USG5100V300R001通过抓包分析确定ISP丢特定包

发布时间:  2013-12-29 浏览次数:  511 下载次数:  0
问题描述

配置L2TP over IPSec后,客户端能够正常连接,但从10.10.0.37去ping 192.168.99.1丢包率达60%以上,ping L2TP VT接口也一样。用10.10.0.37直接ping公网地址200.1.1.1不丢包。
告警信息
处理过程
1、为了简化,将L2TP  over IPSec调整为L2TP,测试问题依旧。从而排除配置问题。
2、采用windows拨号连接,问题依旧,更换电脑问题依旧,基本排除客户端和PC的问题。
3、通过在客户端和防火墙上同时抓包进行分析。
 
从客户端抓包可以看出,客户端有时发5个request请求,中心端才回应1个reply,从表面上看问题一定出在防火墙侧。

从防火墙上抓包分析,防火墙每收到一个request,都回了一个reply。但是存在这样一个现象:只要收到request后,回应reply通常花了不到1ms时间,但等待下一个request需要6s到28s不等。这就说明在这6s到28s之间的ICMP请求全部被丢弃了。

4、初步分析与ISP网络有关,建议联系当地ISP。
5、经过与ISP联系,确定是该区域运营商采用了限制VPN的策略,VPN在该区域使用都将严重丢包。经过ISP配合处理问题解决。
根因
1、IPSec  VPN配置参数方面存在问题。
2、客户端存在问题。
3、运营商问题。
建议与总结
1、化复杂为简单,比如该例中将L2TP over IPSec简化为L2TP,直接省去了IPSec配置问题的排查。
2、恰当使用抓包工具,可以让复杂问题直观化。

END