请教一下坛子里面的网络工程师

ismine3

目前工作中遇到一个网络相关的问题，公司局域网下的PC访问网站会出现延迟，高度怀疑是DNS解析的问题，但是修改PC DNS后效果不明显。

三层交换机划分了4个VLAN,局域网下大概200联网设备，电信100M对等商纤。
在防火墙F1000-AK145，单IP限制了最大下行20M上行10M，限制了全局连接数20W，单IP的新建连接数500，高峰期连接数1.2W后面稳定在8000-10000，实际带宽是跑不到100M，TCP和UDP基本55开，禁止BT下载协议，顺便吐槽一下，现在PC端的微信起了很多UDP的连接。

请各位大佬给点诊断意见呢(其他同事动不动就吐槽公司网络差。。。各种连不上网，我都无语了)

感谢目前给建议的各位老哥，已经大概有个处理思路了，准备把那根300M非对称宽带接入，100M对等给研发VLAN，300M非对称给其他VLAN段，谢谢各位了。

目前网络结构：

moveable

要不要弄个维盟之类的流控路由？防火墙可以做透明传输。

weisir

内网部分都好解决
出问题的时候看看是不是整体出口带宽出口跑满了
条件允许可以增加一条AD 拨号 1000M宽带，和现有的专线做负载均衡
无论你怎么限，高峰时期突发流量，带宽小了，是顶不住的

trepwq

chrome开发者模式看看waterfall哪个阶段时间长

无聊的五月

中间的设备太多了吧？你用防火墙当路由？换成纯路由试一试不加防火墙试一下，然后再纯路由+防火墙

ismine3

无聊的五月 发表于 2023-8-8 15:55
中间的设备太多了吧？你用防火墙当路由？换成纯路由试一试不加防火墙试一下，然后再纯路由+防火墙 ...

没用防火墙做路由，这个防火墙买成几万，带了路由功能，但是只用到安全策略和流量限制功能，路由是下一个MSR2600

lzping1110

内网有没有病毒？

nn1122

从取消连接数限制开始排查，看看ping（到内网网关，再到公网地址）的情况，最后实在排查不出来，只能增加线路解决，现在各地方各运营商的商业宽带很便宜（跟专线对等比较），动态公网IP+千兆下行+100-200M上行

ismine3

weisir 发表于 2023-8-8 15:48
内网部分都好解决
出问题的时候看看是不是整体出口带宽出口跑满了
条件允许可以增加一条AD 拨号 1000M宽带 ...

现在是有一个普通300M的宽带，但是关键是路由设备的管理密码没了。。。。
我不是专业搞网络的，主要做应用、和云平台运维，网络兼着干。
直接连路由的com口，在不影响配置的情况能修改管理密码嘛？

伦风凝星

看下F1000防火墙的占用率，老东家的情况跟你这个有点像

ismine3

伦风凝星 发表于 2023-8-8 16:13
看下F1000防火墙的占用率，老东家的情况跟你这个有点像

负载相当低，cpu常年低于5%,内存60%左右 flash24%

从地狱到天堂

同楼上大佬观点,先试试放开全部.再慢慢收紧.逐一排查.

但是下行总的100M,太少了.还是建议弄多一条带宽吧.一个月几百蚊

fyc858

单IP限制了最大下行20M上行10M改成50M上行10M
单IP的新建连接数500改成1000
宽带换成1000M的，100M玩个屁

伦风凝星

ismine3 发表于 2023-8-8 16:17
负载相当低，cpu常年低于5%,内存60%左右 flash24%

抽空看看下班以后防火墙的内存，做好升级准备吧。

ONEChoy

才200node哪来那么多事。。。
加1条大带宽普通不对等备线就完啦 设备拓扑也不用搞 甚至wan设备都是供应商负责换的。。。

ismine3

伦风凝星 发表于 2023-8-8 16:40
抽空看看下班以后防火墙的内存，做好升级准备吧。

好的 老哥

ismine3

ONEChoy 发表于 2023-8-8 16:50
才200node哪来那么多事。。。
加1条大带宽普通不对等备线就完啦 设备拓扑也不用搞 甚至wan设备都是供应商 ...

有研发团队，必须要固定公网IP。

bchb

去掉所有限制，只禁bt，网盘、http下载限速50就可以了
快不快全凭本事抢，有人抱怨就说他抢不过别人
加带宽才是王道

shadowxinx

1、逐步放开你的管控策略试试。
2、找个典型的案例深入分析一下，wireshark 之类的工具抓包看下。
3、设备性能没瓶颈，高峰期的时候看下各个设备的吞吐，流量，之类的。看看有没有拥塞。
4、最好部署些监控方便排查问题，例如zabbix，等之类的开源的

saga1974

把防火墙与MSR2600换一下位置，MSR2600上网，AK145看配置为透明网桥还是怎样都行。一般防火墙的NAT性能都差得一逼，只能说是能用。防火墙AK145的NAT性能大概也就300MB的样子，再加上IPS、AV能到200M不？

ONEChoy

ismine3 发表于 2023-8-8 16:59
有研发团队，必须要固定公网IP。

大带宽不对等是副线 电信商会给你换设备做好负载均衡 舒缓高峰又不影响主线ip。。。
成本低不改变原结构解决问题 无论老板还是网管 最终方案大概率选这个。。。

PS：3楼已经有最优解了没看到。。。

ismine3

ONEChoy 发表于 2023-8-8 17:10
大带宽不对等是副线 电信商会给你换设备做好负载均衡 舒缓高峰又不影响主线ip。。。
成本低不改变原结 ...

这个我知道的，现在已经有一根300M的非商纤，关键是路由器的密码、三层交换机密码统统没有，上面老哥的意思就是不同VLAN走不同线路，这个是要在动现在三层交换机配置的吧，trunk

bchb

saga1974 发表于 2023-8-8 17:08
把防火墙与MSR2600换一下位置，MSR2600上网，AK145看配置为透明网桥还是怎样都行。一般防火墙的NAT性能都差 ...

你别闹了，ak145吞吐量6g，并发300万

ONEChoy

ismine3 发表于 2023-8-8 17:19
这个我知道的，现在已经有一根300M的非商纤，关键是路由器的密码、三层交换机密码统统没有，上面老哥的意 ...

不不不 (主线100+副线300)视为单wan供应商会帮你搞定(当然要跟原来同一个供应商) 本地局网只有1条wan接入啥都不用改。。。

nn1122

ismine3 发表于 2023-8-8 17:19
这个我知道的，现在已经有一根300M的非商纤，关键是路由器的密码、三层交换机密码统统没有，上面老哥的意 ...

有console口子的设备都能进行密码重置，具体方法百度，三层交换机一般是划分子网和负责DHCP，而哪个子网走哪条外网线路则是路由上的策略路由功能实现的

body2

你限连接数肯定断网的，连接数一满，后面的直接就是404

Comet96

我之前试过，即使限制新建连接数，效果其实也很有限
加一条普通宽带，用策略路由引流
看一眼新建连接速率和新建连接总数很高的，比如域控之类的服务器类的
没有固定IP需求，就把高新建连接的走普通宽带，能缓解这个问题

saga1974

bchb 发表于 2023-8-8 17:21
你别闹了，ak145吞吐量6g，并发300万

你才别闹了，官网上就不会标这些。6GB的吞吐只是网络性能还不是7层，并发数300万也一样。不加任何规则的情况下，7层性能最多就到3GB，一旦加上IPS、AV就只有400MB多点，然后NAT还要打折扣。只有集成商招投标才会用这些参数。而且公司就在用F1000-AK1170，NAT根本跑不上去，最多200MB的样子，卡得受不了。最后是用老的ER系列的路由器，后面接防火墙，这样随便跑到700MB以上。

dcl2009

不要限制连接数了，非常容易刷不开网页

可以试试把某些网段的UDP全部禁掉，只留53，效果立竿见影，而且影响不大，比禁用BT强

微信不用担心，UDP不通的时候可以自动切换到TCP，实在是有需求，可以开几个白名单端口

saga1974

ismine3 发表于 2023-8-8 17:19
这个我知道的，现在已经有一根300M的非商纤，关键是路由器的密码、三层交换机密码统统没有，上面老哥的意 ...

直接console口进去呗