我已经通过 IPIP 隧道与 Amazon 建立了基于路由的 IPSec 连接(使用 StrongSwan),在隧道统计信息中我看到丢弃量不断增加。物理接口上也有一些丢弃量,但我增加了环形缓冲区(ethtool -G)。所以现在物理接口没问题了。
我无法想象哪里可能存在问题。因为 IPSec 隧道已启动。但是该特定接口上丢弃的增加让我感到紧张。
VTI_awssg1: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1422
inet 169.254.134.26 netmask 255.255.255.252 destination 169.254.134.25
inet6 fe80::200:5efe:b954:3ce9 prefixlen 64 scopeid 0x20<link>
tunnel txqueuelen 1000 (IPIP Tunnel)
RX packets 164515900 bytes 18901337790 (17.6 GiB)
**RX errors 206912 dropped 206912** overruns 0 frame 0
TX packets 110799736 bytes 85951146842 (80.0 GiB)
TX errors 6 dropped 0 overruns 0 carrier 6 collisions 0
操作系统:Centos 7.9
有什么帮助吗?谢谢
答案1
这是一个非常有趣的问题。
我查看过源代码。
似乎只有单线与这些计数器的递增有关。
不幸的是,您应该使用启用选项的内核CONFIG_XFRM_STATISTICS来查看这些错误的确切原因。
读入错误的简要描述内核文档。您可以在源代码中查看这些指标的更多详细含义xfrm_input功能。
答案2
问题出在重放窗口设置上。Strongswan 的默认值 32 太小了。将其增加到 1024 - 错误消失了。