몇 년 사용 후. 우리는 100M 이상의 단일 다운로드가 있는 경우 Cisco 871 및 851 라우터가 중단되는 것을 보았습니다. 간헐적입니다. 문제가 사라지는 경우도 있고 매우 작은 다운로드(10KB 웹 페이지)에서 발생하는 경우도 있습니다. 거의 모든 다운로드가 결국 완료되는 것 같지만 다운로드가 클수록 중단 시간이 길어집니다.
이 문제를 해결할 방법이 있나요? (우리가 하고 있는 라우터 교체가 부족함)
우리는 재방문 중입니다이것에시스코 8511년 2개월 됐어요. 이 시점에서는 훨씬 덜 중요한 규모로 유사한 중단이 발생하는 것으로 보입니다. 이 경우 고객은 다음을 구매했습니다.30Mbps인터넷 연결을 위/아래로 연결할 수 있으며5Mbps/20Mbps위아래. 때때로 다운로드 속도가 5Mbps로 느려집니다.
다음 번에 (아마 다음 주에) 나가면 아래에 이미 제안된 내용을 시도해보고 결과를 편집하겠습니다.
Vlan1 및 Fa4에 ACL이 있습니다. 또한 교체되어 사용되지 않는 ACL도 몇 개 있습니다. ACL은 약 45줄이고 그 중 절반 정도는 설명입니다. 아래에 구성을 게시했습니다. 개인정보는 WAN IP또는 등의 단어로 마스킹되어 있습니다.hostname HIDDEN
구성 코드에 대한 성능 개선과 같은 제안 사항이나 851에서 30Mbps를 기대할 수 있는지 여부와 같은 정보가 있으면 감사하겠습니다.
Current configuration : 18157 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname HIDDEN
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
logging console critical
enable secret 5 --GIBBERISH---
!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authorization exec local_author local
!
!
aaa session-id common
clock timezone EST -5
!
crypto pki trustpoint TP-self-signed-4140887523
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4140887523
revocation-check none
rsakeypair TP-self-signed-4140887523
!
!
dot11 syslog
no ip source-route
no ip dhcp use vrf connected
ip dhcp binding cleanup interval 60
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
ip dhcp pool sdm-pool1
import all
network 192.168.1.0 255.255.255.0
dns-server --DNS Server 1-- --DNS Server 2--
default-router 192.168.1.1
!
!
ip cef
ip inspect name DEFAULT100 appfw DEFAULT100
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip inspect name DEFAULT100 https
ip inspect name DEFAULT100 dns
no ip bootp server
no ip domain lookup
ip domain name noexist.example.com
ip name-server --DNS Server 2--
ip name-server --DNS Server 1--
!
appfw policy-name DEFAULT100
application im aol
service default action reset
service text-chat action reset
server deny name login.oscar.aol.com
server deny name toc.oscar.aol.com
server deny name oam-d09a.blue.aol.com
application im msn
service default action reset
service text-chat action reset
server deny name messenger.hotmail.com
server deny name gateway.messenger.hotmail.com
server deny name webmessenger.msn.com
application http
port-misuse im action reset alarm
application im yahoo
service default action reset
service text-chat action reset
server deny name scs.msg.yahoo.com
server deny name scsa.msg.yahoo.com
server deny name scsb.msg.yahoo.com
server deny name scsc.msg.yahoo.com
server deny name scsd.msg.yahoo.com
server deny name messenger.yahoo.com
server deny name cs16.msg.dcn.yahoo.com
server deny name cs19.msg.dcn.yahoo.com
server deny name cs42.msg.dcn.yahoo.com
server deny name cs53.msg.dcn.yahoo.com
server deny name cs54.msg.dcn.yahoo.com
server deny name ads1.vip.scd.yahoo.com
server deny name radio1.launch.vip.dal.yahoo.com
server deny name in1.msg.vip.re2.yahoo.com
server deny name data1.my.vip.sc5.yahoo.com
server deny name address1.pim.vip.mud.yahoo.com
server deny name edit.messenger.yahoo.com
server deny name http.pager.yahoo.com
server deny name privacy.yahoo.com
server deny name csa.yahoo.com
server deny name csb.yahoo.com
server deny name csc.yahoo.com
!
!
!
username surfn privilege 15 secret 5 $1$1hrm$0yfIN0jK56rOm9cXfm2a21
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address --WAN IP-- 255.255.255.0
ip access-group 123 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
ip access-group 102 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 --ISP Gateway--
!
ip http server
ip http access-class 2
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet4 overload
!
logging trap debugging
access-list 1 remark Telnet, SSH access
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any
access-list 2 remark HTTP, HTTPS access
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 2 deny any
access-list 101 HIDDEN
access-list 102 HIDDEN
access-list 121 HIDDEN
access-list 122 HIDDEN
access-list 123 HIDDEN
no cdp run
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you
want to use.
-----------------------------------------------------------------------
^C
banner login ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login authentication local_authen
no modem enable
transport output telnet
line aux 0
login authentication local_authen
transport output telnet
line vty 0 4
access-class 100 in
privilege level 15
authorization exec local_author
login authentication local_authen
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
답변1
George, 다음 메시지가 표시됩니다.
%FW-4-TCP_OoO_SEG: TCP 세그먼트 삭제: seq:3558911335 1500바이트가 순서가 잘못되었습니다. 예상 순서: 3558888055. 이유: TCP 리어셈블리 큐 오버플로 - 세션 192.168.23.38:54435 - 65.199.63.58:801024
다음 명령은 큐 재조립 큐를 확장하여 나에게 도움이 된 것 같습니다.
ip 검사 tcp 재조립 대기열 길이 1024
나는 당신의 구성을 모르기 때문에 그것이 긴 기회라고 생각합니다. 도움이 되었기를 바랍니다!
콜린 재치노
답변2
이 라우터 뒤에는 몇 명의 사용자가 있습니까? 아마도 단일 외부 주소에서 NAT를 수행하고 있을 것입니다. 최신 소프트웨어, 특히 페이스북 채팅과 같은 웹 서비스는 많은 동시 TCP 연결을 엽니다. 내 생각에는 Cisco에는 정적인 크기의 NAT 변환 테이블이 있습니다. 오버플로되어 가장 오래된 연결이 제거될 수 있습니까? NAT 테이블이 오버플로되는지 여부를 확인하는 방법에 대해 조언을 드릴 수 없습니다.
특히 펌웨어가 몇 년 전에 합리적으로 작동했다면 펌웨어를 의심할 생각은 없습니다. 그러나 인터페이스 통계를 빠르게 다시 확인하는 것이 좋습니다. 인터페이스에 삭제, 유효하지 않음, badrx 체크섬 등의 오류가 표시된다면 이것이 문제의 원인일 수도 있습니다. 하드웨어 결함, 전기 절연 부족 등이 있습니다. 나는 지난 3-4년 동안 내부적으로 부풀어 오르거나 폭발하는 커패시터로 인해 얼마나 많은 '저렴한' 5 포트 10/100 또는 기가비트 스위치가 준결함을 보았고 일관성이 없고 불규칙해졌는지를 세는 것을 중단했습니다. ㅏ
show interfaces counters errors
명령문은 문제가 있는 인터페이스를 매우 빠르게 식별해야 합니다.
행운을 빌어요.
답변3
no ip unreachables이는 다른 MTU를 사용하여 전송하는 동안 경로가 전환되고 정의되어 있기 때문에 패킷을 조각화해야 함을 알리지 않는 경로 MTU 문제와 매우 흡사합니다 .
다양한 핑 패킷 크기로 이를 테스트하는 것은 매우 쉽습니다. 문제가 상당히 자주 발생하는 경우 ip tcp adjust-mss 1360아웃바운드 경로 WAN 인터페이스(이 경우 Fa4)에 명령을 입력합니다. 1360은 축소된 MTU보다 안전하게 낮아야 하며 처리량에 큰 영향을 미치지 않습니다.
이 명령으로 문제가 해결되면 MTU 문제이므로 1440 또는 1460으로 높여서 약간의 처리량을 얻을 수 있습니다.
ACL을 볼 수 없지만 최소한 허용하고 있는지 확인하세요.
permit icmp any any packet-too-big