【IPSec系列】IPSec建立成功，访问资源丢包

发布时间：2024-06-13

点击量：0

案例 EG3210 IPsec传输速率由9000KB降低到200KB

故障主题

EG3210 IPsec传输速率由9000KB降低到200KB

关键字

IPSEC 传输速率低

（一）故障现象描述

某单位反馈使用分支EG3210和总部EG3000UE建立IPSEC隧道用于FTP文件传输，近日发现FTP传输文件速率由9000KB降低到200KB。

正常时候的传输速率：

异常时候的传输速率：

网络拓扑：

（二）故障排查分析

1、基础信息排查

a）检查设备配置

分析设备没开流控、没有异常CPU内存日志、接口带宽没有出现不足的情况。

b) 了解现场故障范围

现场反馈就EG3210这个网点会出现该异常现象，其他NBR设备作为网点未出现传输慢的问题

c) EG3210下联用户使用测速工具进行测速

用户测速可以达到700Mb，基本达到接口1000Mb的速率。说明用户没有被限速，互联网也没有限速用户上网。

2、搭建环境，测试映射场景下的下载速度

分析互联网没有限速，唯一怀疑的是IPSEC隧道传输慢导致。

现场通过总部服务器搭建HFS文件传输，在总部EG3000UE进行映射，分支通过映射地址放通总部HFS服务器进行下载测试。

最终下载可以达到7400KB，说明是IPSEC隧道传输慢导致。

3、复现传输慢现象，总部分支一起抓包分析

分析抓包文件看到大量TCP Duplicate ACK的信息（TCP丢包或乱序导致），且与运营商网络的ESP丢包现象有强关联性。

• 如图，ESP丢包128个，TCP丢包和乱序也是128个，说明ESP丢包的是TCP报文。
• TCP传输重传，触发TCP降速，导致TCP传输速率不高
• ESP丢包说明，在报文中，可以看到ESP提示报文丢失，ESP报文是按照顺序+1的方式进行传输，此图中，当序号传输到689572的时候，发现689571的报文未收到。
  
  
  
  

1、规避方案，新建VPDN隧道

为了尽快恢复FTP下载传输业务，在分支EG3210和总部EG3000UE搭建VPDN隧道。将业务引到VPDN隧道，引入后FTP测速恢复9000KB。

但是观察2天后，又出现传输速率慢的情况。将业务从VPDN隧道再切换到IPsec隧道，这个时候IPsec隧道FTP测速也能达到9000KB。

基于以上现象和丢包现象，分析判断运营商针对VPN隧道，如果存在大流量下载的情况下，触发VPN隧道限速或者丢包的现象。

（三）故障根因说明

运营商针对VPN隧道存在丢包的现象，导致TCP报文规律性丢包。出现TCP重新传输，触发TCP降速效果。

（四）故障解决方案

由客户端沟通运营商进行技术分析VPN丢包的原因，并解除限制。

如遇该故障无法定位解决可点击进入：售后闪电兔 处理

• •【IPSec系列】IPSec建立成功，访问资源丢包

• •【经典案例】路由器SSH方式登录不上如何解决

• •【故障案例】设备不断重启如何判断是否是硬件导致

• •【经典案例】WIS添加AC、AP上线异常

• •【故障案例】终端连接出现偶发掉线

• •【IPsec系列】IPsec建立成功，感兴趣流不通

• •WiFi7 一章了解

• •【常见问题】无线用户数限制

• •常见维护命令:无线AC对接SNC-WLAN

• •1张图+6个点—轻松掌握ipsec的关键配置和运作流程