园区交换机产品S9700 V2R1版本 NAT业务长连接问题

发布时间:  2014-09-12 浏览次数:  316 下载次数:  0
问题描述
S9700替换某银行客户现网设备,设备上线后,客户A反映某柜台关键业务在每天开门后,需要多次重连业务才能办理,当业务连接以后,整个工作日,业务无任何异常,直到第二天上班重新使用后,该问题又会出现。
告警信息
处理过程
SPU板卡的默认tcp老化时间为300s,割接前与客户沟通,设定的tcp的老化时间为3600s。 通过该问题的现象,在前一天下班后,到第二天开门营业的时间应该会超过12小时,S9700的老化时间最大只能设置40000s,不到12个小时,且该老化时间是对所有tcp连接生效,如果设置太长,会浪费系统资源和NAT地址池空间。

通过与客户A与该系统管理员了解都,该业务会在每两小10分钟发起类似于keep alive的数据包,所以将tcp的老化时间设置为超过7200s即可。
根因
通过以上客户反应的问题现象,初步可以把问题定位到该业务需要使用长连接,来保持业务终端与服务器端在一定时间内的tcp连接状态。业务终端与服务器端存在多个防火墙的部署,但考虑到割接前并无该问题,问题定位到刚替换上线的S9700 SPU板卡上,通过查看配置,该业务的服务器端IP地址,在SPU上做了NAT。

建议与总结
在设备替换操作以前,需充分了解各业务的特性,特别是在部署类似防火墙产品时,一定要考虑tcp的老化时间,结合客户各业务的需求,设计出合理的时间范围,既能满足客户需求,又不影响设备性能。

END