华为防火墙USG6650(V500R001)IPSEC业务晚上高峰时段出现业务下载变慢现象

发布时间:  2017-04-18 浏览次数:  168 下载次数:  0
问题描述

1、版本信息:V500R001

2、组网概述:两个局点A、B使用防火墙USG6650进行IPSEC VPN对接,隧道中传输业务流,A出口使用移动运营商,B出口使用铁通运营商业务;

3、组网拓扑图:



4、配置脚本:

因此次故障不涉及配置脚本问题,暂不列出配置信息。

该IPSEC VPN配置为最基础配置,无其它复杂配置内容;

5、故障现象的全面记录:

正常情况下,A局点的客户端访问B局点的服务器,下载视频及其它业务正常,下载速度能达到5Mbit/s;

非正常情况,(晚上7/8点到11点之间),A局点的客户端访问B局点的服务器,下载视频及其它业务变慢,下载速度仅仅能到500Kbit/s;


处理过程

1、出现此类情况,有以下几个怀疑方向

>1、怀疑是防火墙在出现问题的时段进行的限速导致;

>2、怀疑两个运营商之间链路存在差异,导致在晚上用网高峰期出现故障,导致带宽下载变慢;

>3、两个的业务在用户高峰时段出现承载问题,导致业务下载变慢;

2、处理过程:

查看设备IPSEC VPN建立状态,一切正常;

display ike sa

display ipsec sa

查看设备配置信息,是否有限速配置,在晚上8点到11点之间,查看后发现没有相关限速配置;

对链路两端互联网出口进行ping包测试,无丢包现象,并且延迟在40ms左右:

对链路两端内网进行PING测试,无丢包现象,并且延迟在30ms左右


3、打算在A局点和B局点搭建两台服务器,位置与拓扑图一致,模仿业务进行下载测试,当使用VPN保护的数据流时,在非正常情况下,A局点客户端访问B局点服务器测试下载变慢;

如果不使用VPN保护,A局点访问公网服务,下载正常,B局点访问公网服务,下载正常;

4、怀疑两家运营商对接时,对IPSEC VPN业务的端口4500进行限制导致下载变慢;测试时,使用两个局点服务器的80端口进行对接,并下载数据,下载速度能达到10Mbit/S;

最后将铁通运营商更改为移动运营商后,业务测试正常,在晚上高峰时段,业务下载也能达到5Mbit/s;





根因

1、此问题可能是由两家运营商之间对接时,出现对IPSEC VPN业务UDP协议的4500端口进行限制导致流量下载变慢;

解决方案

两家运营商更改为移动后,业务测试正常;

建议与总结

建议,在对两个局点使用IPSEC VPN的业务进行排查时,首先查看SA的建立状态,和两端局点的网络ping包是否有丢包;

建议将两个局点的运营商修改为同一家,这样不会出现运营商对接时进行某些限制的问题;

END