S12708交换机下挂服务器内网ping大包丢包

发布时间:  2015-11-02 浏览次数:  413 下载次数:  0
问题描述

设备版本

<S12708_hxyy_A>dis current-configuration 

!Software Version V200R007C00SPC500

网络拓扑:


两台S12708采用VRRP组网下挂不同网段A、B两台服务器,A ping B 30000字节左右大包无法通过,且ping后链路中断。

告警信息


处理过程

1、进行cpu-defend阀值调整,使用如下命令进行调整

<S12708_hxyy_A> system-view

[S12708_hxyy_A] cpu-defend policy 1

[S12708_hxyy_A-cpu-defend-policy-1] car packet-type icmp cir 240000

[S12708_hxyy_A] cpu-defend-policy 1 global

调整后大包丢包问题仍然存在。

2、在交换机上进行流量统计,查看丢包地点。

192.168.10.13 (接交换机g8/0/10)上 ping  172.30.30.1(接G6/0/32),进行流量统计

在接口上做了双向统计

在192.168.10.13上ping 172.30.30.1六个小包,统计信息如下

在192.168.10.13上ping 172.30.30.1四个大包,统计信息如下

通过流统可以看出交换机上并未产生丢包,ping不通的原因在于目的服务器端并未回包。

3、进一步进行抓包分析,可以看到服务器B没有回应并在中间应答了一个超时报文(time-to-live exceeded),说明这项测试是服务器B的处理机制造成的。 



4、最终经过排查,由于服务器防火墙开启了大包保护功能,且收到大于其阀值的icmp包会触发其保护功能,自动断链12秒。大包ping完后出现10~20秒的中断也正因此。

根因

1、进行cpu-defend阀值调整

2、在交换机上进行流量统计,查看丢包地点。

3、进一步进行抓包分析,可以看到服务器B没有回应并在中间应答了一个超时报文,大包ping完后出现10~20秒的中断也正因此,说明这项测试是服务器B的处理机制造成的

4、最终经过排查,由于服务器防火墙开启了大包保护功能,且收到大于其阀值的icmp包会触发其保护功能,自动断链12秒。大包ping完后出现10~20秒的中断也正因此。

解决方案

产生大包丢包可能原因为:

1、交换机启用了cpu-defend保护功能,禁止大包通过。

进行cpu-defend阀值调整

2、服务器终端启用了某些防护功能,禁止大包通过。

关闭此防护功能

建议与总结

建议不要在现网运行设备上做测试,更不能随意改动设备组件,即使测试必须严格检查测试条件,确保测试前提无误

END