HQY 一个和谐有爱的空间

现象描述

如图1所示，FW间建立IPSec隧道，PC从文件服务器上下载资源时，会出现业务中断。

图1 IPSec组网图

1. 在FW1上执行命令display ike sa，发现IPSec隧道建立成功。

   <FW1> display ike sa IKE SA information :   
      Conn-ID    Peer             VPN              Flag(s)     Phase      
     --------------------------------------------------------------- 
      151003222  2.1.1.1:500                       RD|ST|A     v1:2  
      151003215  2.1.1.1:500                       RD|ST|A     v1:1 
                                            
     Number of IKE SA : 2                     
     --------------------------------------------------------------- 
                                                       
     Flag Description:             
     RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT      
     HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP         
     M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING

2. 在FW1上执行命令display ike offline-info，发现显示信息为空，说明这时间段内IPSec隧道没有异常中断。

   <FW1> display ike offline-info

3. PC上可以支持Ping通Server，说明链路、ACL等配置无问题。

相关告警与日志

无

原因分析

TCP MSS值不合理。

操作步骤

1. 执行命令ping -s packetsize -a source-ip-address host测试不同大小的报文，确定是否有丢包或Ping不通。

   
   

   <FW1> ping -s 1418 -a 10.1.1.1 10.1.2.2 
     PING 10.1.2.2: 1418  data bytes, press CTRL+C to break 
       Reply from 10.1.2.2: bytes=1418 Sequence=1 ttl=126 time=67 ms 
       Reply from 10.1.2.2: bytes=1418 Sequence=2 ttl=126 time=50 ms 
       Reply from 10.1.2.2: bytes=1418 Sequence=3 ttl=126 time=50 ms 
       Reply from 10.1.2.2: bytes=1418 Sequence=4 ttl=126 time=50 ms 
       Reply from 10.1.2.2: bytes=1418 Sequence=5 ttl=126 time=50 ms 
    
     --- 10.1.2.2 ping statistics --- 
       5 packet(s) transmitted 
       5 packet(s) received 
       0.00% packet loss 
       round-trip min/avg/max = 50/53/67 ms 
    
   <FW1> ping -s 1419 -a 10.1.1.1 10.1.2.2 
     PING 10.1.2.2: 1419  data bytes, press CTRL+C to break 
       Request time out 
       Request time out 
       Request time out 
       Request time out 
       Request time out 
    
     --- 10.1.2.2 ping statistics --- 
       5 packet(s) transmitted 
       0 packet(s) received 
   100.00% packet loss

   可以看出，IPSec在传输大包时，大于1418的报文不能正常传输，而不分片报文能够正常传输。因为大包经过IPSec封装后大于接口MTU值，导致IPSec报文被分片，而在网络中不能被正常传输。

   PC访问文件服务器属于TCP业务，TCP MSS值加上各种开销的报文总长度（MSS+TCP报文头+IP报文头+IPSec报文头）大于链路的MTU值，则数据报文会被分片发送，所以PC从文件服务器上下载资源时，会出现业务中断。

   
   

2. 修改TCP MSS值。

   
   

   <FW1> system-view [FW1] firewall tcp-mss 1200

   修改后，PC可以从文件服务器上下载资源。

   
   

建议与总结

• 网络传输故障与IPSec隧道无关，问题完全聚焦于分片的以太报文无法在WAN正常传输。

• 不论是否有IPSec隧道，报文都可能产生分片。但增加了IPSec报文头后，报文长度变大，分片的可能性增大。

• 如果FW所处网络无法正常处理分片报文，可以将TCP MSS调小以避免报文大量分片，规避此问题。