服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 内部站点到站点VPN over MPLS速度问题?
Intereting Posts
kubectl暴露显然暴露错误的端口/连接超时 什么是暴力攻击的最佳禁令期限? 如何在企业中分配最终用户证书? 在Solaris 10中修改svc启动选项的正确方法:/ network / finger:default? 刷新补充组成员身份而不再次login? 防火墙可以部分阻止一个包吗? 有没有限制在php-fpm中设置php_admin_value? KVM的CPU分配数量能否与物理主机的CPU数量不同? 无法访问KVM主机(networking) 如何检查哪些进程正在删除文件而不使用inotify或auditd? 修复CVE-2009-0796 Ubuntu Hardy DoS攻击请求服务器上的单个文件,最好的办法来克服? 如何启用以太网1千兆位广告或排除故障? VMWare ESXi上的MacOSX Snow Leopard 需要帮助设置Kerberos身份validation的SPN

内部站点到站点VPN over MPLS速度问题?

如何解决通过MPLS电路的站点到站点VPN隧道性能低下的问题? 我应该看的是什么相关的报告/统计数据?

背景:我支持用于连接过程控制networking(PCN)两端的站点到站点VPN的一端。 PCN通过也提供VPN端点的瞻博networkingSRX / SSG防火墙与企业/企业networking分离。

最初网站之间的业务networking连接到一个AT&T GigaMAN连接,据我所知这是一个城域以太网服务的品牌名称。 一个站点是主站点(我的)的一个子站点,任何stream量都需要从该子站点通过主站点前往另一个公司站点,然后再路由到公司的其他站点。

部分原因在于成本,另一部分是为了获得更高的可靠性,城域以太网被分支networking中与公司MPLS相连的T3电路所取代。 主要网站已经与公司其他部门进行了MPLS。 VPN的一个用途是在站点之间调度文件传输,并且由于在子站点切换到MPLS,我们将会有传输间歇超时。

我不控制公司局域网或广域网,只是PCN,所以我必须通过另一个小组来find根源,但不知道正确的问题。

我会build议看的东西:

  • 从Juniper盒子中取出事件日志,特别是在隧道中寻找丢弃。
  • 在Juniper盒子上运行debugging日志,尤其是在问题一致的情况下,您可以在debugging时不必担心日志翻转或性能问题。
  • 获取任何MPLS报告,在时间范围内尽可能精确地显示连接丢失,带宽利用率等
  • 做一些正常的testing。 在一天的不同时间testing各种端点,文件大小,MTU大小,QChecktesting等。 如果在间歇性问题中可以运行这些,甚至更好。
  • 如果可以复制,甚至每天都可以尝试使用wireshark日志logging运行端点,然后分析这些日志。
  • 尝试不同的文件传输协议。 看看问题是否是协议本身。 SMB在VPN隧道上相当差。 尝试FTP而不是。 testing并收集结果。

实际上,从各个angular度可以收集的数据点和日志越多,拼图就越容易。

看看MTU。 你是否使用了足够大的值来导致碎片,从而导致延迟。 想象一下,你的数据包大小是5个字节太大了。 所以发送两个片段,只有5个字节的小片段首先到达那里。 然后,它必须等待,直到重新组装之前,鸡奸赶上。 如果缓冲区溢出,那么你就有了传统的ATM情况,即less量丢失的分片导致很多分组重传。

做一些特定数据包大小的pingtesting,特别是使用MTU大小和类似MTU + 5的数据。同时计算封装开销(OVH)并使用MTU – OVH和MTU – OVH + 5

获取数据包大小分布的报告,以了解您的平均数据包大小以及您拥有的分布forms。