Назад | Перейти на главную страницу

Потеря пакетов между межсетевым экраном и восходящим каналом?

У меня умеренно сложная топология сети между внешним брандмауэром и Интернетом, как показано ниже.

Время от времени - я еще не нашел закономерностей - мы получаем значительную потерю пакетов, около 25%. В большинстве случаев это менее 0,5%. Насколько я могу судить, единственная общность заключается в том, что весь отброшенный трафик проходит через интерфейс из vpn server Cisco ASA 5505 до gateway router, Cisco 2901.

редактировать

Помимо чисто отброшенных пакетов я также смотрю на время отклика. Любой трафик из gateway router к vpn server или fiber uplink добавляет именно 200 миллисекунд по сравнению с пингом, который останавливается на один шаг.

Поскольку высокое время отклика на пинг является обычным показателем максимальной загрузки ЦП, я проверил show process cpu, но он показывает использование только около 40%.

Есть предположения?

Конец редактирования

Предполагая, что проблема действительно находится в интерфейсе между ASA и 2901, я очистил статистику интерфейса на обоих устройствах.

С тех пор у нас было несколько периодов повышенной потери пакетов. Статистика интерфейса ниже, но не показывает ничего необычного, с моей точки зрения - нет искаженных или отброшенных пакетов, сброса интерфейса и т. Д. Настройки дуплекса и скорости совпадают.

Что мне не хватает? Все это оборудование находится в стадии разработки, со скоростью соединения не менее 100 Мбит / с.

шлюз маршрутизатор 

show interfaces GigabitEthernet 0/0
GigabitEthernet0/0 is up, line protocol is up
  Hardware is CN Gigabit Ethernet, address is a493.4ccc.b218 (bia a493.4ccc.b218)
  Internet address is xx.xx.xx.105/28
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 14/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full Duplex, 100Mbps, media type is RJ45
  output flow-control is unsupported, input flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters 00:15:51
  Input queue: 0/75/0/6427 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 511000 bits/sec, 401 packets/sec
  5 minute output rate 5526000 bits/sec, 590 packets/sec
     413812 packets input, 83711483 bytes, 0 no buffer
     Received 5 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 0 multicast, 0 pause input
     600299 packets output, 695003736 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 pause output
     0 output buffer failures, 0 output buffers swapped out

vpn сервер

show interface ethernet 0/1
Interface Ethernet0/1 "", is up, line protocol is up
  Hardware is 88E6095, BW 100 Mbps
        Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
        Available but not configured via nameif
        MAC address 001e.f76a.a441, MTU not set
        IP address unassigned
        215073 packets input, 247716476 bytes, 0 no buffer
        Received 7 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 L2 decode drops
        39 switch ingress policy drops
        148763 packets output, 21509818 bytes, 0 underruns
        0 output errors, 0 collisions, 0 interface resets
        0 babbles, 0 late collisions, 0 deferred
        0 lost carrier, 0 no carrier
        0 rate limit drops
        0 switch egress policy drops

Плохой оказался интерфейс на 5505 vpn сервере. Мы переселились, и с тех пор все идет как скала.