组网如图所示。
ACG透明部署,策略全放通,防火墙必要的安全策略也已放通,现场通过无线接入的内网服务器的数据无法传送到公网的平台上,但是内网不论有线用户还是无线用户上网均正常。内网服务器与公网平台之间有两种报文交互,一是心跳报文,二是数据报文,使用的均为1001端口的tcp协议,在公网平台上可看到心跳报文交互正常,但数据报文无法正常接收。且其他局点组网相同未发现此问题。
首先检查ACG和防火墙配置没有问题,让现场跳过ACG用核心交换机直连防火墙测试,发现问题现象依旧,所以排除ACG的问题,现场抓包结果发现,服务器与公网平台之间的tcp报文有很多被要求重传,联想到心跳报文可正常传输的故障现象,怀疑和mtu有关
查看报文分片情况,发现分片方式为不允许分片,tcp报文长度为1448字节,帧总长为1514字节,进一步查看mtu发现防火墙出接口mtu配置为1492,由于ip报文经过以太网封装后大小超过了mtu,又不允许分片,所以报文发送失败了
调小防火墙出接口的tcp mss值后问题解决
# interface Dialer0
tcp mss 1024
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作