设置
2 个 Cisco ASA 5520
ASA 8.3(1)、ASDM 6.3(1)
IPSec 加密设置:
ESP-3DES-SHA,双向,完美转发保密组 1,8 小时生命周期或 4,608,000 千字节,启用 NAT-T
网络 A,芝加哥 10.110.1.0/24 100 MBPS Cogent 连接
网络 B,丹佛 10.110.2.0/24 以 60 MBPS 接入数据中心光纤网络
问题
芝加哥和德夫纳之间的任何流量(IPSec、HTTP、FTP 等)都会在丹佛 -> 芝加哥 7 MBPS 和芝加哥 -> 丹佛 1.5 MBPS 时遇到障碍。
测试
- Microsoft 更新从任一网络以 60+MBPS 的速度下载,因此我知道任一端的 WAN 连接都很快。
- 为了确保万无一失,我重新启动了两个防火墙。
- 从芝加哥 ASA 到另一个芝加哥 ASA 的传输速度达到预期的 45-50 MBPS。因此,看起来我的 ASA 不会受到速率限制,或者 IPSec 不会在直通输出方面遇到问题。白天 CPU 占用率为 3-4%,7/1.5 MBPS 传输期间占用率为 10%。
- 芝加哥和丹佛之间的跟踪路由共有 16 个跳数,没有一个跳数高于 60 毫秒
- 在 Windows 中通过 IPSec 隧道传输文件时,在 IPSec 隧道之外以 HTTP 或 FTP 流量形式传输,仍然会看到 7/1.5 MBPS 的限制。
- 已将台式机连接到我们位于芝加哥的 Cogent 交换机,分配了 WAN IP,传输了 HTTP 和 FTP 流量,但仍然看到 7/1.5 MBPS 的限制。
- 当我看到芝加哥和丹佛之间的限制以及下载文件时,查看了传输中的 TCP 窗口大小。两者均为 65,535。
- 要求数据中心查看线路,看是否有任何丢失的数据包、CRC 错误等。但他们什么也没看到。
- 24 小时 ping 显示没有数据包丢失,平均响应时间为 85 毫秒。
- 仔细检查了 Cisco ASA 设置,确保没有发出“police output”命令。我们的 ASA 非常普通,因为我们有一些 NAT、用于访问的 ACL 和回芝加哥的 IPSec VPN。
问题
- 我无法弄清楚在进行故障排除时要处理哪个 OSI 层。
- 我是否应该联系 ISP 并告知他们我的问题?我应该指责谁?
答案1
看起来是时候在两端运行 wireshark 了。我猜这会帮助你找到导致问题的流量。我们最近也遇到过类似的问题(它导致我们的 iscsi san 不同步),最终是因为数据中心交换机坏了。我使用 wireshark 日志向他们展示了问题所在,他们更换了交换机。
答案2
我的想法是,首先,尝试运行多个并发连接,看看你是否可以通过多个同时连接达到分配的速度,然后你几乎可以排除任何第 1、2 或 3 层困难
可以尝试进行 UDP 吞吐量测试,如果你可以发送 70mbps 的 UDP 流量,但 TCP 吞吐量被限制在 7mbps,那么我强烈倾向于认为这是某种 TCP 滑动窗口问题
几个月前我们遇到过类似情况,后来通过没有正确设置 MTU 的交换机解决了这个问题,我猜是它限制了 TCP 滑动窗口达到其峰值性能。我将验证您是否可以在 ping 上设置不分段位的情况下从一端到另一端发送 1500 字节数据包(互联网数据包的标准大小)。
希望这可以帮助