双线路***树立毛病扫除实录51CTO博客 - 千亿集团

双线路***树立毛病扫除实录51CTO博客

2019年03月01日08时28分50秒 | 作者: 浩言 | 标签: 线路,树立,总公司 | 浏览: 1142

    在上一篇JuniperSSG140运用PBR完成双线路接入文档中,咱们在总公司SSG140经过启用PBR功用完成了双线路的接入。但近期发现一个运用联通线路的子公司只能和总公司的电信线路树立***。众所周知电信和联通的互通性不是太好,因而这种方法树立的***推迟十分大,检测发现最大推迟能到200ms。 排查进程:     1.首要怀疑是***设置过错,登陆两头防火墙从头树立根据联通线路的***,重复测验了3次***仍旧不通,而相同的设置在电信线路则正常.分公司防火墙日志中提示如下过错: Phase 1: Retransmission limit has been reached. 依照网上的相关排查方法逐个查看后,毛病仍旧(参阅:http://www.liusuping.com/juniper/juniper-dongtai-***-guzhang-jiejue.html)     2. 从第一步的成果来看问题发生的本源很可能在总公司一方,但总公司防火墙上新增的线路内部是能够正常运用的,多方检测后也没有发现任何问题。     3. 求助网友后,有位朋友提示这个就是路由的问题,写一条路由指定出去的线路就能够了。但其时自己太忙也没有去细心考虑和剖析.后来由于需要和分公司进行很多数据传输,超高的推迟使得处理这个问题变得十分火急,所以细心剖析了问题发生的原因,并终究处理的这个看似古怪的毛病。      总公司接入了联通和电信两条线路,默许一切数据包都是经过电信线路转发数据,只要契合PBR的EACL条件的数据包才会经过联通线路转发。所以当分公司的***_Request数据包正常抵达总公司后,总公司的***_Response数据包却是被默许的电信线路转发出去的,当分公司防火墙收到来自电信线路的***_Response数据包时,拆包一看发现是源地址是一个古怪的电信线路的签名,防火墙就主动给疏忽了,***通道也就无法树立并一向处于测验树立阶段。     打个比如:B向A借钱,A说没有问题可是你要先给写一个欠据,然后我就网上转账给你,B在家写好欠据后忘掉签字就让朋友C给送出去了,C看到没有忘掉签字就随手签署自己的姓名然后送给了A,A收到欠据后细心一看发现上面写着B向A借钱XX元,但最终的签名却是C,A十分愤恨也就没给B转钱曩昔。 处理方法:     在总公司防火墙上路由表增加一条Destination是分公司防火墙公网端口IP的路由,并指定经过联通线路转发,增加完成后,再次树立根据联通线路的***,一切正常
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表千亿集团立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章