今天给客户测试了vfw1000,遇到一个很奇怪的问题,vfw安装在esxi6.0上,切换到vfw后公网测速只有20M,但是如果换为op或者爱快之类软路由,测速就能达到300M以上,观察了vfw的硬件资源使用情况,都不高,不知道是什么原因。有没有大神遇到过。
(0)
最佳答案
1.1 查看接口流量是否正常查看接口流量信息,查看之前,先将现场所有业务口物理口的流量统计改为5秒,接口出方向与入方向的流量信息都看一下。主要关注是否有相关接口打满,或者是否接口流量到达运营商带宽,或者接口流量很小,但是pps很大,如果出现此种情况,就怀疑是有攻击流量过来,就需要想办法将进入FW的报文流镜像抓出来(由于不知道源目地址,所以只能流镜像抓包)
物理口的流量统计改为5秒命令如下:
interface FortyGigE1/0/1
flow-interval 5
如下g1/0/1接口流量基本打满,g1/0/9口接口利用率不高,但是pps很大,判断此接口流量异常。
[F1090] display counters rate inbound interface
1.2 查看设备的单核利用率是否正常
如果现场是IRF组网,slot1与slot2的都要查看主要关注kdrvdp,比如是从kdrvdp0到kdrvdp23,一共24个核,100/24=4.17%。即如果某一个单核利用率达到4.1%,即为单核打满如果单核打满,现场又没有对乱序敏感的业务,比如视频业务,可以将现场转发模式改为逐包转发,默认逐流转发
RBM_P[F1090] forwarding policy per-packet
如果更改之后,所有单核都单满,尽快再改为逐流
RBM_P[F1090] forwarding policy per-flow
1.3 如果设备开起了DPI,将DPI关掉看一下是否正常
关掉DPI命令如下:
RBM_P[M9010_2] inspect bypass
开启DPI命令如下:
RBM_P[M9010_2] undo inspect bypass
RBM_P[M9010_2] inspect activate
Rule's activity begin:100%
1.4 FW抓包
如果进行1.1到1.3排查,设备本身状态正常,就在设备上针对慢的流量在防火墙web页面抓包。点击【系统】-【诊断中心】-【报文捕获】,配置acl,调用acl针对全局或者接口抓包。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论