我最近剛在我的辦公室安裝了一條光纖線路,除了我們遇到的一些奇怪的麻煩之外,一切運作良好,網路回應確實令人驚嘆。
我們遇到的問題是,每隔一段時間,我的路由器就會崩潰並丟棄封包。這不是線路,也不是開關。這是路由器本身,我已經切換了硬件,並且兩個部件都可以做到這一點。我使用的設備是 Juniper Netscreen SSG5。以下是症狀:
我對「內部」介面進行了 pingflood,
ping -f -c 10000 <internal-ip>
我收到了 10,000 則回覆。每次。然後,我將做同樣的事情,除了外部介面的 IP 位址(但仍在同一裝置上)。它會在 10,000 個資料包中丟棄 10 到 15 個資料包。我已經在公司的所有其他網關上進行了相同的測試,沒有其他任何東西顯示出這種行為。我很困惑。
我已經與光纖公司的支援人員進行了交談,我們的兩個介面都被硬編碼為 100Mb 全雙工,如果這可能會導致問題的話。順便說一句,當從路由器內部 ping 外部介面時,我從未丟失資料包,這讓我認為這不是介面本身。並且本地介面永遠不會丟失資料包,因此它不是交換器。
老實說,除了硬體本身的設計之外,我不確定問題出在哪裡。我看過這些圖表,即使在 pingflood 期間,我也遠遠沒有最大化路由器上的 CPU 或記憶體。
有什麼建議麼?
編輯
對於 Tom:光纖的速度為 13Mb/s,但是當我 ping 介面時,它沒有交叉到光纖。本地 LAN 以 100Mb/s 的速度運行,內部介面回應每個資料包。我得看看是否可以藉用另一台硬件,但我在不同的站點有一些舊型號的 Junipers (5GT),它們沒有表現出相同的症狀。
答案1
請記住兩點:
- 儘管我對 SSG5 不太熟悉,但路由器可能會限制定向到它的 ICMP 流量。
- 假設流量正在傳輸,轉送速率為 140MBit/秒透過路由器;所處理的流量到路由器將導致額外的效能損失,因為每個資料包都將傳遞到路由器自己的 IP 堆疊,並且需要產生回應資料包。
可以嘗試幾個測試:
- 試著從 LAN 進行 pingflooding透過路由器;也許是 WAN 連結的遠端? (我假設這將是具有更強處理能力的東西,如果它由您的服務提供者擁有的話。)
- 跑步iperf在辦公室的節點和互聯網外部的某個節點之間進行連接,以便更好地了解您正在被塑造成什麼樣子。
答案2
只是一個想法..但是光纖的速度是多少?路由器的背板真的可以以這樣的速度傳輸封包嗎?我在透過最大化交換器連接埠上的連接來填充 Cisco 857 上的乙太網路緩衝區時遇到了類似的問題。
SSG5 是否運行最新版本的 ScreenOS?最新韌體更新?
該規範聲稱它可以每秒傳輸 140Mbit,即 30k 封包。也許不是這樣,但也許更強大的路由器可以應付流量?
你能向別人借一台更大的設備嗎?也許是 Cisco 2811 或 Juniper J2320?
答案3
當我們轉向光纖/城域乙太網路 (AT&T) 時,我們遇到了類似的問題。
路由器上的介面是否顯示任何錯誤?我們使用 Cisco,我們會看到 CRC 或輸入錯誤,這取決於介面。
我們最終透過在每個位置的自動、10/半和全、以及 100/半和全之間交換不同的協商方法解決了這個問題,直到自動或 100/全「卡住」。您可能還想要求您的提供者暫時取消 13Mbps 上限,看看這是否是他們的頻寬限制的問題。
AT&T 將其歸咎於他們使用的交換器(也是思科),但不會將其更換為替代型號。只要我們停止出現錯誤並且 100/full 工作(透過硬編碼或自動協商),我們就不再關心。
直到今天,我們仍然有一些辦公室汽車和一些 100/滿,只是因為它有效,我們不想破壞它。