SecPath F100-M-G 压力大丢包率高,如何临时调整参数降低压力?
- 1关注
- 1收藏,1289浏览
问题描述:
你好,这几天由于疫情原因,异地办公外网请求量大,发现防火墙明显丢包比较严重,反映慢,上方接了3个不到100M的上网线路,丢包率在10
%-35%左右,请问有哪些对性能影响比较大的功能可以临时关闭或调整?
现在会话管理——会话数4000多个,我有40条流量监管的限速策略,启用了攻击防范中的黑名单、外部攻击扫描、连接数限制,域间策略中有2条网站访问限制策略,日志报表中只有黑名单日志,会话管理中使能了虚拟分片重组。
烦请给些建议能挺过这个疫情,现在临时采购也都很慢,麻烦了!
组网及组网描述:
三条100M上网线路——F100-M-G防火墙——S5560三层交换——内网
- 2020-02-02提问
- 举报
-
(0)
最佳答案
防火墙CPU 内存利用率高、接口流量大吗?如果确认丢在防火墙上,可以暂时先取消攻击防范设置
- 2020-02-02回答
- 评论(8)
- 举报
-
(0)
cpu 10%一下,内存30%,不高,流量也不到100M。 我又向下面查,发现核心交换S5500 ping 内部服务器丢包也严重,但内部服务器ping核心交换不丢包,这个可能是什么原因呢?
试了5-6台在同一网段的服务器都是单向丢包,但服务器之间互相ping不丢。
交换机和服务器是同一个网段吗?之间的互通报文经过防火墙吗? 交换机有ping保护机制,建议不要ping交换机或者使用交换机ping测试。 同时关注一下,防火墙多出口是配置了策略路由吗?还是3条等价的缺省路由,建议在出接口上配置保存上一跳,保证流量从某个接口进来,还从某个接口出去
交换机和核心三层,服务器在他的一个子网,互ping相当于直连不经过防火墙,现在试交换机ping服务丢但反过来不丢,奇怪。
好像找到原因了,好像和Openvpn有关,有人家里的网段和服务器网段重合好像就会引起问题,还没确认具体原因,但他调整一下网段我这里就ping正常了。
另外,判断防火墙负载高的方法就是看cpu、内存占用和带宽占用吗?如果不高就没事是吗?会话数是不是也得看?感谢!
如果是三条优先级不一样的缺省路由,实效的效果是一条在用,其他线路只是备份。建议在接口下配置保存上一跳功能:ip last-hop hold (接口视图)。 判断防火墙负载主要看CPU 、内存利用率,接口流量带宽占比,会话数也要看。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
如果是三条优先级不一样的缺省路由,实效的效果是一条在用,其他线路只是备份。建议在接口下配置保存上一跳功能:ip last-hop hold (接口视图)。 判断防火墙负载主要看CPU 、内存利用率,接口流量带宽占比,会话数也要看。