北京某客户 L1000-A公网口丢包问题经验案例

北京某客户公网出口采用L1000-A单链路，最近一直反馈生产业务时常中断，ping公网地址丢包，前期也联系过运营商共同定位链路问题，定位为链路不存在问题！

1：替换测试结果为：更换LB后公网地址不丢包、L1000-A直接连接PC，直连ping也不丢包，替换测试的结果使问题原因比较不清晰

    2：debug ip packet acl xxx显示，ping公网地址的时候，设备侧的收包确实大于发包，即存在设备无法发包的情况

通过查看代理商发送的设备诊断信息，发现内网接口流量比较大，已经达到了800M（此时CPU和内存并不高），因此怀疑此问题现象可能和内网接口流量大相关，因此建议代理商把内网口拔掉，然后测试结果显示，一切正常，不存在丢包情况：

内网口信息：

Ten-GigabitEthernet1/0 current state: UP

Line protocol current state: UP

Internet Address is 10.32.253.22/30 Primary

10Gb/s, Full-duplex, link type is force link

Output flow-control is disabled, input flow-control is disabled

Last clearing of counters: Never

    Peak value of input: 820912100 bytes/sec, at 2015-10-28 14:39:32

公网口信息：

GigabitEthernet0/2 current state: UP

Line protocol current state: UP

Description: Link TO UNICOM

The Maximum Transmit Unit is 1500

Internet Address is 220.197.182.2/28 Primary

100Mb/s, Full-duplex, link type is autonegotiation

Output flow-control is disabled, input flow-control is disabled

由于公网连接光猫，因此协商出来的速率只有100M，而内网万兆，存在大打小的情况

由于问题已经基本确定是由于内网流量过大导致，因此建议现场抓包，看一下流量模型：

抓包显示，来自10.32.90.5这个地址，存在大量的tcp syn报文，以及由此导致的端口复用报文，建议现场找到10.32.90.5这个主机后，关闭主机，问题得到解决

此类问题处理方式可以归结为以下几种方法：

1、替换测试，更换故障设备，查看问题是否复现，确定故障点

2、通过debug ip packet acl xxx查看设备收发包情况

3、通过抓包确定报文交互情况