Recentemente instalei uma linha de fibra em meu escritório e, com exceção de um estranho problema que estamos tendo, as coisas estão funcionando bem e a resposta da rede é realmente incrível.
O problema que estamos enfrentando é que, de vez em quando, meu roteador falha e descarta pacotes. Não é a linha e não é o interruptor. É o próprio roteador, troquei o hardware e ambas as peças fazem isso. O equipamento que estou usando é um Juniper Netscreen SSG5. Aqui estão os sintomas:
Eu faço um pingflood na interface "interna", com
ping -f -c 10000 <internal-ip>
e recebo 10.000 respostas. Toda vez. Então farei a mesma coisa, exceto para o endereço IP da interface externa (mas ainda no mesmo dispositivo). Ele cai entre 10 e 15 pacotes em 10.000. Fiz o mesmo teste em todos os outros gateways da empresa e nada mais mostra esse comportamento. Estou perplexo.
Conversei com o suporte da empresa de fibra, e ambas as nossas interfaces são codificadas para 100Mb com full duplex, se isso pudesse causar o problema. Aliás, ao executar ping na interface externa de dentro do roteador, nunca perco um pacote, o que me faz pensar que não é a interface em si. E a interface local nunca perde um pacote, portanto não é o switch.
Sinceramente, não tenho certeza de onde pode estar o problema, exceto no design do próprio hardware. Observei os gráficos e, mesmo durante o pingflood, não estou nem perto de maximizar a CPU ou a memória do roteador.
Alguma sugestão?
Editar
Para Tom: A fibra tem 13 Mb/s, mas quando faço ping na interface, ela não passa para a fibra. A LAN local está funcionando a 100 Mb/s e a interface interna responde a cada pacote. Terei que ver se posso pegar emprestado outro hardware, mas tenho alguns modelos mais antigos de Junipers (5GTs) em locais diferentes que não apresentam os mesmos sintomas.
Responder1
Tenha em mente dois pontos:
- O roteador provavelmente irá limitar o tráfego ICMP direcionado a ele, embora eu não esteja familiarizado especificamente com o SSG5.
- Uma taxa de encaminhamento de 140 MBit/s pressupõe que o tráfego está indoatravéso roteador; tráfego endereçadoparao roteador causará um impacto adicional no desempenho, pois cada pacote será passado para a pilha IP do próprio roteador e exigirá a geração de um pacote de resposta.
Alguns testes para tentar:
- Experimente o pingflooding da sua LANatravéso roteador; talvez a extremidade remota do link WAN? (Presumo que será algo com mais poder de processamento, se pertencer ao seu provedor de serviços.)
- Correrperfeitoentre um nó em seu escritório e algo externo na internet, para ter uma boa ideia do que você está sendo moldado.
Responder2
Só uma ideia.. Mas qual é a velocidade da fibra? O backplane do roteador pode realmente transferir pacotes nessa velocidade? Eu tive um problema semelhante ao preencher os buffers Ethernet em um Cisco 857, maximizando as conexões nas portas de switch.
O SSG5 está executando a versão mais recente do ScreenOS? Últimas atualizações de firmware?
A especificação afirma que ele pode transferir 140 Mbit ou 30 mil pacotes por segundo. Talvez não seja isso, mas talvez um roteador mais robusto pudesse lidar com o tráfego?
Você poderia pegar emprestado um dispositivo maior de alguém? Talvez um Cisco 2811 ou um Juniper J2320?
Responder3
Tivemos problemas semelhantes quando mudamos para Ethernet de fibra/metro (AT&T).
As interfaces do seu roteador apresentam algum erro? Usamos Cisco e veríamos erros de CRC ou de entrada, dependendo da interface.
Finalmente resolvemos o problema trocando diferentes métodos de negociação entre automático, 10/meio e total e 100/meio e total, para cada um de nossos locais, até que o modo automático ou 100/completo “travasse”. Você também pode pedir ao seu provedor para remover temporariamente o limite de 13 Mbps, para ver se há um problema com a limitação de largura de banda.
A AT&T culpou os switches que usou (também Cisco), mas não os trocou por modelos alternativos. Paramos de nos importar, desde que parássemos de receber erros e 100/full funcionasse (seja por codificação ou negociação automática).
Até hoje ainda temos alguns escritórios automáticos e alguns 100/full, só porque funcionou e não queremos quebrar.