網(wǎng)速慢?可能是這些原因
在下方公眾號后臺回復(fù):JGNB,可獲取杰哥原創(chuàng)的 PDF 手冊。
上網(wǎng)方式及理論網(wǎng)速
如圖1-1,寬帶網(wǎng)絡(luò)是一個(gè)極其復(fù)雜的端到端系統(tǒng),包括LAN側(cè)和WAN側(cè)。LAN側(cè)指用戶到AR這一段,包括FIT AP、S、用戶終端等設(shè)備。WAN側(cè)指AR到Internet之間,包括光貓、接入網(wǎng)、核心網(wǎng)設(shè)備,不過這些都是運(yùn)營商提供的,與用戶無關(guān),不在本文討論范圍內(nèi)。
圖1-1?用戶上網(wǎng)組網(wǎng)圖
下行速率是指Internet向用戶發(fā)送信息時(shí)的數(shù)據(jù)傳輸速率,單位是Mbit/s,比如打開瀏覽器,下載文件等。上行速率是指用戶向Internet上傳文件時(shí)可以達(dá)到的速率。對于大部分用戶來說,主要上網(wǎng)業(yè)務(wù)是從Internet下載文件,而非上傳文件,所以下行速率一般都高于上行速率。用戶從寬帶運(yùn)營商那里辦理的帶寬值就是下行速率。例如,用戶辦理了200M寬帶套餐,這里的200M就是下行速率,對應(yīng)的上行速率可能只有幾十M。
用戶終端可以通過有線方式上網(wǎng),也可以通過無線方式上網(wǎng),不同的上網(wǎng)方式,用戶能達(dá)到的最大網(wǎng)速也不同。本文討論的是有線用戶訪問Internet時(shí)遇到的下行網(wǎng)速慢問題,因此下行速率才是有線用戶網(wǎng)速可以達(dá)到的理論值。此外,有線用戶的網(wǎng)速還與網(wǎng)絡(luò)硬件設(shè)施(光貓、AR、S、網(wǎng)線)有關(guān)。在解決網(wǎng)速慢問題之前,請先檢查網(wǎng)絡(luò)的硬件設(shè)施符合網(wǎng)速的要。
如何測網(wǎng)速
當(dāng)發(fā)現(xiàn)上網(wǎng)慢問題時(shí),建議先測量一下實(shí)際的網(wǎng)速后再處理故障。常用的網(wǎng)速測量方法有網(wǎng)站測速、測速工具測速等。不同的測速方法測量結(jié)果略有不同,建議使用不同的測速方法多測幾次:
使用網(wǎng)站測速。各大運(yùn)營商網(wǎng)站都提供了測速功能,例如中國電信寬帶測速網(wǎng),不同區(qū)域網(wǎng)址不一樣,例如上海;也可以用一些專門的測速網(wǎng)站來測,例如測速網(wǎng)。
使用測速工具測速。在應(yīng)用商店下載并安裝測量網(wǎng)速的工具進(jìn)行測速,例如網(wǎng)速測試、網(wǎng)絡(luò)測速大師、測網(wǎng)速大師等。
有些測速軟件的測量結(jié)果是下載速度MB/s,但會同步換算成對應(yīng)的帶寬值Mbit/s。如果沒有,也可以根據(jù)1MB/s = 8Mbit/s的關(guān)系,自己換算一下。
了解網(wǎng)速慢故障場景
AR作為企業(yè)網(wǎng)絡(luò)的路由網(wǎng)關(guān)設(shè)備,在企業(yè)網(wǎng)絡(luò)里扮演了非常重要的角色,為用戶提供上網(wǎng)服務(wù)。為了幫助用戶解決在通過AR上網(wǎng)時(shí)遇到的上網(wǎng)慢問題,本文從多個(gè)現(xiàn)網(wǎng)真實(shí)案例中,總結(jié)出兩大常見上網(wǎng)慢故障場景:單上行出口上網(wǎng)慢和雙上行/多上行出口上網(wǎng)慢。
單上行出口上網(wǎng)慢
單上行出口上網(wǎng)是指AR路由器和公網(wǎng)之間只有一條上行鏈路相連。如圖1-2所示,AR和Internet之間的連線只有一條,GE3/0/0是連接Internet的接口,也叫作公網(wǎng)口,Eth2/0/0是連接私網(wǎng)的接口,也叫作私網(wǎng)口。該場景常見的上網(wǎng)慢原因包括:TCP最大報(bào)文段長度MSS(Max Segment Size)值配置不合理、網(wǎng)絡(luò)攻擊導(dǎo)致設(shè)備Session資源耗盡、接口模式協(xié)商錯(cuò)誤等,具體定位方法請參見單上行出口上網(wǎng)慢故障處理章節(jié)。
圖1-2?單上行出口上網(wǎng)場景組網(wǎng)示例
雙上行/多上行出口上網(wǎng)慢
雙上行/多上行出口上網(wǎng)是指AR路由器和公網(wǎng)之間有兩條或者大于兩條上行鏈路相連。如圖1-3所示,AR和Internet之間的連線有多條,GE0/0/1和GE0/0/2都是公網(wǎng)口,GE0/0/3是私網(wǎng)口。該場景常見的上網(wǎng)慢原因除了單出口場景中列出的,還包括一些特有的原因,例如:Dialer口路由問題、報(bào)文來回路徑不一致、等價(jià)路由問題等,具體定位方法請參見雙上行出口/多上行出口上網(wǎng)慢故障處理章節(jié)。
圖1-3?雙上行/多上行出口上網(wǎng)場景組網(wǎng)示例(PPPoE撥號)
為什么網(wǎng)速慢,原因在這里
圖1-4是用戶通過AR上網(wǎng)慢故障樹,列出了單上行出口和雙上行出口兩種場景上網(wǎng)慢的常見原因。
圖1-4?為什么網(wǎng)速這么慢故障樹
單上行出口上網(wǎng)慢故障處理
報(bào)文分片導(dǎo)致部分網(wǎng)頁打開慢
背景信息
如果僅是部分網(wǎng)頁訪問慢,其他網(wǎng)頁訪問正常,則大概率是由于TCP最大報(bào)文段長度MSS(Max Segment Size)值配置不合理,導(dǎo)致報(bào)文被分片傳輸,影響用戶的上網(wǎng)速度。此時(shí),可以參考本節(jié)內(nèi)容,修改報(bào)文分片的參數(shù)值。
最大傳輸單元MTU(Maximum Transmission Unit)是用來標(biāo)識IP報(bào)文是否分片的選項(xiàng)。如果對端發(fā)送的IP報(bào)文長度超過MTU值,則IP報(bào)文會進(jìn)行分片處理。為了保證TCP報(bào)文不分片,配置過程中需要注意MSS與MTU的關(guān)系。一般情況下,為了不影響報(bào)文傳輸,MSS值加上報(bào)文開銷(TCP首部、IP首部等)不超過MTU值。例如,以太網(wǎng)接口的缺省MTU值為1500字節(jié),為了保證報(bào)文不分片,MSS值最大配置為1460(1500 ? 20(TCP首部最小長度) ? 20(IP首部最小長度))字節(jié)。推薦用戶配置MSS值為1200字節(jié)。
定位步驟
【1】執(zhí)行命令display ip interface brief,查看公網(wǎng)接口是物理接口還是Dialer接口。
?display?ip?interface?brief
*down:?administratively?down????????????????????????????????????????????????????
^down:?standby??????????????????????????????????????????????????????????????????
(l):?loopback???????????????????????????????????????????????????????????????????
(s):?spoofing???????????????????????????????????????????????????????????????????
(E):?E-Trunk?down????
The?number?of?interface?that?is?UP?in?Physical?is?2?????????????????????????????
The?number?of?interface?that?is?DOWN?in?Physical?is?3???????????????????????????
The?number?of?interface?that?is?UP?in?Protocol?is?2?????????????????????????????
The?number?of?interface?that?is?DOWN?in?Protocol?is?3???????????????????????????
Interface?????????????????????????IP?Address/Mask??????Physical???Protocol??????
Atm0/0/0??????????????????????????unassigned???????????down???????down??????????
Bridge-if10???????????????????????unassigned???????????down???????down??????????
MFR0/0/1??????????????????????????unassigned???????????down???????down??????????
NULL0?????????????????????????????unassigned???????????up?????????up(s)?????????
GE0/0/1???????????????????????????x.x.x.x/24???????????up?????????up???
GE0/0/2???????????????????????????x.x.x.x/24???????????up?????????up
【2】如果是物理接口,則在物理接口視圖下執(zhí)行命令tcp adjust-mss配置接口的TCP最大報(bào)文段長度,推薦數(shù)值為1200。
?system-view
[Huawei]?interface?GigabitEthernet?0/0/1
[Huawei-GigabitEthernet0/0/1]?tcp?adjust-mss?1200
【3】如果是Dialer接口,則在Dialer接口視圖下執(zhí)行命令tcp adjust-mss配置接口的TCP最大報(bào)文段長度,推薦數(shù)值為1200,并執(zhí)行命令mtu配置接口的最大傳輸單元值為1492。對于Dialer接口,adjust-mss值和mtu值不能配置一樣。
[Huawei]?interface?Dialer?0
[Huawei-Dialer0]?tcp?adjust-mss?1200
[Huawei-Dialer0]?mtu?1492
[Huawei-Dialer0]?restart
【4】建議同步將私網(wǎng)接口的TCP最大報(bào)文段長度值也配置成推薦值1200。假設(shè)私網(wǎng)接口為GE0/0/2,則在私網(wǎng)接口上配置tcp adjust-mss 1200命令。
?system-view
[Huawei]?interface?GigabitEthernet?0/0/2
[Huawei-GigabitEthernet0/0/2]?tcp?adjust-mss?1200
私網(wǎng)流量大導(dǎo)致設(shè)備的Session資源耗盡
背景信息
當(dāng)網(wǎng)絡(luò)中存在一些攻擊行為或者業(yè)務(wù)較多時(shí),路由器會收到大量流量,路由器的Session和Block內(nèi)存資源很快會被耗盡,超過閾值。其他正常用戶可能會因?yàn)榉峙洳坏絊ession和Block資源而出現(xiàn)上網(wǎng)慢情況。此時(shí),可以參考本節(jié)內(nèi)容,檢查下設(shè)備的Session和Block資源是否正常。如果發(fā)現(xiàn)資源被耗盡,則通過traffic-policy或者traffic-filter命令禁止端口上的異常流量通過,同時(shí)找出攻擊源進(jìn)行殺毒。如果正常流量本身就很多,超過了設(shè)備的性能,則需要更換更高性能的設(shè)備。
定位步驟
【1】執(zhí)行命令display logbuffer,查看Log緩沖區(qū)記錄的信息中是否有大量Session和Block內(nèi)存資源過載的日志。
?display?logbuffer
Logging?buffer?configuration?and?contents:?enabled??????????????????????????????
Allowed?max?buffer?size:?1024???????????????????????????????????????????????????
Actual?buffer?size:?512?????????????????????????????????????????????????????????
Channel?number:?4,?Channel?name:?logbuffer??????????????????????????????????????
Dropped?messages:?0?????????????????????????????????????????????????????????????
Overwritten?messages:?167???????????????????????????????????????????????????????
Current?messages:?512?
Mar??5?2021?15:47:25+08:00?Huawei?%%01FORWARD/4/SESSION-RES-LACK(l)[135]:The?device?session?resources?were?overloaded.(Usage?=?94%)
Mar??5?2021?16:29:25+08:00?Huawei?%%01FORWARD/4/CAP-BLOCK-RES-LACK(l)[259]:The?block?memory?resources?were?overloaded.(Usage?=?97%)
Mar??5?2021?16:34:25+08:00?Huawei?%%01FORWARD/4/SESSION-RES-LACK(l)[261]:The?device?session?resources?were?overloaded.(Usage?=?92%)
Mar??5?2021?16:43:25+08:00?Huawei?%%01FORWARD/4/CAP-BLOCK-RES-LACK(l)[273]:The?block?memory?resources?were?overloaded.(Usage?=?96%)
【2】進(jìn)入診斷視圖,執(zhí)行命令display session statistics top 10 order-by source-ip根據(jù)源IP地址統(tǒng)計(jì)Top 10用戶的Session信息,檢查Total Sessions字段的值是否接近設(shè)備的Session規(guī)格。設(shè)備的Session規(guī)格可以在規(guī)格查詢工具中查到,以AR1220C為例,選擇“接入路由器”->“AR1220C”->“軟件性能”->“IP應(yīng)用”->“NAT”->“最大并發(fā)連接數(shù)”。
[Huawei]?diagnose
[Huawei-diagnose]?display?session?statistics?top?10?order-by?source-ip
Session?statistic?top?10?(Condition:?Source?IP,?Service:?SESSION,?Items:?10,?Total?Sessions:?25768)
-------------------------------------------------------------------------------------------------
TOP-N?????IP/Port???????????????????????Counts??????????????Percentage(%)???????
-------------------------------------------------------------------------------------------------
1?????????192.168.1.99??????????????????19714???????????????76.505744???????????
2?????????192.168.1.88??????????????????5988????????????????23.238125???????????
3?????????192.168.1.165?????????????????9???????????????????0.034927
【3】如果設(shè)備的Session數(shù)已達(dá)到設(shè)備的規(guī)格,且發(fā)現(xiàn)Top 10會話里有大量私網(wǎng)終端建立的會話(源IP地址為私網(wǎng)終端的IP地址,例如步驟1中的192.168.1.99和192.168.1.88),說明私網(wǎng)中可能存在攻擊行為。此時(shí),執(zhí)行命令display session statistics top 10 order-by destination-port進(jìn)一步查看私網(wǎng)終端建立的會話的端口信息。本例中,私網(wǎng)用戶建立了大量目的端口為445和1433的會話,建議在私網(wǎng)接口上配置ACL規(guī)則拒絕目的端口為445和1433的流量通過。
[Huawei-diagnose]?display?session?statistics?top?10?order-by?destination-port
Session?statistic?top?10?(Condition:?Destination?Port,?Service:?SESSION,?Items:?10,?Total?Sessions:?25768)
-------------------------------------------------------------------------------------------------
TOP-N?????IP/Port???????????????????????Counts??????????????Percentage(%)???????
-------------------------------------------------------------------------------------------------
1?????????445???????????????????????????15486???????????????60.097796???????????
2?????????1433??????????????????????????9565????????????????37.119683???????????
3?????????3389??????????????????????????648?????????????????2.514747
[Huawei-diagnose]?quit??
[Huawei]?interface?GigabitEthernet?0/0/0
[Huawei-GigabitEthernet0/0/0]?display?this
#
ip?address?192.168.1.255?255.255.255.0
在流策略里綁定ACL并將流策略應(yīng)用到私網(wǎng)接口GE0/0/0,不允許目的端口為445和1433的流量通過私網(wǎng)接口,從而解決故障。
[Huawei]?acl?3000?
[Huawei-acl-adv-3000]?rule?20?permit?tcp??destination-port?eq?445
[Huawei-acl-adv-3000]?rule?25?permit?tcp??destination-port?eq?1433
[Huawei-acl-adv-3000]?quit
[Huawei]?traffic?classifier?virus?operator?or
[Huawei-classifier-virus]?if-match?acl?3000
[Huawei-classifier-virus]?quit
[Huawei]?traffic?behavior?virus
[Huawei-behavior-virus]?deny
[Huawei-behavior-virus]?quit
[Huawei]?traffic?policy?virus?
[Huawei-trafficpolicy-virus]?classifier?virus?behavior?virus?
[Huawei-trafficpolicy-virus]?quit
[Huawei]?interface?GigabitEthernet?0/0/0
[Huawei-GigabitEthernet0/0/0]?traffic-policy?virus?outbound
[Huawei-GigabitEthernet0/0/0]?traffic-policy?virus?inbound
【4】如果檢查之后,沒有發(fā)現(xiàn)私網(wǎng)有攻擊行為,則說明私網(wǎng)的業(yè)務(wù)較多,流量大屬于正常現(xiàn)象,當(dāng)前的設(shè)備性能已無法滿足私網(wǎng)的業(yè)務(wù),需要更換性能更高的設(shè)備。
私網(wǎng)存在ARP攻擊導(dǎo)致用戶上網(wǎng)時(shí)斷時(shí)續(xù)
背景信息
如果用戶發(fā)現(xiàn)上網(wǎng)時(shí)斷時(shí)續(xù),且網(wǎng)速特別慢,則很有可能是因?yàn)樗骄W(wǎng)存在ARP攻擊。此時(shí),可以參考本節(jié)內(nèi)容,檢查設(shè)備上是否存在ARP攻擊。
定位步驟
【1】執(zhí)行命令display logbuffer檢查設(shè)備運(yùn)行日志,看是否有ARP協(xié)議報(bào)文因CPU閥值的限制被丟棄。
Sep??9?2021?16:01:55+00:00?Huawei?%%01SECE/4/PORT_ATTACK(l)[0]:Port?attack?occurred.(Slot=MPU,?SourceAttackInterface=GigabitEthernet0/0/0,?OuterVlan/InnerVlan=0/0,?AttackPackets=64?packets?per?second)
Sep??9?2021?16:01:54+00:00?Huawei?%%01DEFD/4/CPCAR_DROP_MPU(l)[1]:Some?packets?are?dropped?by?cpcar?on?the?MPU.?(Packet-type=arp-miss,?Drop-Count=770)
Sep??9?2021?16:01:54+00:00?Huawei?%%01DEFD/4/CPCAR_DROP_MPU(l)[2]:Some?packets?are?dropped?by?cpcar?on?the?MPU.?(Packet-type=arp-request,?Drop-Count=3458)
【2】如果日志中有ARP報(bào)文被丟棄,則懷疑設(shè)備連接的私網(wǎng)中存在ARP攻擊。此時(shí),可以在設(shè)備上配置攻擊溯源功能,進(jìn)一步排查。
?system-view
[Huawei]?cpu-defend?policy?1
[Huawei-cpu-defend-policy-1]?auto-defend?enable
[Huawei-cpu-defend-policy-1]?auto-defend?threshold?40??//可適當(dāng)調(diào)整建議不要太小
[Huawei-cpu-defend-policy-1]?auto-defend?attack-packet?sample?5
[Huawei-cpu-defend-policy-1]?auto-defend?protocol?all
[Huawei-cpu-defend-policy-1]?auto-defend?trace-type?source-ip?source-mac?source-portvlan
[Huawei-cpu-defend-policy-1]?auto-defend?alarm?enable
[Huawei-cpu-defend-policy-1]?quit
[Huawei]?cpu-defend-policy?1??
[Huawei]?cpu-defend-policy?1?global??
【3】配置完攻擊溯源后,當(dāng)網(wǎng)絡(luò)出現(xiàn)異常時(shí),在設(shè)備上執(zhí)行命令display auto-defend attack-source進(jìn)一步確認(rèn)是否存在ARP攻擊。
[Huawei]?display?auto-defend?attack-source
??Attack?Source?User?Table:
??-------------------------------------------------------------------------
??????MacAddress???????InterfaceName??????Vlan:Outer/Inner??????TOTAL?
??-------------------------------------------------------------------------
??xxxx-xxxx-xxxx???GigabitEthernet0/0/1?????????0???????????????368????
??yyyy-yyyy-yyyy???GigabitEthernet0/0/0?????????0???????????????7152???
??-------------------------------------------------------------------------
??Total:?2
??Attack?Source?Port?Table:
??-----------------------------------------------------
????InterfaceName????????Vlan:Outer/Inner???????TOTAL??
??-----------------------------------------------------
??GigabitEthernet0/0/1?????0????????????????????368???
??GigabitEthernet0/0/0?????0????????????????????23472?
??-----------------------------------------------------
??Total:?2
??Attack?Source?IP?Table:
??-------------------------------------
???IPAddress????????TOTAL?Packets?
??-------------------------------------
??x.x.x.x??????368????
??y.y.y.y??????7152???
??-------------------------------------??
??Total:?2
如上所示,私網(wǎng)中源IP地址為y.y.y.y,源MAC為yyyy-yyyy-yyyy的用戶發(fā)送了大量的攻擊報(bào)文(本例中GE0/0/1為公網(wǎng)接口,報(bào)文數(shù)量增長不大,可以忽略)。此時(shí),根據(jù)被攻擊端口GE0/0/0,逐層往下找到攻擊源用戶,使用殺毒軟件殺毒,解決故障。
【4】如果無法查到攻擊源用戶,可以在設(shè)備的私網(wǎng)接口GE0/0/0上配置ACL規(guī)則過濾掉二層ARP流量功能,拒絕源MAC地址為yyyy-yyyy-yyyy的報(bào)文通過私網(wǎng)接口,解決故障。
[Huawei]?acl?number?4444
[Huawei-acl-L2-4444]?rule?5?deny?l2-protocol?arp?source-mac?yyyy-yyyy-yyyy?
[Huawei]?interface?gigabitethernet?0/0/0
[Huawei-GigabitEthernet0/0/0]?traffic-filter?inbound?acl?4444
[Huawei-GigabitEthernet0/0/0]?quit
[Huawei]?quit
公網(wǎng)接口狀態(tài)異常導(dǎo)致網(wǎng)速慢
背景信息
如果公網(wǎng)接口狀態(tài)異常,也會導(dǎo)致用戶上網(wǎng)慢,例如,接口的狀態(tài)異常、接口的雙工模式不對。此時(shí),可以參考本節(jié)內(nèi)容,檢查下AR設(shè)備連接公網(wǎng)的接口狀態(tài)是否正常。
定位步驟
【1】假設(shè)AR設(shè)備連接公網(wǎng)的接口為GE0/0/1,執(zhí)行命令display interface查看公網(wǎng)接口的信息,關(guān)注Duplex、Total Error、CRC、Giants等加粗部分的參數(shù)值。
?display?interface?GigabitEthernet?0/0/1?????????????????????????????????
GigabitEthernet0/0/1?current?state?:?UP?????????????????????????????????????????
Line?protocol?current?state?:?UP????????????????????????????????????????????????
Last?line?protocol?up?time?:?2021-10-08?09:00:00????????????????????????????????
Description:HUAWEI,?AR?Series,?GigabitEthernet0/0/1?Interface???????????????????
Route?Port,The?Maximum?Transmit?Unit?is?1500????????????????????????????????????
Internet?Address?is?120.44.5.15/24??????????????????????????????????????????????
IP?Sending?Frames'?Format?is?PKTFMT_ETHNT_2,?Hardware?address?is?60d7-55f0-42c1?
Last?physical?up?time???:?2021-10-08?09:00:00???????????????????????????????????
Last?physical?down?time?:?2021-10-08?08:58:09???????????????????????????????????
Current?system?time:?2021-10-22?06:14:56????????????????????????????????????????
Port?Mode:?COMMON?COPPER????????????????????????????????????????????????????????
Speed?:??100,??Loopback:?NONE???????????????????????????????????????????????????
Duplex:?FULL,??Negotiation:?ENABLE??????????????????????????????????????????????
Mdi???:?AUTO,??Clock???:?-??????????????????????????????????????????????????????
Last?300?seconds?input?rate?99992?bits/sec,?50?packets/sec??????????????????????
Last?300?seconds?output?rate?192?bits/sec,?0?packets/sec????????????????????????
Input?peak?rate?223880?bits/sec,Record?time:?2021-10-13?14:13:56????????????????
Output?peak?rate?18464?bits/sec,Record?time:?2021-10-20?07:27:05????????????????
Input:??55586497?packets,?13516267464?bytes?????????????????????????????????????
??Unicast:??????????????10526,??Multicast:??????????????195548??????????????????
??Broadcast:?????????55380423,??Jumbo:???????????????????????-??????????????????
??Discard:??????????????????0,??Total?Error:?????????????????0??????????????????
??CRC:??????????????????????0,??Giants:??????????????????????0??????????????????
??Jabbers:??????????????????0,??Throttles:???????????????????0??????????????????
??Runts:????????????????????0,??Symbols:?????????????????????0??????????????????
??Ignoreds:?????????????????0,??Frames:??????????????????????0??????????????????
Output:??9237?packets,?590811?bytes?????????????????????????????????????????????
??Unicast:???????????????9227,??Multicast:???????????????????0??????????????????
??Broadcast:???????????????10,??Jumbo:???????????????????????-??????????????????
??Discard:??????????????????0,??Total?Error:?????????????????0??????????????????
??Collisions:???????????????0,??ExcessiveCollisions:?????????0??????????????????
??Late?Collisions:??????????0,??Deferreds:???????????????????0??????????????????
????Input?bandwidth?utilization?threshold?:?100.00%?????????????????????????????
????Output?bandwidth?utilization?threshold:?100.00%?????????????????????????????
????Input?bandwidth?utilization??:?0.11%????????????????????????????????????????
????Output?bandwidth?utilization?:?0.01%
【2】如果在全雙工模式下,公網(wǎng)接口的雙工模式被協(xié)商成了半雙工,則公網(wǎng)接口在發(fā)送報(bào)文時(shí)會丟包,從而影響用戶的上網(wǎng)速度。此時(shí),可以檢查公網(wǎng)接口協(xié)商的雙工狀態(tài)是否正確,即Duplex是否為FULL。
如果發(fā)現(xiàn)接口雙工模式協(xié)商的不對,則可能是設(shè)備本身協(xié)商錯(cuò)了,也可能是對端接口的速率與本端接口的速率不一致導(dǎo)致。先在公網(wǎng)接口上執(zhí)行命令speed,修改本端接口的速率和對端相同。
?system-view???????????????????????????????????????????????????????
[Huawei]?interface?GigabitEthernet?0/0/1
[Huawei-GigabitEthernet0/0/1]?undo?negotiation?auto
[Huawei-GigabitEthernet0/0/1]?speed?100
速率修改成一致后,如果接口的雙工模式仍然協(xié)商錯(cuò)誤,則可以執(zhí)行命令duplex full手動配置接口的雙工模式為全雙工。
?system-view???????????????????????????????????????????????????????
[Huawei]?interface?GigabitEthernet?0/0/1
[Huawei-GigabitEthernet0/0/1]?duplex?full
[Huawei-GigabitEthernet0/0/1]?quit
[Huawei]?quit
如果上述步驟無法解決雙工問題,建議直接更換一根確認(rèn)為好的網(wǎng)線,重新對接端口。
【3】如果接口上存在一些錯(cuò)包計(jì)數(shù),即Total Error、CRC等參數(shù)不為0,則說明設(shè)備收到了錯(cuò)誤報(bào)文。設(shè)備收到錯(cuò)誤報(bào)文的原因比較多,可能是使用的線纜類型錯(cuò)誤,也可能是對端設(shè)備的問題。
【4】如果以上操作都無法解決接口異常問題,則有可能是硬件故障,可以嘗試更換一臺新的設(shè)備解決故障。
雙上行出口/多上行出口上網(wǎng)慢故障處理
Dialer接口撥號失敗后路由未失效
背景信息
正常情況下,在雙鏈路/多鏈路PPPoE撥號場景中,如果一條PPPoE鏈路撥號失敗,用戶的上網(wǎng)流量會切換到其他正常的鏈路轉(zhuǎn)發(fā)。但是,如果撥號失敗鏈路對應(yīng)的Dialer接口沒有Down掉,則該Dialer接口的路由會繼續(xù)生效。用戶的上網(wǎng)流量會繼續(xù)在該條撥號失敗的鏈路上轉(zhuǎn)發(fā),從而出現(xiàn)用戶訪問某些網(wǎng)頁慢的問題。此時(shí),可以參考本節(jié)內(nèi)容,使撥號失敗鏈路對應(yīng)的Dialer接口狀態(tài)為Down,并使對應(yīng)的路由失效。
定位步驟
【1】執(zhí)行命令display ip interface brief,查看Dialer接口與IP相關(guān)的簡要信息,包括IP地址、子網(wǎng)掩碼、物理鏈路和協(xié)議的Up/Down狀態(tài)等。
?display?ip?interface?brief
*down:?administratively?down????????????????????????????????????????????????????
^down:?standby??????????????????????????????????????????????????????????????????
(l):?loopback???????????????????????????????????????????????????????????????????
(s):?spoofing???????????????????????????????????????????????????????????????????
(E):?E-Trunk?down????
The?number?of?interface?that?is?UP?in?Physical?is?2?????????????????????????????
The?number?of?interface?that?is?DOWN?in?Physical?is?3???????????????????????????
The?number?of?interface?that?is?UP?in?Protocol?is?2?????????????????????????????
The?number?of?interface?that?is?DOWN?in?Protocol?is?3???????????????????????????
Interface?????????????????????????IP?Address/Mask??????Physical???Protocol??
Dialer1???????????????????????????unassigned???????????up?????????up(s)?????
Dialer2???????????????????????????100.64.40.165/32?????up?????????up(s)
【2】執(zhí)行命令display ip routing-table查看IPv4路由表的信息。
?display?ip?routing-table
Route?Flags:?R?-?relay,?D?-?download?to?fib,?T?-?to?vpn-instance
------------------------------------------------------------------------------
Routing?Tables:?Public
?????????Destinations?:?31???????Routes?:?32???????
Destination/Mask????Proto???Pre??Cost??????Flags?NextHop?????????Interface
????????0.0.0.0/0???Static??60???0???????????D???0.0.0.0?????????Dialer1
????????????????????Static??60???0???????????D???100.64.40.165???Dialer2
【3】根據(jù)步驟1和步驟2查到的信息,可以看到Dialer1接口雖然撥號失敗,未分配到IP地址,但是接口的物理和協(xié)議狀態(tài)都為UP,導(dǎo)致Dialer1接口的路由仍然生效。此時(shí),建議在每一個(gè)Dialer接口下配置命令dialer number 1 autodial,使Dialer接口撥號失敗后轉(zhuǎn)換為Down狀態(tài)。當(dāng)該Dialer接口的狀態(tài)變?yōu)镈own時(shí),對應(yīng)的路由也會同步失效。
<Huawei>?system-view
[Huawei]?interface?dialer?1
[Huawei-Dialer1]?dialer?number?1?autodial
[Huawei-Dialer1]?quit
[Huawei]?quit
公網(wǎng)口上收到的報(bào)文來回路徑不一致
背景信息
在雙出口/多出口鏈路上網(wǎng)場景,為了保證私網(wǎng)用戶可以從任意一個(gè)公網(wǎng)口上網(wǎng),每個(gè)公網(wǎng)口上都會配置NAT功能。AR的NAT功能會檢查公網(wǎng)口上收到報(bào)文的來回路徑是否一致,即報(bào)文從哪個(gè)公網(wǎng)口發(fā)送出去,對端回復(fù)的報(bào)文也要從該公網(wǎng)口收到。如果發(fā)現(xiàn)某個(gè)公網(wǎng)口上收到的報(bào)文來回路徑不一致,則會丟棄該報(bào)文,導(dǎo)致出現(xiàn)上網(wǎng)慢問題。
例如,AR的雙上行公網(wǎng)口分別為GE1和GE2,某個(gè)報(bào)文從GE1口發(fā)送出去,回程報(bào)文卻從GE2口回來,此時(shí),AR會丟棄該回程報(bào)文。出現(xiàn)這種報(bào)文來回路徑不一致的情況,一般都是由對端設(shè)備發(fā)送報(bào)文時(shí)路由選擇不對引起的。本節(jié)內(nèi)容主要是指導(dǎo)用戶如何在AR上定位出是否是因?yàn)閳?bào)文的來回路徑不一致引起的上網(wǎng)慢問題。具體的解決辦法需要聯(lián)系對端網(wǎng)絡(luò)工程師處理,可以檢查對端網(wǎng)絡(luò)的組網(wǎng)或者修改配置等,保證對端設(shè)備發(fā)出的報(bào)文滿足源進(jìn)源出的要求。
定位步驟
【1】假設(shè)AR雙上行公網(wǎng)口分別為GE0/0/1上和GE0/0/2,GE1口的對端設(shè)備所在的網(wǎng)絡(luò)地址為172.16.1.0/24,用戶訪問該網(wǎng)段的一臺主機(jī)的IP地址和端口號為172.16.1.254/24和65532。在AR的GE0/0/2口上配置基于ACL對報(bào)文流進(jìn)行過濾功能,即GE0/0/2口上僅允許源IP地址為172.16.1.254/24,源端口號為65532的報(bào)文通過。
?system-view
[Huawei]?acl?3000
[Huawei-acl-adv-3000]?rule?5?permit?tcp?source?172.168.1.254?0.0.0.0?source-port?eq?65532?
[Huawei-acl-adv-3000]?quit
[Huawei]?interface?GigabitEthernet?0/0/2
[Huawei-GigabitEthernet0/0/2]?traffic-filter?inbound?acl?3000
[Huawei-GigabitEthernet0/0/2]?quit
【2】在GE0/0/2上配置完流量統(tǒng)計(jì)功能后,執(zhí)行命令display acl all查看設(shè)備上是否有ACL匹配計(jì)數(shù)。如果有如下粗體部分的記錄,說明GE2口上收到了GE1口發(fā)出去的報(bào)文,出現(xiàn)了報(bào)文來回路徑不一致的情況,需要聯(lián)系對端網(wǎng)絡(luò)工程師處理。
[Huawei]?display?acl?all?????????????????????????????????????????????????????????
?Total?quantity?of?nonempty?ACL?number?is?1?????????????????????????????????????
Advanced?ACL?3000,?1?rule???????????????????????????????????????????????????????
Acl's?step?is?5?????????????????????????????????????????????????????????????????
?rule?5?permit?tcp?source?172.168.1.254?0?source-port?eq?65532?(2?matches)?
負(fù)載分擔(dān)場景下的用戶上網(wǎng)慢
背景信息
在雙出口/多出口場景中,鏈路之間的關(guān)系分為負(fù)載分擔(dān)和主備備份兩種。負(fù)載分擔(dān)是指同一時(shí)刻,多條鏈路都在轉(zhuǎn)發(fā)流量。主備備份表示同一時(shí)刻只有一條鏈路在轉(zhuǎn)發(fā)流量,另一條處于備份狀態(tài)。負(fù)載分擔(dān)可以提高鏈路使用效率,增加帶寬,主要通過配置多條等價(jià)路由來實(shí)現(xiàn)。主備備份可以提高鏈路可靠性,主要通過配置多條不同優(yōu)先級的路由來實(shí)現(xiàn)。
不同的企業(yè)使用不同的方式,但是在多條質(zhì)量差別較大的鏈路間使用負(fù)載分擔(dān)可能會引入上網(wǎng)慢問題。例如,AR將某個(gè)用戶訪問某個(gè)網(wǎng)頁的報(bào)文分配到兩條鏈路上轉(zhuǎn)發(fā),質(zhì)量較差的鏈路轉(zhuǎn)發(fā)報(bào)文慢,且丟包多,必然會影響用戶的上網(wǎng)體驗(yàn)。因此,在雙出口/多出口場景時(shí),如果遇到負(fù)載分擔(dān)場景下的上網(wǎng)慢問題,可以參考本節(jié)內(nèi)容,改成主備備份方式或者配置策略路由來解決。
定位步驟
【1】在AR上執(zhí)行命令display ip routing-table protocol static查看配置的靜態(tài)路由表信息。如果路由表內(nèi)有兩條優(yōu)先級相同的路由分別到不同的下一跳,說明兩條路由是等價(jià)路由,鏈路之間是負(fù)載分擔(dān)的關(guān)系。
?display?ip?routing-table?protocol?static????????????????????????????????
Route?Flags:?R?-?relay,?D?-?download?to?fib,?T?-?to?vpn-instance????????????????
------------------------------------------------------------------------------??
Public?routing?table?:?Static???????????????????????????????????????????????????
?????????Destinations?:?1????????Routes?:?2????????Configured?Routes?:?2????????
Static?routing?table?status?:???????????????????????????????????????????
?????????Destinations?:?0????????Routes?:?0?????????????????????????????????????
Static?routing?table?status?:?????????????????????????????????????????
?????????Destinations?:?1????????Routes?:?2?????????????????????????????????????
Destination/Mask????Proto???Pre??Cost??????Flags?NextHop?????????Interface??????
????????0.0.0.0/0???Static??60???0???????????????172.16.1.2??????Unknown????????
????????0.0.0.0/0???Static??60???0???????????????10.1.1.2????????Unknown
【2】刪掉其中一條路由,重新訪問網(wǎng)頁,檢查使用單鏈路上網(wǎng)時(shí)是否會出現(xiàn)上網(wǎng)慢現(xiàn)象。如果無,則說明兩條鏈路質(zhì)量都很好,上網(wǎng)慢并非是等價(jià)路由引起的問題,有可能是負(fù)載分擔(dān)算法配置不合理引起的。此時(shí),可以執(zhí)行命令ip load-balance hash,配置兩條等價(jià)路由的負(fù)載分擔(dān)方式。缺省情況下,IP報(bào)文基于源IP地址和目的IP地址進(jìn)行負(fù)載分擔(dān);TCP或者UDP報(bào)文基于源IP地址、目的IP地址、源端口號和目的端口號進(jìn)行負(fù)載分擔(dān)。
?system-view?
[Huawei]?ip?load-balance?hash?src-ip??//配置基于源IP地址進(jìn)行負(fù)載分擔(dān)
【3】如果其中一條路由上網(wǎng)慢,說明該條鏈路質(zhì)量差。建議執(zhí)行命令ip route-static,修改該條路由的優(yōu)先級,使其小于另一條路由的優(yōu)先級,讓該條鏈路成為備份鏈路。路由優(yōu)先級值越大,路由優(yōu)先級越低。
[Router]?ip?route-static?0.0.0.0?0?10.1.1.2?preference?100
【4】如果用戶不想把兩條鏈路改成主備備份,仍然希望兩條鏈路都能轉(zhuǎn)發(fā)流量,也可以通過配置策略路由的方式解決該問題。策略路由配置的原則為讓質(zhì)量好的鏈路多轉(zhuǎn)發(fā)一些流量,質(zhì)量差的鏈路少轉(zhuǎn)發(fā)一些流量。例如,讓70%的用戶流量從質(zhì)量好的鏈路轉(zhuǎn)發(fā),30%的用戶流量從質(zhì)量差的鏈路轉(zhuǎn)發(fā)。
主備鏈路場景下的用戶上網(wǎng)慢
背景信息
在雙出口/多出口場景中,有些企業(yè)用戶對鏈路的可靠性要求較高,會同時(shí)部署多條鏈路作為主備鏈路。這種組網(wǎng)確實(shí)可以提高鏈路可靠性,減少丟包,但不表示一點(diǎn)丟包都沒有。當(dāng)主鏈路發(fā)生故障時(shí),AR會刪除NAT表項(xiàng)里該條鏈路的相關(guān)信息,并等待客戶端給服務(wù)器發(fā)送新的建立連接請求。AR則根據(jù)客戶端發(fā)送的連接請求重新建立會話表項(xiàng)。AR重新建立會話表項(xiàng)的時(shí)間依賴于客戶端和服務(wù)器之間的報(bào)文交互時(shí)間。極端情況下,如果客戶端一直不發(fā)請求,則網(wǎng)絡(luò)訪問會中斷。有些用戶不太了解AR建立連接的機(jī)制,會誤認(rèn)為出故障了,實(shí)際上屬于正常上網(wǎng)慢現(xiàn)象。如果遇到主備鏈路場景下的上網(wǎng)慢問題,可以參考本節(jié)內(nèi)容,檢查是否由于重新建立連接引起的。
定位步驟
【1】在AR路由器上連續(xù)多次執(zhí)行命令display nat session查看NAT映射表項(xiàng)信息是否有變化。
<Huawei>?display?nat?session?all?verbose
??NAT?Session?Table?Information:
?????Protocol??????????:?TCP(6)
?????SrcAddr??Port?Vpn?:?10.200.200.200?65532
?????DestAddr?Port?Vpn?:?10.100.100.100?1024
?????Time?To?Live??????:?60?s
?????NAT-Info
???????New?SrcAddr?????:?10.10.10.10
???????New?SrcPort?????:?10240
???????New?DestAddr????:?10.30.30.30
???????New?DestPort????:?21
?????Protocol??????????:?UDP(6)
?????SrcAddr??Port?Vpn?:?10.200.200.200?65532
?????DestAddr?Port?Vpn?:?10.100.100.100?1024
?????Time?To?Live??????:?60?s
?????NAT-Info
???????New?SrcAddr?????:?10.10.10.10
???????New?SrcPort?????:?10240
???????New?DestAddr????:?10.30.30.3
???????New?DestPort????:?21
??Total?:?2
【2】如果發(fā)現(xiàn)NAT表項(xiàng)中“SrcAddr Port Vpn”字段的源端口號發(fā)生變化,說明AR設(shè)備上重新建立了NAT會話表項(xiàng),該上網(wǎng)慢是由NAT表項(xiàng)重新建立引起的,屬于正常情況,無需額外處理。
收集上網(wǎng)慢故障信息
如果以上步驟均未能解決您的問題,請先按如下步驟收集相關(guān)信息,然后尋求技術(shù)支持。
【1】收集故障相關(guān)信息
一鍵式收集設(shè)備的所有診斷信息并導(dǎo)出文件。
在用戶視圖下,執(zhí)行display diagnostic-information file-name 命令,采集設(shè)備診斷信息并保存為文件。
?display?diagnostic-information?dia-info.txt
??This?operation?will?take?several?minutes,?please?wait.........................
..................................................................??????????????
Info:?The?diagnostic?information?was?saved?to?the?device?successfully.
【2】收集設(shè)備的日志和告警信息并導(dǎo)出文件。
在用戶視圖下,執(zhí)行save logfile命令,將緩沖區(qū)的日志和告警信息保存為文件。
?save?logfile
Info:?It?may?take?several?seconds,please?wait...??
Save?log?file?successfully. 來源:網(wǎng)絡(luò)技術(shù)平臺
推薦閱讀
40 張最全計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)思維導(dǎo)圖
36 張圖詳解計(jì)算機(jī)網(wǎng)絡(luò)知識點(diǎn)
60 張圖詳解 98 個(gè)常見網(wǎng)絡(luò)概念
