【IPSec系劣卓IPSec成立成功，接见资源丢包

颁布功夫：2024-06-13

点击量：479

案例 EG3210 IPsec传输速度由9000KB降低到200KB

故障主题

EG3210 IPsec传输速度由9000KB降低到200KB

关键字

IPSEC 传输速度低

（一）故障景象描述

某单元反馈使用分支EG3210和总部EG3000UE成立IPSEC隧路用于FTP文件传输，近日发现FTP传输文件速度由9000KB降低到200KB。

正常时辰的传输速度：

异常时辰的传输速度：

网络拓扑：

（二）故障排查分析

1、基础信息排查

a）查抄设备配置

分析设备没开流控、没有异常CPU内存日志、接口带宽没有出现不及的情况。

b) 相识现场故障领域

现场反馈就EG3210这个网点会出现该异常景象，其他NBR设备作为网点未出现传输慢的问题

c) EG3210下联用户使用测速工具进行测速

用户测速能够达到700Mb，根基达到接口1000Mb的速度。注明用户没有被限速，互联网也没有限速用户上网。

2、搭建环境，测试映射场景下的下载速度

分析互联网没有限速，唯一疑惑的是IPSEC隧路传输慢导致。

现场通过总部服务器搭建HFS文件传输，在总部EG3000UE进行映射，分支通过映射地址放通总部HFS服务器进行下载测试。

最终下载能够达到7400KB，注明是IPSEC隧路传输慢导致。

3、复现传输慢景象，总部门支一路抓包分析

分析抓包文件看到大量TCP Duplicate ACK的信息（TCP丢包或乱序导致），且与运营商网络的ESP丢包景象有强关联性。

• 如图，ESP丢包128个，TCP丢包和乱序也是128个，注明ESP丢包的是TCP报文。
• TCP传输沉传，触发TCP降速，导致TCP传输速度不高
• ESP丢包注明，在报文中，能够看到ESP提醒报文迷失，ESP报文是依照挨次+1的方式进行传输，此图中，当序号传输到689572的时辰，发现689571的报文未收到。
  
  
  
  

1、躲避规划，新建VPDN隧路

为了尽快复原FTP下载传输业务，在分支EG3210和总部EG3000UE搭建VPDN隧路。将业务引到VPDN隧路，引入后FTP测速复原9000KB。

但是观察2天后，又出现传输速度慢的情况。将业务从VPDN隧路再切换到IPsec隧路，这个时辰IPsec隧路FTP测速也能达到9000KB。

基于以上景象和丢包景象，分析判断运营商针对VPN隧路，若是存在大流量下载的情况下，触发VPN隧路限速或者丢包的景象。

（三）故障根因注明

运营商针对VPN隧路存在丢包的景象，导致TCP报文法规性丢包。出现TCP沉新传输，触发TCP降速成效。

（四）故障解决规划

由客户端沟通运营商进行技术分析VPN丢包的原因，并解除限度。

如遇该故障无法定位解决可点击进入：售后闪电兔 处置

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】域用户自动登录失败提醒用户名或密码谬误

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】VDI终端或软客户端登陆虚构机后闪退

• ?【经典案例】8082平台提醒谬误

• ?【经典案例】8082平台提醒谬误

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?域用户自动登录失败提醒：无法使用此痛处登录

• ?【经典案例】云桌面闪屏问题排查

• ?【经典案例】云桌面闪屏问题排查