问

F1080 PING大包失败

包过滤

2024-04-19提问

1关注
0收藏，115浏览

zhiliao_ROoHn6

zhiliao_ROoHn6 零段

粉丝：0人关注：0人

问题描述：

华三F1080，ping包经过防火墙只能ping通8000的包，9000的包就不通，软件版本是f1000fw-cmw710-boot-R9345P2416.bin

220.110.40.17为服务器，220.110.31.254为交换机网关地址

C:\Users\jiang>ping -l 8000 220.110.40.17

正在 Ping 220.110.40.17 具有 8000 字节的数据:

来自 220.110.40.17 的回复: 字节=8000 时间=262ms TTL=125

来自 220.110.40.17 的回复: 字节=8000 时间=51ms TTL=125

来自 220.110.40.17 的回复: 字节=8000 时间=268ms TTL=125

来自 220.110.40.17 的回复: 字节=8000 时间=8ms TTL=125

220.110.40.17 的 Ping 统计信息:

数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

最短 = 8ms，最长 = 268ms，平均 = 147ms

C:\Users\jiang>ping -l 9000 220.110.40.17

正在 Ping 220.110.40.17 具有 9000 字节的数据:

请求超时。

220.110.40.17 的 Ping 统计信息:

数据包: 已发送 = 4，已接收 = 0，丢失 = 4 (100% 丢失)，

C:\Users\jiang>ping -l 65500 220.110.31.254

正在 Ping 220.110.31.254 具有 65500 字节的数据:

请求超时。

来自 220.110.31.254 的回复: 字节=65500 时间=66ms TTL=254

来自 220.110.31.254 的回复: 字节=65500 时间=67ms TTL=254

4 个回答

按时间按赞数

落啦耳朵

落啦耳朵五段

粉丝：14人关注：0人

拓扑是怎么样的呢？

拓朴是服务器（220.110.40.17）====服务器交换机=====IPS====防火墙=====核心交换机===接入交换机====PC

zhiliao_ROoHn6 发表时间：2024-04-19

回复zhiliao_ROoHn6:

防火墙是二层透明模式？

落啦耳朵发表时间：2024-04-19

1.4.5 配置以太网接口允许超长帧通过 1. 功能简介以太网接口在进行文件传输等大吞吐量数据交换的时候，接口收到的长度大于固定值的帧称为超长帧。该固定值的大小与设备的型号有关，请参见命令参考中的介绍。系统对于超长帧的处理如下： · 如果系统配置了禁止超长帧通过（通过undo jumboframe enable命令配置），会直接丢弃该帧不再进行处理。 · 如果系统允许超长帧通过，当接口收到长度在指定范围内的超长帧时，系统会继续处理；当接口收到长度超过指定最大长度的超长帧时，系统会直接丢弃该帧不再进行处理。 2. 配置步骤 (1) 进入系统视图。 system-view (2) 进入以太网接口视图。 interface interface-type interface-number (3) 允许超长帧通过。 jumboframe enable [ size ] 缺省情况下，设备允许指定长度的超长帧通过，但是允许通过的超长帧的长度与设备的型号有关，请参见命令参考中的介绍。多次执行该命令配置不同的size值时，最新的配置生效。

落啦耳朵发表时间：2024-04-19

[FW1080-IRF-Bridge-Aggregation30]jumboframe enable ? INTEGER<9216-9216> Maximum jumbo frame size allowed <cr>

zhiliao_ROoHn6 发表时间：2024-04-19

应该和帧大小没有关系，因为已经通过核心交换机跨了网段切了片

zhiliao_ROoHn6 发表时间：2024-04-19

回复zhiliao_ROoHn6:

如果防火墙是二层，那么就是对于防火墙而言就是帧的大小问题，核心交换机跨网段，那是核心交换机修改MTU值的事。

落啦耳朵发表时间：2024-04-19

我的意思是全网默认MTU都是1500，都是按照这个分片了，到达防火墙的时候，没有巨形帧了，命令最大也就支持9216的帧，实际上我PING防火墙管理地址可以PING 65500大小的包

zhiliao_ROoHn6 发表时间：2024-04-19

回复zhiliao_ROoHn6:

windows ping 命令，不带 -f 就是默认分片

落啦耳朵发表时间：2024-04-26

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：127人关注：8人

以下是一些排查和解决问题的思路：

MTU值限制：首先，需要了解的是，标准的IP数据包最大长度为65535字节，但由于网络中的MTU（最大传输单元）限制，通常这个数值会远小于这个值。大多数网络设备的MTU值都设置为1500字节。当ping包的大小超过MTU值时，数据包会被拆分，如果防火墙或中间设备不能正确处理这些拆分的数据包，就可能导致ping不通。
防火墙配置：检查防火墙的配置，特别是与ICMP协议和包过滤相关的设置。确保防火墙允许足够大的ICMP包通过，并且没有针对特定大小的包进行过滤或限制。
分片问题：当数据包的大小超过MTU时，数据包会在传输过程中被分片。如果防火墙或中间设备的分片处理能力有问题，就可能导致大包无法ping通。可以尝试调整防火墙的分片处理策略或升级防火墙的固件版本。
网络拥塞：网络拥塞也可能导致大包ping不通。在高负载情况下，网络设备的处理能力可能会下降，导致大包被丢弃或延迟。可以尝试在非高峰时段进行ping测试，以排除网络拥塞的可能性。

针对这个问题，你可以尝试以下步骤进行排查和解决：