F1000-AK防火墙+上网慢：网页解析甚至网页丢失（内网无环路，外网双出口）

网页解析甚至网页丢失（内网无环路，外网双出口），截图不全，意思意思懂就行。

现场情况： “挖币矿场”，很简单的组网：一台防火墙作为出口网关，下挂两个核心交换机，网段平均分布在两台核心交换机，两个PPPOE拨号作为访问互联出口————问题现象： 一个矿机所占用的会话资源在2到3条，总共2000台矿机+极少PC客户端。但是防火墙上面的TCP/UDP会话数总共达到了7万至9万，导致正常PC客户端访问网页非常卡顿甚至网页直接丢失。在解析常用网站的DNS，时而能解析，时而解析不出来。但是直接pingDNS地址却没问题。 ————排查思路： 观察防火墙会话记录，找“相似点”，发现一个矿机出现了很多条22 SSH端口以及53 DNS端口的TCP和NAT会话记录，占用了很多会话资源； 通过各种debug+acl，发现外网到防火墙的响应数据包数量小于防火墙到外网的数量，外网到防火墙的回包存在丢包现象 浏览器的“F12——网络”测试网页响应过程时延； —————解决方法： 只能算是规避，不算是根本解决。 1、禁止防火墙的22、53等其他可疑端口进行NAT转换，防止占用NAT会话、TCP会话资源，reset nat session重置NAT会话资源； 2、在下端的两台核心上面做ACL控制，禁止源目端口为22、53等端口的数据包上送至防火墙； 3、在出口防火墙上面做出口分流策略（策略路由），分网段的单双IP走不同的出口访问互连网； 4、通过以上骚操作，规避了客户现在出现的问题，会话数基本回归正常，PC客户端访问网页秒开。 ————总结： 在排查的过程中，非常怀疑是防火墙的性能问题导致打开网页慢或丢失。客户现场将防火墙换成其他品牌路由器，进行测试，发现问题现象还是跟使用防火墙的时候一样，所以很大几率排除是设备性能问题。可能是运营商针对家庭带宽做了NAT和TCP会话并发数量限制，用家庭带宽作为外网，不能承载大量的NAT、TCP并发会话（各地运营商是否限制和具体限制情况不一，仅供参考）。可建议使用固定公网IP（商纤）作为出口链路。 ————（此案例比较特殊：1、矿机数量和每台矿机占用的TCP连接数清楚能计算；2、双出口；3、运营商对PPPOE拨号上网方式的TCP和NAT并发数有限制） ————（设备上网慢的其他因素：dialer接口带宽默认64K，TCP MSS、MTU、终端是否限速、内网环路、终端IP冲突等，需要找准原因，对症下药）