问题现象:
在部署服务测试的时候,内网服务器访问dmz服务器telnet很慢。经过多台测试发现有的访问快,有的访问慢,然后尝试在dmz防火墙加白名单后,都很快。
对比和分析数据包后得出结论:访问该目的服务的25邮件服务的端口,win系统的会慢,查看win系统的数据包发现syn包使能了ECN标志位(提前感知中间路径拥塞的功能)
原因分析:由于防火墙开启了邮件安全和文件安全检测安全策略,该模块不支持ECN协议,导致客户端超时重传。
经过在客户端主机上查询,用netsh int tcp show global命令查询是否开启ecn,查询后确认ECN开起来。
解决方法:
1、防火墙关闭邮件安全和文件安全检测安全策略,会导致安全防护能力下降。 2、服务器关闭ecn,对应的“提前感知中间路径拥塞,预防拥塞产生”的这个功能会没法使用。 |