本帖最后由 drogba 于 2019-10-9 14:05 编辑
背景:
客户出口部署了一台某公司的防火墙,公网两条线路,通过移动线路上网正常,通过电信线路上网打开网页比较慢,而且丢包严重。
现象: 排查过程: 1、先确认情况,针对测试电脑的IP配置源地址策略路由从不同外网线路上网进行测试对比,确认是通过移动线路上网正常,走电信线路丢包严重。
2、让测试电脑通过有问题的电信线路上网,然后开始排查。 把测试电脑的IP加入到白名单,发现依然丢包比较严重,这时候一度怀疑是电信链路的问题,准备把电脑直接接到电信的出口做测试,就在此刻,突然有个想法,开启直通试一下,结果发现了很大的差异,这时候丢包率在1%以内!说明链路本身没有问题!
3、那说明还是被策略限制住了,因为应用控制策略配置了比较多,所以就做了一个针对测试IP全部放通的策略,优先级在最高,这时候依然丢包很严重。
4、然后继续查看设备上面配置的策略,突然发现,有一条奇怪的流控策略,线路1(电信线路)限制流量不超过总流量的百分之10,然后应用选择的是全部应用!把这条策略禁用,这时候网络正常了。
结论: 由于客户运维人员的误操作,流控策略的流速限制的非常低,导致网络状况糟糕。
备注: “排查过程”中的第二步,按理说直通和白名单的效果是差不多的,为什么在这里出现了这样的差异? 因为加入白名单是要等上一个会话中断了之后发起新的会话才会生效,而开启直通是立即生效。 |