iT邦幫忙

0

請教NetScreen25上面有關Fragmented traffic的Alert,有什麼方法可以解決?

  • 分享至 

  • xImage

先附上:大概的VPN架構圖,三點之間都是用政策對政策的方式,建立VPN連線。

各位大大們,問題大概是這樣的。
大陸的同事,反應對台北與分公司的遠端服務及Mail,速度很慢。
我去確認了,流量正常,沒有塞的狀況;不過在大陸的netscree25上面出現很多Fragmented traffic的Alert。(如下圖)

會看到,都是 台北與分公司 對大陸那台連線產生的Fragmented traffic,不到一分鐘就會出現1次訊息。
問題是 三台FireWall都有設定Block Fragmented traffic,就唯獨大陸那台會出現Alert。
之後,我把大陸那台Block Fragmented traffic的防禦機制取消掉,就正常了。(如下圖)

有什麼方向可以找出這種問題嗎?
雖然不開Fragmented traffic的防禦機制,運作上也正常,不過就是怕會被封包攻擊。
而且為什麼是台北及分公司的VPN流量會出現Fragmented traffic呢?
這種狀況也是最近才發生的~
求解答了~

看更多先前的討論...收起先前的討論...
調低 MTU 試試
大大您好,台北的VPN是走ethernet4出去。(附上設定圖給您參考)
如圖上,admin mtu是1500。所以是代表我的mtu是1500嗎?
調低的話,大概要多少?
zyman2008 有回答你了
MTU需要調低是跟線路品質有關
GJ iT邦好手 1 級 ‧ 2013-06-19 15:21:31 檢舉
原PO公司如果有一點經費的話
可以考慮找廠商來做MPLS VPN專線
不然走INTTERNET VPN要小心隨時有被大陸卡掉的可能
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

6
zyman2008
iT邦大師 6 級 ‧ 2013-06-07 13:16:55
最佳解答

阿咧, 早上咖啡沒喝夠. 要回應竟然按到 "刪除"...

回應:
ESP header 長度大概 50 ~ 58 bytes. 你個結果可能是在 VPN 整段路由中有 MTU 值較小的設備.
你可以分別用台北和分公司內部的一部電腦,用 ping 的方式測試,ping大陸內部的一個 IP.
找到 mss 最佳值.
例如: 大陸內部 IP address 為 192.168.100.100,執行下列 ping 指令(以windows為例)
ping 192.168.100.100 -l 1350 -f
Reply from 192.168.100.100: Packet needs to be fragmented but DF set.

如果 ping 的結果如上,就表示 mss=1350 還是太大.就再換一個較低的值試一次,直到可以ping通. 就把這個 mss值設到 flow vpn-tcp-mss or flow tcp-mss 去.

看更多先前的回應...收起先前的回應...

zyman2008大大,報告最近測試進度:
現在台北端ns25設定完 tcp-mss 1400之後,狀況還是一樣。用您說的Ping的方式,有通。(如下圖)

ns25 (get flow的畫面)

不過我發現分公司SSG140,可以設定您說的vpn-tcp-mss這個部份,設定完 分公司到大陸那邊,就不會有Fragmented traffic的狀況了呢。(get flow的畫面)


台北端的ns25沒有分 vpn-tcp-mss 與 tcp-mss,那這個要怎麼處理?all packet都設1400嗎?

第一張圖,有抓錯XD
Ping 192.168.54.3(大陸內部IP) -f -l 1400,是有通的。
SSG140 就分了 outbound vpn 與 bi-directional vpn ,ns25上面沒有。
設定完 SSG140的 vpn-tcp-mss(bi-directional vpn)部份,分公司就沒有這個狀況。

zyman2008 iT邦大師 6 級 ‧ 2013-06-07 18:26:22 檢舉

照理說台北的 NS25 set flow tcp-mss 應該要解掉這個問題,不知道是不是有 bug.
那也只能,先試一下 set flow all-tcp-mss 是不是就 OK 了,只是這樣其他不進 VPN 的
tcp traffic 也都會被影響,傳送效率可能會變差.

zyman2008大大,報告最新測試進度:
台北ns25 set flow all-tcp-mss 1400之後,大陸那邊就不會有Fragmented traffic的狀況。
另外因為台北ns25這邊有兩條對外的網路線,ethernet3是到internet、ethernet4是專門給VPN用。
我在interface4上面有設定 MTU是1400,不過發現Fragmented traffic還是會發生。
不能這樣設定嗎?(ethernet4的設定,如下圖)

zyman2008 iT邦大師 6 級 ‧ 2013-06-14 21:31:00 檢舉

要改 tunnel interface 的 MTU, 不是 ethernet 的 MTU.

感謝zyman2008大大的耐心回答,這部份我會再測試測試。

4
mwu4
iT邦新手 2 級 ‧ 2013-06-06 18:00:46

因中國大陸有GFW做監控,建議透過internet使用VPN前, 要有一段時間的測試確認。謝謝。

我要發表回答

立即登入回答