USG5160ping运营商网关丢包

发布时间:  2014-11-28 浏览次数:  334 下载次数:  0
问题描述
客户组网:
PC——S7706——USG5160——运营商网关
故障:
PC通过USG或者USG直接ping运营商的下一跳就丢包。ping的是1000的打包并且长ping,
丢包率为3.1%。PC通过S7706,直接连运营商的网络,ping不丢包
把USG与S7700的路由改成OSPF后几小时不丢包,一会儿又开始出现丢包的情况
告警信息
处理过程
1.请客户采集PC通过USG去ping运营商丢包以及PC通过S7700去ping运营商就不丢包的截图

2.检查客户的配置均正常:

3.分析客户的diag信息,CPU达到88%,但是是客户通过串口telnet登录到设备搜集diag信息导致的:
  =====================================================
  ===============display cpu-usage===============
=====================================================
19:09:41  2014/11/26
CPU Usage Stat. Cycle: 61 (Second)
CPU Usage            : 88% Max: 100%
CPU Usage Stat. Time : 2014-11-26  19:09:41
CPU Usage Stat. Tick : 0x5f3c5(CPU Tick High) 0x796e4f4a(CPU Tick Low)
Actual Stat. Cycle   : 0x0(CPU Tick High) 0xf4b60cdb(CPU Tick Low)
VIDL            12%               0/1f192fbb   //空闲状态,正常
vt0            79%               0/c172ae4a    //vt0为串口,初步判定为客户telnet并采集diag信息导致
  OS             2%               0/ 148abdd     //系统的OS进程

4.让客户做流量统计:
[USG5100-diagnose]display firewall statistic acl
10:54:24  2014/11/27

Current Show sessions count: 1
  
Protocol(ICMP) SourceIp(172.16.6.200) DestinationIp(222.177.213.101)  
SourcePort(1) DestinationPort(2048) VpnIndex(public)  
           Receive           Forward           Discard                                   //forward指防火墙转发的报文           discard指防火墙丢弃的报文
Obverse : 217        pkt(s) 217        pkt(s) 0          pkt(s)                 //obverses是会话的正向报文,防火墙收到217个,转发217个,没丢弃
Reverse : 203        pkt(s) 203        pkt(s) 0          pkt(s)                 //reverses是会话的反向回应报文,防火墙只收到203个,也转发了203个,没丢弃

  
Discard detail information:
5.初步判断不是我们设备的问题,怀疑是运营商那端间歇性的丢包。请客户用电脑模拟公网地址:222.*.*.101的地址,USG长ping,不丢包。内网用户电脑通过USG去ping模拟运营商公网的地址222.*.*.101也不丢。

进一步证实,经客户描述他曾有修改过路由为OSPF,好过一段时间,一会儿又有掉包的情况。请客户用S7700去快ping运营商网关,也出现丢包的情况:

再证实我们物理接口是没问题的:

根因
最终证明是运营商的,运营商的传输网络有问题,导致我们设备这端出现间歇性丢包的情况
解决方案
请客户联系运营商侧做测试和调整
建议与总结
遇到ping运营商网关丢包的情况:
1,首先确认是否是运营商链路问题,直接把运营商的链路连在电脑上去ping ,看是否丢包。如果不丢,请检查我端设备,反之,则是运营商链路问题
2,查看CPU高不高,CPU-defend丢包情况,有无告警信息等
3,丢包做流量统计,看设备丢的是什么包,大概丢多少?
USG做流统的方法:
配置ACL,范围尽量小,只包含需要调试的报文。
在诊断视图下执行命令firewall statistic acl 3000 enable。
[USG-diagnose] firewall statistic acl 3000 enable
在诊断视图下执行命令display firewall statistic acl。
[USG-diagnose] display firewall statistic acl                                
14:33:26  2010/03/27                                                        
Current Show sessions count: 1                                                 
Protocol(ICMP) SourceIp(172.16.1.156) DestinationIp(172.16.1.25)               
SourcePort(1) DestinationPort(2048) VpnIndex(public)                           
           Receive           Forward           Discard                       
Obverse : 4          pkt(s) 4          pkt(s) 0          pkt(s)             
Reverse : 4          pkt(s) 4          pkt(s) 0          pkt(s)              
                                                                              
Discard detail information: 
4,ping环回:127.0.0.1是否丢包?如果不丢则检查其他,如果丢包就需要采集数据联系华为工程师

END