由于回程报文被着色导致NE80E下挂用户MSN登录不上

发布时间:  2012-05-10 浏览次数:  99 下载次数:  0
问题描述
现网版本及补丁
NE40E&80E V300R003C02B697+V300R003C02SPH063
用户反映多台交换机下带MSN软件无法登陆




处理过程
1.用户的计算机的设置问题;
2.设备针对MSN端口号做了限制;
3.MSN报文被QoS丢弃。

根因
因为优先级映射较低,MSN报文被QoS丢弃。
解决方案
1. 让客户确认计算机在别的地方是否可以登录MSN,确认客户在其他网络可以登录,排除计算机设置问题;
2. 查看NE80E端口上是否应用了策略,限制了MSN的443端口,查看设备配置如下,没有发现有应用策略;
interface GigabitEthernet1/0/3.1103
vlan-type dot1q 1103
description xinshijie
 ip address 61.167.141.65 255.255.255.248
 ip address 221.212.251.145 255.255.255.252 sub
qos car cir 10240 cbs 102400 pbs 0 green pass red discard inbound
 qos car cir 10240 cbs 102400 pbs 0 green pass red discard outbound
3.在路由器其他端口上测试,发现MSN可以正常登录,比较配置发现,端口上的区别在interface GigabitEthernet1/0/3.1103上多了qos car限速。经测试,去掉该限速,该子接口下挂的用户MSN可以正常登录。
对于qos car这个配置,pbs配置为0,即为单令牌桶方式,只有绿色的报文能通过,黄色、红色的报文都是被丢弃的,怀疑回程的tcp报文被着色成黄色或红色,引起了丢弃。
4.抓包定位问题。
先看PC上送的报文,DSCP值为0,着色为green。

查看回程报文,发现从服务器回来的报文,其DSCP被置为22,对应af2 red,那么报文被丢弃就是正常的了。

继续查看连接服务器的端口为Eth-Trunk0、Eth-Trunk1,使能了简单流分类
<HRB_CON-R_FD_HW-NE80E-SR>display current-configuration interface  Eth-Trunk 0
#
interface Eth-Trunk0
 mtu 1600
 description To_SZ_NE80E_B G10/0/9_12/0/7 2G
 ip address 221.212.26.70 255.255.255.252
 ospf cost 10000
 ospf network-type p2p
 mpls
 mpls ldp
 trust upstream default
#
return
<HRB_CON-R_FD_HW-NE80E-SR>display current-configuration interface Eth-Trunk 1
#
interface Eth-Trunk1
 mtu 1600
 description To_FD_NE80E_B_G10/0/9_G12/0/7 2G
 ip address 221.212.26.66 255.255.255.252
 ospf cost 10000
 ospf network-type p2p
 mpls
 mpls ldp
 trust upstream default
#
return
由于使能了简单流分类,所以报文被着色,问题定位结束。


建议与总结
针对这种情况,建议用户在子接口上配置限速时,使用user-queue来做限速。
经过现网测试,用user-queue限速,MSN登录正常,限速正常。

END