使用PAT方式的NAT导致上网慢

发布时间:  2014-09-20 浏览次数:  310 下载次数:  0
问题描述
组网结构:


用户反馈接在USG2100下面的PC上网很慢,网络游戏上线1分钟就掉线。
处理过程
1. 在内网PC做ping USG2100、USG2100的下一跳、DNS服务器以及公网百度,新浪等服务器测试,均正常,没有出现丢包和延时很大的情况。
2. 内网访问打开http页面时,登录USG2100查看会话发现,有会话只有单向流量的情况。
  http  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:10:00  Left: 00:09:51
  Interface: Dialer0  NextHop: 61.135.162.37  MAC: 00-00-00-00-00-00
  <--packets:4 bytes:990   -->packets:5 bytes:1177
  10.100.47.5: 1638[172.16.18.163:1503]-->61.135.162.37:80

  http  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:10:00  Left: 00:09:51
  Interface: Dialer0  NextHop: 61.135.162.37  MAC: 00-00-00-00-00-00
  <--packets:4 bytes:914   -->packets:5 bytes:1178
  10.100.47.5:1639 [172.16.18.163:1504]-->61.135.162.37:80

  http  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:05  Left: 00:00:4
  Interface: Dialer0  NextHop: 61.135.162.37  MAC: 00-00-00-00-00-00
  <--packets:0 bytes:0   -->packets:2 bytes:88
      10.100.47.5:1641 [172.16.18.163:1505]-->61.135.162.37:80

3. 现网配置nat server,对该内网IP做一对一的端口映射,问题不再出现。
4. USG2100 V300R001C00SPC700版本PAT方式的NAT端口分配机制是2048到65535的可用端口逐个分配。怀疑上行的TPLINK路由器对连续端口存在限制,认为是攻击丢弃了报文。USG2100 V300R001C00SPC900版本对端口转换机制做了调整,优先使用报文的原有端口,如果该端口已经被使用,再从端口池中递增获取。
5. 现网升级到V300R001C00SPC900版本后问题解决。
根因
上行TPLINK设备存在端口限制,导致USG2100使用PAT方式的NAT出现上网慢的情况。
解决方案
1. USG2100升级到最新的V300R001C00SPC900版本可以解决这个问题。
2. 如果有足够多的IP地址,可以改用NO-PAT方式做地址转换。

END