14 15:09
  
2020年5月14号下午优化更新!
新手770264 发表于 2020-5-14 21:09
  
感谢分享
新手031815 发表于 2020-5-14 21:31
  
感谢分享
黄波 发表于 2020-5-15 09:08
  
厉害了哦
黄波 发表于 2020-5-15 09:09
  
学习一下
新手780102 发表于 2020-5-15 09:55
  
感谢分享
新手548437 发表于 2020-5-15 10:20
  
感谢分享。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人