【标准化排查】ACsangfor-vpn丢包、延迟大、下载慢问题

一、配置指导书
如需了解配置步骤请参考配置指导：
http://bbs.sangfor.com.cn/plugin ... wdatabase&tid=34380

二、问题现象
AC设备中，使用sangfor-vpn是出现丢包、延迟大、下载慢等现象

三、场景排查思维导图

1、版本确认
　　　确认版本，设备是否方便升级升级到最新的6.1或11.9r1v3版本

2、常见故障
2.1、sangfor VPN丢包问题
   vpn丢包问题，我们主要要判断出这个丢包是丢在设备内网还是丢在公网还是是我们设备本身丢包导致的。那那我即可按照下面的排查思路进行问题排查。

2.1.1、环境确认
在经常VPN丢包问题排查的时候，我们先搞清楚客户的网络环境，主要进行如下的确认：
    1、分支网络环境确认，分支VPN互联是用的我们哪个产品线的设备，什么模式部署，分支有多少条外网线路，带宽分别是多少，是否配置了多线路，分支内网是否有什么安全设备或者流控设备可能会对数据进行拦截的。
　　　2、总部网络环境确认，总部VPN互联用的是我们那个产品线的设备，什么模式部署，出口有多少条外网线路，带宽分别是多少，是否启用了VPN多线路，总部内网是否有什么安全设备或者流控设备可能会对数据进行拦截的。
　　　
2.1.2、丢包定位
2.1.2.1、确认客户的VPN组网是有多个分支还是单个分支出现的丢包
    如果是多个分支，确认是一个分支丢包还是所有的分支都丢包，如果是所有的分支都出现丢包，那问题可能出现在总部的可能性比较大，那我们优先在总部设备排查，如果是个别分支出现丢包，那问题出现在分支的可能比较大，我们优先在分支设备上面排查。

2.1.3、确认是不是网络本身存在丢包
　　比如在这么一个环境下PC访问总部服务器丢包：
　　PC---SW---VPN（分支）===（公网）===VPN（总部）---SW----server
我们可以进行如下的确认：
    ①分支PC到分支VPNLAN是否存在丢包，如果内网本身就存在丢包需要定位内网是不是网络有问题，或者看看是不是设备LAN口ifconfig 看是不是有大量的drop包和或者错误包，如果存在这种情况需要确认是不是LAN口有兼容性问题或者是网卡坏了。
    ②确认公网是否PING包都有丢包，可以从分支设备去ping总部公网IP去看看是否有丢包，PING包测试情况大包，小包都需要测试其丢包延时情况。如果公网都有丢包，那就先联系运营商解决公网丢包问题。
    ③确认总部VPN到总部内网服务器之间是否存在丢包，如果存在丢包，先解决内网丢包问题。
    ④切换TCP UDP模式都试下是不是都丢包，如果仅仅是一个协议丢包，那问题可能出现在中间网络，那需要两边WAN口同时抓包分析丢包，具体分析方法最后介绍。
    ⑤确认是不是网络中有安全设备有策略拦截或者是做了流控设置导致的
    例如1：分支总部有没有防火墙、AC等设备进行了策略拦截，如果有看可以开直通排除策略的问题。
　　例如2：分支总部有没有设备做流控导致的VPN丢包，尝试先把流控关掉测试是否不丢包了。
　　
2.1.4、确认是不是线路带宽满载或者多线路异常导致丢包
　　①如果是总部分支有多线路。
　　检查下是不是因为某条线路本来就不稳定导致的，这个时候看下多线路策略，如果是主主策略，可以修改下多线路策略改成主备模式让VPN先单独走某一条线路分别去测试是单条线路有问题还是所有线路都有问题。
    ②检查分支总部的出口线路是否存在带宽跑满的情况

2.2、sangfor VPN下载速度慢
   VPN访问慢，一般来说就是下载速度上不了导致的慢，那要定位这类的问题，我们只要找出原因是哪里导致速度上不了即可判断是哪里的问题。
比如网络环境如下：
PC---SW---VPN（分支）===（VPN隧道）===VPN（总部）---SW---server
慢的问题，总结起来，排查步骤有如下的：

2.2.1、网络环境确认
    确认网络环境，分支VPN设备什么模式部署，分支PC到VPN设备中间有哪些安全设备，分支多少条外网线路，出口带宽多大。同理，也搞清楚总部的网络环境，看看总部VPN设备什么模式部署，总部VPN设备到总部server服务器中间有哪些安全设备，总部外网多少条外网线路，出口带宽多少，这个是查VPN问题首要确认的信息，只有对环境熟悉了，问题排查起来效率才高。

2.2.2、确认是否有一端出口外网线路跑满了
      这个两端都需要检查，如果是分支或者总部的的出口线路带宽跑满了，会导致速度上不来，VPN访问慢的问题

2.2.3、确认中间网网络释放做了流控，或者DOS防护
    按照PC---SW---VPN（分支）===（VPN隧道）===VPN（总部）---SW---server这个拓扑看是否是中间有网络设备做了流控或者dos防护导致的，如果是我们某公司本身的设备，关掉流控，开直通看看释放是这些导致的

2.2.4、确认中间网络是否是有丢包 或者本身延时很大，网络环境查导致的VPN慢
    ①分支设备ping 总部公网IP 看看丢包延时情况，大包小包都ping下，特别是大包，有的环境也会由于大包过不去导致下载速度慢的情况产生的。
    ②分支PCping总部服务器IP 看看丢包延时情况，大包小包都ping下，特别是大包，因为有的情况下会由于MTU的问题导致VPN封装后的大包过不去导致速度上不了
    ③如果判断大包有大量的丢包，无论是Ping 公网大包过不去还是ping内网大包过不去，都可以把设备VPNTUN口的mtu改小测试下问题释放可以解决
    ④分别确认ping下分支PC到分支设备的大包小包的延时情况，同理，总部设备到总部server服务器也大包小包测试ping下看下丢包延时情况，如果这个都有问题，那就是内网有问题，请检查设备内网

四、信息获取
转400请提供如下信息
当前网络环境：
设备是否可升级：
规则库是否最新：
是否不支持场景：
是否打补丁包（Appversion可选）：

五、维护说明
如对本场景使用有建议或疑问可以进行回贴反馈，我们会及时进行优化或答疑。

接过2011的电话，很霸气的妹纸:耍酷:

分支1进总部内网正常，分支2进总部内网丢包或延时高，分支2与总部出口公网正常，这种情况。。