• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点SecPath F1000-AK120(V7) 配置每ip限速后业务流量丢包问题处理经验案例

2018-03-28 发表
  • 1关注
  • 0收藏 1769浏览
关萌 七段
粉丝:7人 关注:1人

某局点客户使用我司SecPath F1000-AK120防火墙设备,使用PPPoE加固定IP方式两个出口,做为互联网出口设备,在使用过程中用户发现用户上网慢,用户怀疑使用了等价路由导致流量负载问题,使用户流量上网慢。用户将两个出口修改为主备模式。修改后仍然大量用户反馈上网慢,于是求助我们,经过我们初步分析发现有部分用户流量特别大,互联网出口已经达到用户购买的最大带宽,建议用户配置每IP限速,在用户配置每IP限速后发现用户上网速度仍然很慢。并出现了ping外网丢包的情况。

不启用限速策略的情况下配置

不记用限速策略的情况下ping外网不丢包

启用限速策略情况下配置如下

启用限速后ping外网出现丢包情况如下

客户关键配置信息如下

<Core-F1000-AK>dis cu
#
interface Dialer1
 ppp chap password cipher $c$3$YZMBxNOLEf3Sh430kFDG5QixJKQPGHw9PbXf
 ppp chap user 7800000*
 ppp pap local-user 7800000* password cipher $c$3$5BttXX4VFGC1a4OGqwvubv/PB/5CLYhAJBl/
 dialer bundle enable
 dialer-group 1
 dialer timer idle 0
 dialer timer autodial 5
 ip address ppp-negotiate
 tcp mss 1024
 nat outbound 3000
#
interface Vlan-interface10
 description TO_电信
 ip address *.119.131.118 255.255.255.248
 nat outbound 3000
 nat static enable
#             
interface GigabitEthernet1/0/4
 port link-mode route
 description TO_联通
 pppoe-client dial-bundle-number 1
#
interface GigabitEthernet1/0/7
 port link-mode route
 description TO_Phone
 ip address *.110.108.242 255.255.255.248
 nat static enable
#
interface GigabitEthernet1/0/10
 port link-mode route
 description TO_cisco
 ip address 10.1.0.253 255.255.255.0
 ip policy-based-route wx
#             
interface GigabitEthernet1/0/5
 port link-mode bridge
 description TO_电信
 port access vlan 10
#
interface GigabitEthernet1/0/6
 port link-mode bridge
 bandwidth 10000
 port access vlan 10
#
interface GigabitEthernet1/0/11
 port link-mode bridge
 description TO_hillstone
 port access vlan 10
#
 ip route-static 0.0.0.0 0 Dialer1
 ip route-static 0.0.0.0 0 *.119.131.113 preference 70
 ip route-static 10.1.0.0 16 10.1.0.254
 ip route-static 10.10.0.0 16 10.1.0.244
 ip route-static 172.16.10.0 24 10.1.0.254
#
traffic-policy
 rule name 访客
  action qos profile 访客
  source-address address-set 访客
 rule name 租客
  action qos profile 租客
  source-address address-set 租客
 rule name 1
  action qos profile 1
  source-address address-set 2M
 rule name 1M
  action qos profile 1M
  source-address address-set 1M
 rule name 0.5M
  action qos profile 0.5M
  source-address address-set 0.5M
 rule name 7M
  action qos profile 7M
  source-address address-set 7M
 rule name 9M
  action qos profile 9M
  source-address address-set 9M
 rule name 有线
  disable 
  action qos profile 有线
  source-address address-set 有线租客
 rule name 视频会议
  disable 
  action qos profile 视频会议
  source-address address-set 视频会议
  dscp ef
 profile name 0.5M
  bandwidth downstream maximum 500
 profile name 1
  bandwidth downstream maximum 2000
 profile name 1M
  bandwidth downstream maximum 1000
 profile name 7M
  bandwidth downstream maximum 7000
 profile name 9M
  bandwidth downstream maximum 9000
 profile name 访客
  bandwidth downstream maximum 2000
 profile name 视频会议
  bandwidth downstream guaranteed 10000
  bandwidth upstream guaranteed 10000
  traffic-priority 7
  remark dscp ef
 profile name 有线
  bandwidth upstream maximum per-ip 2000
  bandwidth downstream maximum per-ip 6000
 profile name 租客
  bandwidth downstream maximum per-ip 5000
#
return
从配置可以看出,用户当前所有流量都从dialer1口出去,而用户没有对dialer1口进行带宽配置,而dialer口默认带宽为64Kbps,在用户做策略后。策略会参考接口的带宽,也就是64Kbps去做QoS限速和保障。这样用户的流量就被丢弃了。导致了ping外网丢包。

[FW1-Dialer1]dis interface Dialer 1
Dialer1
Current state: UP
Line protocol state: UP(spoofing)
Description: Dialer1 Interface
Bandwidth: 64kbps
Maximum Transmit Unit: 1500
Hold timer: 10 seconds
Internet protocol processing: disabled
Link layer protocol: PPP
LCP: initial
Physical: Dialer, baudrate: 64000 bps
Output queue - Urgent queuing: Size/Length/Discards 0/100/0
Output queue - Protocol queuing: Size/Length/Discards 0/500/0
Output queue - FIFO queuing: Size/Length/Discards 0/75/0
Last clearing of counters: Never
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops

在接口下配置bandwidth 100000后问题解决。每ip限速生效,并且ping外网不再有丢包的情况。

 

在配置QoS流量监管时需要注意配置接口带宽与实际情况相符,同时注意接口带宽配置命令的单位是kbps。

 

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-10对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作