使用几年后。 我们已经看到Cisco 871和851路由器会挂起,如果你有一个单一的下载超过100M大。 这是间歇性的。 有时问题会消失,有时会发生在非常小的下载(仅10KB的网页)上。 似乎所有的下载最终都会完成,但是下载时间越长,挂起的时间越长。
有没有办法解决这个问题? (缺less路由器更换,这是我们一直在做的)
我们正在重新考虑一年和两个月的思科851 。 在这一点上,类似的挂起似乎正在发生,在一个不太重要的规模。 在这种情况下,客户已经购买了一个30Mbps的上/下networking连接,他们只能获得5Mbps / 20Mbps的上/下。 有时,下载速度降低到5Mbps。
我会尝试在下次我在外面(希望下周)时已经提出的build议,并在我的发现中进行编辑。
我在Vlan1和Fa4上有一个ACL。 我也有一些ACL被replace,不被使用。 ACL大概有45条线,大约有一半是备注。 我已经发布了下面的configuration。 个人信息被屏蔽,如WAN IP或hostname HIDDEN
如果您对configuration代码有诸如性能改进之类的build议,或者有关851的预期30Mbps的信息,我们将不胜感激。
Current configuration : 18157 bytes ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname HIDDEN ! boot-start-marker boot-end-marker ! logging buffered 51200 logging console critical enable secret 5 --GIBBERISH--- ! aaa new-model ! ! aaa authentication login local_authen local aaa authorization exec local_author local ! ! aaa session-id common clock timezone EST -5 ! crypto pki trustpoint TP-self-signed-4140887523 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-4140887523 revocation-check none rsakeypair TP-self-signed-4140887523 ! ! dot11 syslog no ip source-route no ip dhcp use vrf connected ip dhcp binding cleanup interval 60 ip dhcp excluded-address 10.10.10.1 ip dhcp excluded-address 192.168.1.1 ! ip dhcp pool ccp-pool import all network 10.10.10.0 255.255.255.248 default-router 10.10.10.1 lease 0 2 ! ip dhcp pool sdm-pool1 import all network 192.168.1.0 255.255.255.0 dns-server --DNS Server 1-- --DNS Server 2-- default-router 192.168.1.1 ! ! ip cef ip inspect name DEFAULT100 appfw DEFAULT100 ip inspect name DEFAULT100 cuseeme ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 icmp ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 esmtp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 vdolive ip inspect name DEFAULT100 https ip inspect name DEFAULT100 dns no ip bootp server no ip domain lookup ip domain name noexist.example.com ip name-server --DNS Server 2-- ip name-server --DNS Server 1-- ! appfw policy-name DEFAULT100 application im aol service default action reset service text-chat action reset server deny name login.oscar.aol.com server deny name toc.oscar.aol.com server deny name oam-d09a.blue.aol.com application im msn service default action reset service text-chat action reset server deny name messenger.hotmail.com server deny name gateway.messenger.hotmail.com server deny name webmessenger.msn.com application http port-misuse im action reset alarm application im yahoo service default action reset service text-chat action reset server deny name scs.msg.yahoo.com server deny name scsa.msg.yahoo.com server deny name scsb.msg.yahoo.com server deny name scsc.msg.yahoo.com server deny name scsd.msg.yahoo.com server deny name messenger.yahoo.com server deny name cs16.msg.dcn.yahoo.com server deny name cs19.msg.dcn.yahoo.com server deny name cs42.msg.dcn.yahoo.com server deny name cs53.msg.dcn.yahoo.com server deny name cs54.msg.dcn.yahoo.com server deny name ads1.vip.scd.yahoo.com server deny name radio1.launch.vip.dal.yahoo.com server deny name in1.msg.vip.re2.yahoo.com server deny name data1.my.vip.sc5.yahoo.com server deny name address1.pim.vip.mud.yahoo.com server deny name edit.messenger.yahoo.com server deny name http.pager.yahoo.com server deny name privacy.yahoo.com server deny name csa.yahoo.com server deny name csb.yahoo.com server deny name csc.yahoo.com ! ! ! username surfn privilege 15 secret 5 $1$1hrm$0yfIN0jK56rOm9cXfm2a21 ! ! archive log config hidekeys ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ! ! ! interface Null0 no ip unreachables ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description $ES_WAN$$FW_OUTSIDE$ ip address --WAN IP-- 255.255.255.0 ip access-group 123 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip inspect DEFAULT100 out ip nat outside ip virtual-reassembly ip route-cache flow duplex auto speed auto ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 192.168.1.1 255.255.255.0 ip access-group 102 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1452 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 --ISP Gateway-- ! ip http server ip http access-class 2 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source list 1 interface FastEthernet4 overload ! logging trap debugging access-list 1 remark Telnet, SSH access access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 deny any access-list 2 remark HTTP, HTTPS access access-list 2 permit 192.168.1.0 0.0.0.255 access-list 2 deny any access-list 101 HIDDEN access-list 102 HIDDEN access-list 121 HIDDEN access-list 122 HIDDEN access-list 123 HIDDEN no cdp run ! control-plane ! banner exec ^C % Password expiration warning. ----------------------------------------------------------------------- Cisco Configuration Professional (Cisco CP) is installed on this device and it provides the default username "cisco" for one-time use. If you have already used the username "cisco" to login to the router and your IOS image supports the "one-time" user option, then this username has already expired. You will not be able to login to the router with this username after you exit this session. It is strongly suggested that you create a new username with a privilege level of 15 using the following command. username <myuser> privilege 15 secret 0 <mypassword> Replace <myuser> and <mypassword> with the username and password you want to use. ----------------------------------------------------------------------- ^C banner login ^CCAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! line con 0 login authentication local_authen no modem enable transport output telnet line aux 0 login authentication local_authen transport output telnet line vty 0 4 access-class 100 in privilege level 15 authorization exec local_author login authentication local_authen transport input telnet ssh ! scheduler max-task-time 5000 scheduler allocate 4000 1000 scheduler interval 500 end
乔治,我看到以下消息:
%FW-4-TCP_OoO_SEG:丢弃TCP段:seq:3558911335 1500字节乱序; 预计seq:3558888055。 原因:TCP重组队列溢出 – 会话192.168.23.38:54435至65.199.63.58:801024
以下命令似乎已经通过扩展队列重组队列为我工作。
ip检查tcp重组队列长度1024
我想这是一个很长的时间,因为我不知道你的configuration。 希望有所帮助!
科林Jaccino
这些路由器有多less用户? 大概你在一个单一的外部地址做NAT。 现代软件,尤其是像Facebook聊天等Web服务,打开了很多并发的TCP连接。 思科的,我相信,有一个静态大小的NAT转换表。 它可能是溢出和驱逐最古老的连接? 恐怕我无法提供任何关于检查NAT表是否溢出的build议。
我不会怀疑这个固件,尤其是如果它在几年前一直合理的工作的话。 但是,我会build议给接口统计一个快速的双重检查。 如果在界面上看到丢失,无效,badrx校验和等错误,那么这可能是问题的根源。 要么硬件故障,电气隔离不充分,要么其他。 我已经停止计算在过去的3 – 4年内,由于内部鼓胀/爆炸电容,我看到有多less“便宜”的5端口10/100或千兆交换机出现半失效,变得不稳定和不稳定。 一个
show interfaces counters errors
声明应该很快识别任何麻烦的接口。
祝你好运。
这听起来很像一个pathMTU问题,其中一个path在传输过程中使用不同的MTU进行切换,并且由于no ip unreachables定义no ip unreachables ,所以它不会通知它需要对数据包进行分段。
使用不同的ping数据包大小来testing它是相当容易的,或者如果问题经常发生,在出站pathWAN接口中input命令ip tcp adjust-mss 1360 ,或者在这种情况下inputFa4。 1360应该安全地低于任何缩小的MTU,并且不会严重影响吞吐量。
如果它用这个命令清除,这是一个MTU问题,你可以尝试提高到1440或1460,以获得吞吐量。
我看不到你的访问控制列表,但要确保你permit icmp any any packet-too-big至lesspermit icmp any any packet-too-big