请教一下坛子里面的网络工程师
本帖最后由 ismine3 于 2023-8-11 09:51 编辑目前工作中遇到一个网络相关的问题,公司局域网下的PC访问网站会出现延迟,高度怀疑是DNS解析的问题,但是修改PC DNS后效果不明显。
三层交换机划分了4个VLAN,局域网下大概200联网设备,电信100M对等商纤。
在防火墙F1000-AK145,单IP限制了最大下行20M上行10M,限制了全局连接数20W,单IP的新建连接数500,高峰期连接数1.2W后面稳定在8000-10000,实际带宽是跑不到100M,TCP和UDP基本55开,禁止BT下载协议,顺便吐槽一下,现在PC端的微信起了很多UDP的连接。
请各位大佬给点诊断意见呢(其他同事动不动就吐槽公司网络差。。。各种连不上网,我都无语了)
感谢目前给建议的各位老哥,已经大概有个处理思路了,准备把那根300M非对称宽带接入,100M对等给研发VLAN,300M非对称给其他VLAN段,谢谢各位了。
目前网络结构:
https://www.chiphell.com/forum.php?mod=image&aid=10485517&size=300x300&key=b85ca4f8ade4630b&nocache=yes&type=fixnone
本帖最后由 moveable 于 2023-8-8 16:43 编辑
要不要弄个维盟之类的流控路由?防火墙可以做透明传输。 内网部分都好解决
出问题的时候看看是不是整体出口带宽出口跑满了
条件允许可以增加一条AD 拨号 1000M宽带,和现有的专线做负载均衡
无论你怎么限,高峰时期突发流量,带宽小了,是顶不住的
chrome开发者模式看看waterfall哪个阶段时间长 中间的设备太多了吧?你用防火墙当路由?换成纯路由试一试不加防火墙试一下,然后再纯路由+防火墙 无聊的五月 发表于 2023-8-8 15:55
中间的设备太多了吧?你用防火墙当路由?换成纯路由试一试不加防火墙试一下,然后再纯路由+防火墙 ...
没用防火墙做路由,这个防火墙买成几万,带了路由功能,但是只用到安全策略和流量限制功能,路由是下一个MSR2600 本帖最后由 lzping1110 于 2023-8-8 16:08 编辑
内网有没有病毒? 从取消连接数限制开始排查,看看ping(到内网网关,再到公网地址)的情况,最后实在排查不出来,只能增加线路解决,现在各地方各运营商的商业宽带很便宜(跟专线对等比较),动态公网IP+千兆下行+100-200M上行 weisir 发表于 2023-8-8 15:48
内网部分都好解决
出问题的时候看看是不是整体出口带宽出口跑满了
条件允许可以增加一条AD 拨号 1000M宽带 ...
现在是有一个普通300M的宽带,但是关键是路由设备的管理密码没了。。。。
我不是专业搞网络的,主要做应用、和云平台运维,网络兼着干。
直接连路由的com口,在不影响配置的情况能修改管理密码嘛? 看下F1000防火墙的占用率,老东家的情况跟你这个有点像 伦风凝星 发表于 2023-8-8 16:13
看下F1000防火墙的占用率,老东家的情况跟你这个有点像
负载相当低,cpu常年低于5%,内存60%左右 flash24% 同楼上大佬观点,先试试放开全部.再慢慢收紧.逐一排查.
但是下行总的100M,太少了.还是建议弄多一条带宽吧.一个月几百蚊 单IP限制了最大下行20M上行10M改成50M上行10M
单IP的新建连接数500改成1000
宽带换成1000M的,100M玩个屁[恶魔] ismine3 发表于 2023-8-8 16:17
负载相当低,cpu常年低于5%,内存60%左右 flash24%
[无奈]抽空看看下班以后防火墙的内存,做好升级准备吧。 [困惑] 才200node哪来那么多事。。。
[困惑] 加1条大带宽普通不对等备线就完啦 设备拓扑也不用搞 甚至wan设备都是供应商负责换的。。。 伦风凝星 发表于 2023-8-8 16:40
抽空看看下班以后防火墙的内存,做好升级准备吧。
好的 老哥 ONEChoy 发表于 2023-8-8 16:50
才200node哪来那么多事。。。
加1条大带宽普通不对等备线就完啦 设备拓扑也不用搞 甚至wan设备都是供应商 ...
有研发团队,必须要固定公网IP。 去掉所有限制,只禁bt,网盘、http下载限速50就可以了
快不快全凭本事抢,有人抱怨就说他抢不过别人
加带宽才是王道 1、逐步放开你的管控策略试试。
2、找个典型的案例深入分析一下,wireshark 之类的工具抓包看下。
3、设备性能没瓶颈,高峰期的时候看下各个设备的吞吐,流量,之类的。看看有没有拥塞。
4、最好部署些监控方便排查问题,例如zabbix,等之类的开源的 把防火墙与MSR2600换一下位置,MSR2600上网,AK145看配置为透明网桥还是怎样都行。一般防火墙的NAT性能都差得一逼,只能说是能用。防火墙AK145的NAT性能大概也就300MB的样子,再加上IPS、AV能到200M不? ismine3 发表于 2023-8-8 16:59
有研发团队,必须要固定公网IP。
[困惑] 大带宽不对等是副线 电信商会给你换设备做好负载均衡 舒缓高峰又不影响主线ip。。。
[困惑] 成本低不改变原结构解决问题 无论老板还是网管 最终方案大概率选这个。。。
PS:3楼已经有最优解了没看到。。。 ONEChoy 发表于 2023-8-8 17:10
大带宽不对等是副线 电信商会给你换设备做好负载均衡 舒缓高峰又不影响主线ip。。。
成本低不改变原结 ...
这个我知道的,现在已经有一根300M的非商纤,关键是路由器的密码、三层交换机密码统统没有,上面老哥的意思就是不同VLAN走不同线路,这个是要在动现在三层交换机配置的吧,trunk saga1974 发表于 2023-8-8 17:08
把防火墙与MSR2600换一下位置,MSR2600上网,AK145看配置为透明网桥还是怎样都行。一般防火墙的NAT性能都差 ...
你别闹了,ak145吞吐量6g,并发300万 本帖最后由 ONEChoy 于 2023-8-8 17:28 编辑
ismine3 发表于 2023-8-8 17:19
这个我知道的,现在已经有一根300M的非商纤,关键是路由器的密码、三层交换机密码统统没有,上面老哥的意 ...
[吐槽] 不不不 (主线100+副线300)视为单wan供应商会帮你搞定(当然要跟原来同一个供应商) 本地局网只有1条wan接入啥都不用改。。。 ismine3 发表于 2023-8-8 17:19
这个我知道的,现在已经有一根300M的非商纤,关键是路由器的密码、三层交换机密码统统没有,上面老哥的意 ...
有console口子的设备都能进行密码重置,具体方法百度,三层交换机一般是划分子网和负责DHCP,而哪个子网走哪条外网线路则是路由上的策略路由功能实现的 你限连接数肯定断网的,连接数一满,后面的直接就是404 本帖最后由 Comet96 于 2023-8-8 17:40 编辑
我之前试过,即使限制新建连接数,效果其实也很有限
加一条普通宽带,用策略路由引流
看一眼新建连接速率和新建连接总数很高的,比如域控之类的服务器类的
没有固定IP需求,就把高新建连接的走普通宽带,能缓解这个问题
bchb 发表于 2023-8-8 17:21
你别闹了,ak145吞吐量6g,并发300万
你才别闹了,官网上就不会标这些。6GB的吞吐只是网络性能还不是7层,并发数300万也一样。不加任何规则的情况下,7层性能最多就到3GB,一旦加上IPS、AV就只有400MB多点,然后NAT还要打折扣。只有集成商招投标才会用这些参数。而且公司就在用F1000-AK1170,NAT根本跑不上去,最多200MB的样子,卡得受不了。最后是用老的ER系列的路由器,后面接防火墙,这样随便跑到700MB以上。 不要限制连接数了,非常容易刷不开网页
可以试试把某些网段的UDP全部禁掉,只留53,效果立竿见影,而且影响不大,比禁用BT强
微信不用担心,UDP不通的时候可以自动切换到TCP,实在是有需求,可以开几个白名单端口 ismine3 发表于 2023-8-8 17:19
这个我知道的,现在已经有一根300M的非商纤,关键是路由器的密码、三层交换机密码统统没有,上面老哥的意 ...
直接console口进去呗