VPN业务在配置route-policy后导致互访速度急剧下降
问题描述
客户在用使用S9300时,发现当设备配置route policy时,两台PC之间的传输速度会骤然降低,从未配置前的93Mbits/S,急速降低到51.4Kbits/s。而route-policy作为一个重要的安全功能,需要经常使用。
告警信息
无
处理过程
1、获取路由表信息,ARP表信息。
2、发现路由表信息和ARP表信息没有问题时,问一线有关客户详细的测试方式和测试步骤,使用的报文信息等。
3、确认S93硬件芯片现在不支持通过route-policy方式的VPN互访,所以只能经过软件转发,而不能经过硬件转发达到线速。所以导致配置这条命令后,互访速度剧烈下降。需要增加如下配置:
acl number 2001
rule 5 permit source 10.20.31.0 0.0.0.255
route-policy test11 permit node 5
if-match acl 2001
ip vpn-instance test1
route-distinguisher 111:111
export route-policy test11
vpn-target 111:111 export-extcommunity
vpn-target 111:111 222:222 import-extcommunity
ip vpn-instance test2
route-distinguisher 222:222
vpn-target 222:222 export-extcommunity
vpn-target 222:222 111:111 import-extcommunity
通过配置route-policy来过滤路由。
在test1里,可以看到发布的两段地址10.20.31.0/24和10.200.32.0/24。用export route-policy test11来过滤,只能允许10.20.31.0/24这段路由发布。
在test2里,只能得到test1发布的那段路由10.20.31.0/24,另一条10.200.32.0/24是看不到的。这样,可以使10.20.31.0/24这段路由达到线速转发,而其他路由由于硬件原因,还是无法达到线速。
2、发现路由表信息和ARP表信息没有问题时,问一线有关客户详细的测试方式和测试步骤,使用的报文信息等。
3、确认S93硬件芯片现在不支持通过route-policy方式的VPN互访,所以只能经过软件转发,而不能经过硬件转发达到线速。所以导致配置这条命令后,互访速度剧烈下降。需要增加如下配置:
acl number 2001
rule 5 permit source 10.20.31.0 0.0.0.255
route-policy test11 permit node 5
if-match acl 2001
ip vpn-instance test1
route-distinguisher 111:111
export route-policy test11
vpn-target 111:111 export-extcommunity
vpn-target 111:111 222:222 import-extcommunity
ip vpn-instance test2
route-distinguisher 222:222
vpn-target 222:222 export-extcommunity
vpn-target 222:222 111:111 import-extcommunity
通过配置route-policy来过滤路由。
在test1里,可以看到发布的两段地址10.20.31.0/24和10.200.32.0/24。用export route-policy test11来过滤,只能允许10.20.31.0/24这段路由发布。
在test2里,只能得到test1发布的那段路由10.20.31.0/24,另一条10.200.32.0/24是看不到的。这样,可以使10.20.31.0/24这段路由达到线速转发,而其他路由由于硬件原因,还是无法达到线速。
根因
1.配置后路由表项的学习出现问题。
2.前后测试所使用测试方法不同。
2.前后测试所使用测试方法不同。
建议与总结
无
阅读剩余
版权声明:
作者:SE_Gao
链接:https://www.cnesa.cn/9843.html
文章版权归作者所有,未经允许请勿转载。
THE END
