S12708 V200R005C00SPC300 启用Free rule导致每5分钟丢包

发布时间:  2017-02-20 浏览次数:  138 下载次数:  0
问题描述

问题描述:

S12708配置了Free rule功能后,在改free rule范围内的接口出现丢包情况,而且这个丢包情况是非常有规律的,每5分钟丢5~9个包。


组网拓扑:



组网描述:

两台S12708是二层透传到AR1,AR1是网关,在S12708-1上有接PORTAL服务器,所以有VLANIF ARP代理。在S12708-1S12708-2上是使用物理端口起PORTAL认证。


处理过程

1、做法在CLIENT1上配置10.168.190.113,PING网关AR1(10.158.213.22)。S12708上做流统分析,S12708-2 与client1互连接口 XG 1/0/0 ,S12708-1 ETH-2 ,XG 1/0/0均做进出方向的流统。发现丢包点在两台S12708设备上。 

 

2CLINET端有233个发包,在S12708-2 上收到的是233个包,在S12708-1 XG1/0/0口收到的是233个包,但在ETH-2上的发送报文只有227个包,丢包点暂时定位在S12708-1上。

 

3、全网是二层透传的,由于有部分用户需在S12708-1上做认证,于是在S12708-1上开启了ARP代理,并在XG1/0/0上开启了认证。所以最终让其他不需要进行认证的配置去往网关和相应服务器的free rule,让其不需要认证。

 

4、经研发分析,原来free rule功能会生成一个表项,该表项会每5分钟发出一个包作为探针,从而刷新表项,若是三层,free rule会自动发单播包到达网关或者相应服务器区请求应答,而在二层网络下,free rule功能会自动泛洪广播包,以寻求网关或者相应服务器的应答。在二层free rule刷新表项期间,free rule功能会失效,从而造成每5分钟丢包的情况。

解决方案

当配置二层free rule的时候,需在全局下配置access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address这样的命令使其直接发单播包到检测目标,而不是通过泛洪广播包来寻找目标。

END