USG5100上网速度变慢

发布时间:  2012-07-18 浏览次数:  174 下载次数:  0
问题描述
上网速度变慢。
告警信息
处理过程

1.  使用display cpu-usage命令查看CPU利用率是否超过60%。如果超过则进一步查看哪个进程使用过高,VIDL是空闲进程不需要关注。可以尝试如下操作看是否可以解决问题:

  • 在域间使用undo detect命令关闭不用的ASPF功能
  • 使用命令display firewall defend flag查看是否开启攻击防范过多,需要根据网络状态精确开启。
如果问题不能解决,请联系技术支持工程师。

2.  在设备CPU占用率正常,且内部网络互访正常的情况下,则可能是攻击导致占用带宽。

可以尝试在系统视图下使用firewall defend命令开启部分攻击防范功能,确认是否可以解决故障。

3.  调整攻击防范的参数,如UDP-Flood参数等,如果配置过低也会导致响应报文可以使用的带宽比较有限。

可以将参数适当调整大一些,确认是否可以解决故障。

4. 使用display qos命令,查看配置的qos功能中,是否流量监管的cir参数阈值配置过低。

根因
可能原因:
  1. CPU使用率过高,导致丢弃部分数据包。
  2. 遭到Flood攻击,导致转发普通报文速度变慢。
  3. 配置了攻击防范功能,而且阈值配置过低。
  4. 配置的QoS阈值过低。
  5. ASPF配置不当导致特定业务变慢。


出现业务缓慢往往与CPU使用率过高、链路流量过大和各种限速有关,如果是业务由缓慢逐渐变为停止,则很可能与Session表或Server-map表项被占满有关。如果网络状况持续缓慢,要首先检查CPU使用率、接口流量、和各种连接数限速、流量限速配置,然后检查Session表数量和Server-map表数量是否达到最大规格。
 

  1. CPU使用率过高,会导致转发能力不足而丢弃部分数据包,从而用户发现上网速度变慢。可以通过查看哪些进程占用CPU过多来进行定位,通常是如下原因引起:
    • 打开功能过多,一般ASPF、NAT ALG、IPSec、UTM、L2TP等特性占用CPU资源较大。
    • 遭到攻击,占用大量CPU资源。
    • 打开的攻击防范功能过多。
  2. 在设备CPU占用率正常,且内部网络互访正常的情况下,可能是上行的带宽被大量占用。
  3. 查看攻击防范配置的参数是否过低。
  4. 查看是否配置了QoS,且参数配置过低。
建议与总结

攻击防范及ASPF等功能,需要在完成初始配置后,根据自己的实际网络情况进行精确调整。参数配置过于宽松可能导致无法有效攻击防范、配置过于严格可能导致丢弃正常报文及对设备的额外负担。

如果设备所有包过滤全部放开,则不用配置ASPF命令;如果包过滤配置比较严格,只放开了知名端口,则需要考虑ASPF命令;一般在Internet环境中,防火墙只配置detect ftp即可;在3G网络中,一般需要RTSPALG,在多媒体专网中需要H.323 ALG;另外DNS ALG只是在nat server命令映射内网的DNS服务器的时候需要打开。

某些攻击防范,如果防范阈值过小,当业务流量增大时可能会造成正常报文的丢包,解决办法是增大阈值或取消速率限制。如UDP flood防范,防范阈值过小会导致丢包,影响业务;IP CARIP连接速率限制等都会因为阀值过小而影响业务。

END