所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

传输MTU值小导致BGP MPLS VPN用户无法访问某些网站

发布时间:  2019-07-17  |   浏览次数:  445  |   下载次数:  20  |   作者:  胡少军  |   文档编号: EKB0000330406

目录

问题描述

1、组网图:见附件"组网图”,NE40-8做PE,而S8505只是二层透传。
2、S8505下挂VPN用户可以访问访问多数网站,但是无法打开www.sina.com.cn,www.wowchina.com等网站。同时反映部分网站下载速度不快。18日下午可以打开www.163.com,www.online.sh.cn,但19日上午无法打开www.163.com,www.online.sh.cn。
      

告警信息


      

处理过程

1、在用户接入点,分析数据包:PC机访问www.163.comwww.sina.com.cn时,MSS字段协商结果都是1460。但是访问www.163.com时,可以看到返回的最大IP包长为total length=1492 bytes.而www.sina.com.cn返回tcp previous segment lost。详细见抓包附件。
2、电脑上ping -l 1472 -f  www.sina.com.cn,无法ping通,但ping -l 1468 -f  www.sina.com.cn就可以。
3、将NE80E和GSR互联GE链路的mpls mtu都调至1530,现象依旧。
4、通过修改注册表,将电脑的MTU修改为1492,重新访www.sina.com.cn,可以打开网页,访问www.wowchina.com也可以。
5、由于S8505至客户点是通过光电转换器方式光纤拉远接入客户的,而且NE80E/NE40-8/S8505还下挂大客户,无法当时调整MTU等参数,客户决定,次日上午直接到汇聚节点机房处理。
6、次日到达机房后,直接将电脑挂在S8505下,模拟用户(电脑MTU已经调回至1500),发现不但www.sina.com.cn,www.wowchina.com无法打开,而且www.163.com,www.online.sh.cn也无法打开。
7、同时调整NE80E和GSR互联GE链路MTU为1536,同时相应增大MPLS MTU,现象依旧;MTU调至1600,MPLS MTU相应增大,现象依旧。数据包分析结果依旧。
8、调整PE为NE80E,故障现象消失。为了定位原因,在该节点重新开设一个测试用户。
9、从处理过程分析,PE为NE40-8和PE为NE80E的区别在于:GSR返回给NE80E的报文多了4个byte,由于NE80E、NE40-8、S8505在同一机房,而GSR在异地核心机房,故障点应该出在GSR和NE80E的互联GE链路上。
10、测试时,同时在NE40上做端口镜像抓NE80E和NE40之间的双向报文,www.sina.com.cn返回http的continuation消息后,电脑返回一个tcp dup   ACK消息。
11、决定在NE80E上做端口镜像,抓GSR返回给NE80E的报文的。但是NE80E配置的是rainer单板,无法做镜像。
12、检查NE80E所配光模块,为10km,从距离分析,NE80E和GSR之间链路肯定存在传输。联系开局工程师,证实中间存在传输。 由于中间传输厂家正好是华为,请办事处传输工程师帮忙确认传输的MTU值。经确认,传输GE端口MTU是默认值1522(说明:传输的MTU是指链路层的允许通过的最大帧长,非TCP/IP体系的IP MTU),和故障现象非常吻合,可以很好解释多一跳就可能无法正常访问某些网站。
13、请客户维护人员联系传输机房增大MTU,客户修改为9600。经代维现场测试,故障现象消失。
     

根因

1、由于普通的IPV4用户访问正常,该MPLS VPN用户访问部分网站不正常,很可能是Path MTU 偏小所致。