由于负载分担方式导致内网电脑部分网页打不开问题

发布时间:  2012-07-20 浏览次数:  107 下载次数:  0
问题描述
客户网络有两个出口,都做了NAT转换为内网提供上网。用户反映内网用户部分网站不能打开。
告警信息
处理过程

检查防火墙配置,没有看出有明显的配置错误。试着给设备打上下面的命令:

[USG5100]load-balance flow

再测试,内网用户可以正常上网。

根因

1,线路问题,导致丢包(更换物理线路不能解决问题,排除该原因)

2,内网有环路,攻击等(检查内网无环路,交换机配置正确,从内网Ping 防火墙内网口不丢包,包括大包,调整内网口MTU值仍不能解决问题)

3,检查防火墙配置

建议与总结

从测试结果看之前防火墙采用的负载分担方式应该是逐包的(但是配置中没想过显示),这将导致TCP会话建立出现问题,导致丢包。

逐流负载分担与逐包负载分担小结:

1)当到达某一目的IP地址的数据流存在多个链路时,同一条数据流的报文从同一条链路发送,不同的数据流根据一定的算法选择链路,选择链路的算法有以下两种:
Hash算法:根据源/目的IP地址,源/目的端口号计算出一个值,根据这个值选择一条链路进行报文转发。
轮询算法:依次选择空闲链路进行报文转发。
缺省情况下,设备采用Hash算法选择链路。

2)当启用逐包负载分担时,同一条数据流的报文不一定从相同的链路发送,而是会均匀的分配到不同的链路上。

在逐包负载分担下,设备采用轮询的算法选择链路。

END