web-dev-qa-db-ja.com

ルーターを介した軽いパケット損失

私は最近オフィスにファイバーラインを設置しましたが、私たちが抱えている奇妙な問題を除いて、物事はうまく機能しており、ネットワークの応答は本当に素晴らしいです。

私たちが抱えている問題は、時々私のルーターがフレークアウトしてパケットをドロップすることです。それはラインではなく、スイッチでもありません。それはルーター自体であり、私はハードウェアを切り替えました、そして両方の部分がそれをします。私が使用している機器は、Juniper NetscreenSSG5です。症状は次のとおりです。

「内部」インターフェースにpingfloodを実行します。

 ping -f -c 10000 <internal-ip>

そして私は10,000の応答を受け取ります。毎回。次に、外部インターフェイスのIPアドレスを除いて、同じことを行います(ただし、同じデバイス上にあります)。 10,000パケットのうち10パケットから15パケットの間のどこかにドロップします。社内の他のすべてのゲートウェイで同じテストを実行しましたが、この動作を示すものは他にありません。困惑しています。

ファイバー会社のサポートと話をしましたが、問題が発生する可能性がある場合は、両方のインターフェイスが全二重で100Mbにハードコーディングされています。ちなみに、ルーター内部から外部インターフェースにpingを実行すると、パケットが失われることはなく、インターフェース自体ではないと思います。また、ローカルインターフェイスがパケットを失うことはないため、スイッチではありません。

ハードウェア自体の設計を除いて、問題がどこにあるのか正直にわかりません。グラフを見てきましたが、pingフラッド攻撃の最中でも、ルーターのCPUやメモリを最大限に活用することはできません。

助言がありますか?

編集

トムの場合:ファイバーは13Mb/sですが、インターフェイスにpingを実行しても、ファイバーに交差していません。ローカルLANは100Mb/sで実行されており、内部インターフェイスはすべてのパケットに応答します。別のハードウェアを借りることができるかどうかを確認する必要がありますが、同じ症状を示さない古いモデルのジュニパー(5GT)がさまざまなサイトにあります。

pingjunipernetscreenpacketlossssg5
1
Matt Simmons

2つの点に注意してください。

  1. 私はSSG5に特に精通していませんが、ルーターはルーターに向けられたICMPトラフィックを抑制する可能性があります。
  2. 140MBit /秒の転送速度は、トラフィックがルーターを通過していることを前提としています。 toにアドレス指定されたトラフィックは、すべてのパケットがルーター自体のIPスタックに渡され、応答パケットが必要になるため、追加のパフォーマンスヒットが発生します。生成されます。

試すべきいくつかのテスト:

  1. LANからルーターを介してpingfloodingを試してください。おそらくWANリンクのリモートエンド?(サービスプロバイダーが所有している場合は、処理能力が高いものになると思います)。
  2. iperf を実行して、オフィス内のノードとインターネット上の外部の何かの間で、自分が何に形作られているのかについての良いアイデアを得ます。
2
Murali Suriar

ただのアイデア..しかし、繊維の速度は何ですか?ルータのバックプレーンは実際にその速度でパケットをシフトできますか?スイッチポートの接続を最大化することにより、Cisco857のイーサネットバッファを埋めることで同様の問題が発生しました。

SSG5は最新バージョンのScreenOSを実行していますか?最新のファームウェアアップデート?
仕様では、140Mビットまたは30kパケット/秒をシフトできるとされています。そうではないかもしれませんが、おそらくより強力なルーターがトラフィックに対処できるでしょうか?
誰かからもっと大きなデバイスを借りてもらえますか?おそらくCisco2811またはJuniperJ2320ですか?

0
Tom O'Connor

ファイバー/メトロイーサネット(AT&T)に移行したときも、同様の問題が発生しました。

ルーターのインターフェースにエラーが表示されていますか? Ciscoを使用しているため、インターフェイスに応じてCRCまたは入力エラーが発生します。

最終的に、自動または100 /フルが「スタック」するまで、各ロケーションで自動、10 /ハーフとフル、100 /ハーフとフルの間でさまざまなネゴシエーション方法を交換することで問題を解決しました。プロバイダーに13Mbpsの上限を一時的に削除するよう依頼して、帯域幅の制限に問題があるかどうかを確認することもできます。

AT&Tは、使用したスイッチ(Ciscoも)のせいにしましたが、代替モデルと交換しませんでした。エラーが発生しなくなり、100 /完全に機能する限り(ハードコーディングまたは自動ネゴシエーションのいずれかによって)、ケアを停止しました。

今日まで、いくつかのオフィスは自動で、100台/フルのオフィスがあります。それが機能していて、壊れたくないからです。

0
David