现网usg2100部署nat后网速变慢

发布时间:  2014-09-12 浏览次数:  450 下载次数:  0
问题描述
内网用户通过USG2120BSR做NAT Outbound,动态分配地址池公网地址的方式,访问Internet,发现USG2120BSR的CPU使用率很高,而且用户上网速度较慢。
告警信息
===============================================
  ===============display cpu===============
===============================================
17:42:19  2012/10/09
CPU Usage Stat. Cycle: 49 (Second)
CPU Usage            : 64% Max: 100%
CPU Usage Stat. Time : 2012-10-09  17:42:19
CPU Usage Stat. Tick : 0x18ead(CPU Tick High) 0xa3f876a4(CPU Tick Low)
Actual Stat. Cycle   : 0x0(CPU Tick High) 0x62ba72dd(CPU Tick Low)

<USG2120BSR> display icmp statistics
  Input: bad formats       0      bad checksum                0                                                                    
         echo              0      destination unreachable     0                                                                    
         source quench     0      redirects                   0                                                                    
         echo reply        0      parameter problem           0                                                                    
         timestamp         0      information request         0                                                                    
         mask requests     0      mask replies                0                                                                    
         time exceeded     0                                                                                                       
  Output:echo              0      destination unreachable     3327150                                                                    
         source quench     0      redirects                   86                                                                    
         echo reply        0      parameter problem           0                                                                    
         timestamp         0      information reply           0                                                                    
         mask requests     0      mask replies                0
处理过程
针对不可达报文,规避这个问题的方法是配置严格的到防火墙自身的包过滤。
针对大量重定向报文,在放火墙上配置到地址池的黑洞路由。
格式为 ip route-static    地址池网段    地址池掩码    null。
配置后,cpu工作恢复正常,用户上网网速恢复正常。
根因
从统计信息看到,出现大量目的不可达报文,一般是有大量访问防火墙自身的流量。出现这种情况:一,有大量针对防火墙的攻击流量;二,防火墙NAT地址池地址使用防火墙接口地址,有大量从外网访问NAT地址池地址的流量。
另外,出现大量重定向报文,一般是出现了路由环路。出现路由环路一般是有大量从外网访问NAT地址池地址的流量,但NAT地址池地址不是防火墙接口地址。以NAT地址池地址为目的地址的报文,防火墙查路由,仍向外网口发送,但防火墙下行设备认为该地址的目的路由在防火墙上,将报文又发回到防火墙,从而导致路由环路。
建议与总结
以防火墙配置nat时,若遇到外网攻击报文,或者外网环路,均可引起nat工作异常,从而影响客户使用。虽然理论上来说防火墙配置并没问题,但我们可以使用黑洞路由来规避这些现网问题。

END