11
2024
04
15:21:30

故障案例:TCP MSS值不合理导致IPSec业务时通时断



推荐点击下面图片,通过本站淘宝优惠价购买:

image.png

https://support.huawei.com/hedex/hdx.do?docid=EDOC1000160161&id=ZH-CN_TOPIC_0115420505


现象描述

图1所示,FW间建立IPSec隧道,PC从文件服务器上下载资源时,会出现业务中断。

图1 IPSec组网图

  1. 在FW1上执行命令display ike sa,发现IPSec隧道建立成功。

    <FW1> display ike sa IKE SA information :   
   Conn-ID    Peer             VPN              Flag(s)     Phase      
  --------------------------------------------------------------- 
   151003222  2.1.1.1:500                       RD|ST|A     v1:2  
   151003215  2.1.1.1:500                       RD|ST|A     v1:1 
                                         
  Number of IKE SA : 2                     
  --------------------------------------------------------------- 
                                                    
  Flag Description:             
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT      
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP         
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING

  2. 在FW1上执行命令display ike offline-info,发现显示信息为空,说明这时间段内IPSec隧道没有异常中断。

    <FW1> display ike offline-info

  3. PC上可以支持Ping通Server,说明链路、ACL等配置无问题。

相关告警与日志

原因分析

TCP MSS值不合理。

操作步骤

  1. 执行命令ping -s packetsize -a source-ip-address host测试不同大小的报文,确定是否有丢包或Ping不通。


    <FW1> ping -s 1418 -a 10.1.1.1 10.1.2.2 
  PING 10.1.2.2: 1418  data bytes, press CTRL+C to break 
    Reply from 10.1.2.2: bytes=1418 Sequence=1 ttl=126 time=67 ms 
    Reply from 10.1.2.2: bytes=1418 Sequence=2 ttl=126 time=50 ms 
    Reply from 10.1.2.2: bytes=1418 Sequence=3 ttl=126 time=50 ms 
    Reply from 10.1.2.2: bytes=1418 Sequence=4 ttl=126 time=50 ms 
    Reply from 10.1.2.2: bytes=1418 Sequence=5 ttl=126 time=50 ms 
 
  --- 10.1.2.2 ping statistics --- 
    5 packet(s) transmitted 
    5 packet(s) received 
    0.00% packet loss 
    round-trip min/avg/max = 50/53/67 ms 
 
<FW1> ping -s 1419 -a 10.1.1.1 10.1.2.2 
  PING 10.1.2.2: 1419  data bytes, press CTRL+C to break 
    Request time out 
    Request time out 
    Request time out 
    Request time out 
    Request time out 
 
  --- 10.1.2.2 ping statistics --- 
    5 packet(s) transmitted 
    0 packet(s) received 
100.00% packet loss

    可以看出,IPSec在传输大包时,大于1418的报文不能正常传输,而不分片报文能够正常传输。因为大包经过IPSec封装后大于接口MTU值,导致IPSec报文被分片,而在网络中不能被正常传输。

    PC访问文件服务器属于TCP业务,TCP MSS值加上各种开销的报文总长度(MSS+TCP报文头+IP报文头+IPSec报文头)大于链路的MTU值,则数据报文会被分片发送,所以PC从文件服务器上下载资源时,会出现业务中断。


  2. 修改TCP MSS值。


    <FW1> system-view [FW1] firewall tcp-mss 1200

    修改后,PC可以从文件服务器上下载资源。


建议与总结

  • 网络传输故障与IPSec隧道无关,问题完全聚焦于分片的以太报文无法在WAN正常传输。

  • 不论是否有IPSec隧道,报文都可能产生分片。但增加了IPSec报文头后,报文长度变大,分片的可能性增大。

  • 如果FW所处网络无法正常处理分片报文,可以将TCP MSS调小以避免报文大量分片,规避此问题。


本文链接:https://hqyman.cn/post/5751.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:





休息一下,本站随机推荐观看栏目:


作者:hqy | 分类:Network | 浏览:86 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

您的IP地址是: