usg6300带宽处理会话数达到最大限制导致部分nat server不生效

发布时间:  2015-09-17 浏览次数:  315 下载次数:  2
问题描述

1、网络拓扑

   USG6300作为公司的出网设备和运营商直接相连,基本的上网配置和nat server

2、问题现象

   同一个内网服务器配置三个nat server端口映射,只有其中一个pptp的nat server可以访问,其他不能访问

3、相关配置

   nat server的配置

   nat server pptp zone untrust protocol tcp global x.x.x.x pptp inside 172.16.1.240 pptp
   nat server 8000 zone untrust protocol tcp global  x.x.x.x 8688 inside 192.168.15.10 8000 no-reverse
   nat server 554 zone untrust protocol tcp global  x.x.x.x rtsp inside 192.168.15.10 rtsp no-reverse

   只有一个外网接口,无策略路由

   interface GigabitEthernet1/0/0
   ip address x.x.x.x 255.255.255.248
   service-manage https permit
   service-manage ping permit

   安全策略的配置

   security-policy

   rule name nvr
   source-zone untrust
   destination-zone trust
   destination-address 192.168.15.10 32
   action permit

 

告警信息


处理过程

1、查看配置无问题

2、在web界面监控——诊断中心——五元组丢包统计进行测试,发现有丢包

 

3、停止丢包统计进入“统计详情”页面,显示每条流的详细报文统计信息,对于存在问题的报文,可以在其“协议: 源地址:源端口 -> 目的地址:目的端口”字段下单击“报文示踪”,结果如下

 

4、从诊断结果来看,带宽处理会话数达到最大限制,正常丢包,查看带宽策略的配置

traffic-policy

profile 5m

  bandwidth total connection-limit per-ip 400

5、将限制数从400调整到2000,问题得到解决

6、附件为详细五元组丢包统计的图形化操作过程



  

根因

带宽处理会话数达到最大限制导致丢包

解决方案

带宽处理会话数达到最大限制从400调整到2000

建议与总结

1、下一代墙web界面的诊断中心排错时非常好用,简单且方便。就该问题而言,如果不通过web界面的话,需要使用命令行的流量统计才能找到原因。大多数用户都不熟悉命令,所以难得比较大。

END