《路由器tcpmss配置不匹配导致应用不正常案例》由会员分享,可在线阅读,更多相关《路由器tcpmss配置不匹配导致应用不正常案例(9页珍藏版)》请在金锄头文库上搜索。
1、8cd357afad689286ec716331a458befc.pdf1 / 9密级:受控文档归属:TAC使用对象:技术服务部、TAC故障处理案例2009-12-16福建星网锐捷网络有限公司版权所有 侵权必究文档维护人:肖永钦Tel:0591-83057910Email:8cd357afad689286ec716331a458befc.pdf2 / 9修订记录日期修订说明2009-12-17第一次发布8cd357afad689286ec716331a458befc.pdf3 / 9前言本文档收录了 TAC 受理的部分故障,供公司内部工程师在实际操作中参考。按照故障处理步骤,每则案例都包含如下
2、信息:1.收集现场信息 包括客户现场的网络拓扑、业务流向、故障现象。2.(可选)恢复客户业务 如果短时间内无法排除故障,务必先使用其他方法,使客户业务恢复正常。3.诊断故障原因 包括故障诊断的思路、操作步骤,最终定位故障原因。4.排除故障 包括排除故障的思路、操作步骤,最终故障被彻底消除。5.(可选)建议与总结 故障处理过程中得到的经验和教训、启发性建议。故障处理过程中涉及的相关文档请参考各个案例的最后一节:“附件”。此文档属于公司机密,仅供技术服务部工程师查阅,严禁流传。如果您在阅读中产生疑问,请与文档维护人联系。8cd357afad689286ec716331a458befc.pdf4 /
3、 9目录1某公司路由器 TCP MSS 配置不匹配.5 1.1收集现场信息.5 1.1.1网络拓扑.5 1.1.2故障现象.6 1.2恢复客户业务.6 1.3诊断故障原因.6 1.4排除故障.9 1.5建议与总结.98cd357afad689286ec716331a458befc.pdf5 / 91某公司路由器某公司路由器 TCP MSS 配置不匹配配置不匹配简要信息案例编号0912100023501时间2009-12-10案例作者肖永钦故障原因两台路由器在建立 L2TP VPN 中,虚拟模板接口 TCP MSS 设置不 匹配,产生大数据报文通不过,导致 ISOFLOW、ERP 等业务访问 不
4、正常。解决办法修改 TCP MSS1.1收集收集现场现场信息信息1.1.1 网网络络拓扑拓扑设备角色说明8cd357afad689286ec716331a458befc.pdf6 / 9NBR2000公司总出口路由器NBR1200分公司出口路由器NBR2000 启用 L2TP 功能,同时在 L2TP 虚 拟模板接口中配置了 TCP MSS 为 1300。NBR1200 启用 2LTP 功能,同时在 L2TP 虚 拟模板接口中配置了 TCP MSS 为 1400。NBR1200 与 NBR2000 通过 L2TP 协议建立隧 道,NBR2000 作为服务端,NBR1200 作为客 户端。1.1.
5、2 故障故障现现象象在分公司 NBR1200 的 PC 上登录总公司 ISOFLOW 服务器,在 ISOFLOW 里签核表单的时候,会无法签核下去而导致 IE 死掉的现象。 如果碰见 ISOFLOW 单子的附件,会发现附件要过很长、很长的时间才能打开。访问 ERP 系统普通表单的速度不错,但是一旦进行数据库的读写,速度极慢;数据查询时经常超时。1.2恢复客恢复客户业务户业务在收集到所需的故障信息后,务必立刻进行客户业务恢复的操作。之后再开展故障的诊 断和排查。1.无法恢复,需立即排查。1.3诊诊断故障断故障原因原因故障诊断的思路登录到总公司 NBR2000 和分公司 NBR1200,查看配置,
6、具体如下:NBR2000 虚拟模板配置:8cd357afad689286ec716331a458befc.pdf7 / 9interface Virtual-Template 1mtu 1400ppp authentication papip nat insideip tcp adjust-mss 1300ip unnumbered GigabitEthernet 0/0peer default ip address pool VPDNNBR1200 虚拟模板配置:interface Virtual-ppp 1pseudowire X.X.X.X 20 encapsulation l2tpv2
7、 pw-class pwmtu 1400ppp pap sent-username star-net password 7 0058274d4c24ip tcp adjust-mss 1400ip address negotiate故障诊断的分析1、判断网络层是否正常在现场从分公司 PC PING 总公司 ISOFLOW 服务器 IP,长 PING 没有丢包,说明网络层是正常的。2、应用异常目前用户应用是通过 HTTP 来访问,出现能访问,但很慢的现象,说明是在应用层上出现了问题。一般来说,在应用层出问题,在排除软件本身问题的情况下,基8cd357afad689286ec716331a458b
8、efc.pdf8 / 9本可以定位是 MTU 或 TCP MSS 不匹配原因引起。3、TCP MSS 分析一般来说一般的应用软件,当客户端和服务器端在建立 TCP 连接的时候需要根据实际传输的报文大小来协商 TCP 的窗口大小 MSS。在 TCP 协商的第一个报文也就是SYN 置位的报文中会告知对方自己所能接收的最大 TCP 数据净荷(也就是 TCP 报文中的数据长度)-MSS,对方收到 TCP 同步报文也会回复一个 SYN 置位的 TCP 报文,其中也携带了 MSS 参数来告知对方自己能接收的最大 MSS。根据以上分析,我们来看一下总公司与分公司路由器是怎么协商 TCP MSS 的:(1)分
9、公司-总公司PC 发起 TCP SYN 报文与总公司 ISOFLOW 服务器进行协商,在 TCP SYN 报文经过分公司路由器虚拟模板接口(out 方向)时,路由器会将接口配置的 MSS 值1400(分公司路由器在虚拟模板接口上配置了 ip tcp adjust-mss 1400)与 TCP 报文中的 MSS 值 1460(windows XP 系统默认是 1460)比较,取二者的最小值1400。ISOFLOW 服务器收到此 TCP 同步报文,查看其中的 MSS=1400,服务端在后续发送数据时封装的最大 TCP 数据载荷为 1400。一般来说 TCP MSS 是不分包的,DF置位为 1。(2
10、)总公司-分公司ISOFLOW 发响应 TCP SYN ACK 报文给分公司的 PC,在 TCP SYN 报文经过总公司路由器虚拟模板接口(out 方向)时,路由器会将接口配置的 MSS 值 1300(总公司路由器在虚拟模板接口上配置了 ip tcp adjust-mss 1300)与 TCP 报文中的 MSS 值1460(windows XP 系统默认是 1460)比较,取二者的最小值 1300。PC 收到此 TCP同步确认报文,查看其中的 MSS=1300,PC 在后续发送数据时封装的最大 TCP 数据载荷为 1300。一般来说 TCP MSS 是不分包的,DF 置位为 1。PC 在向 I
11、SOFLOW 发送请求,作为 ISOFLWO 的被请求端,发出的数据包括8cd357afad689286ec716331a458befc.pdf9 / 9的数据文件,数据包较大,需要封装成最大 MSS 载荷传送(提高效率) ,在此MSS=1400,当数据包经过总公司 L2TP VPN 虚拟模板接口时,由于配置了 mtu 1400,而此时数据包的 MTU(MTU=1400+TCP(20)+IP(20)+PPP (4)+L2TP(8)+UDP(8)+IP(20)=1480)远远大于总公司路由器虚拟模板接口 MTU 1400,且 IP 包头强制不分片位被置位,导致在出 VPN 隧道时报文被丢弃,所以
12、现象就是能够建立 TCP 连接,但服务器端返回大数据包时,出现 IE 应用程序没有响应现象。同理,如果是从服务端发起的访问客户端口 PC,由于客户端接收到的 TCP 同步报文中的 MSS=1300,那么其封装的数据经过分公司路由器 L2TP VPN 隧道时,数据包的 MTU(MTU=1300+ TCP(20)+IP(20)+PPP (4)+L2TP(8)+UDP(8)+IP(20)=1380)小于分公司路由器隧道MTU=1400,所以能够正常。1.4排除故障排除故障排除故障的思路1、分析原因是tcp mss值的问题,修改分公司路由器L2TP VPN虚拟模板接口的tcp mss值为 1300,跟总部路由器一样,问题解决。具体报文 mtu 、tcp mss 大小要根据具体应用,按经验值进行尝试,选择最佳值;其中MTU 值的选择可以通过 ping 命令设置不分片来进行测试;TCP MSS 值的选择则可以通 过 MTU 减去相应其它加密、链路层开销、IP 头、TCP 头等字节计算。1.5建建议议与与总结总结在处理故障时,先观察现象,然后带着问题去查配置,然后分析现象,最后看是什么原因引起的,再给出解决方案。
