j'ai compris

Que puis-je faire si la qualité du service est mauvaise après qu'un tunnel IPSec est établi avec succès sur le pare-feu?

publié il y a  2021-4-28 00:26:16 143 0 0 0 0

Pendant la phase de transmission des données, certains services anormaux tels que la mauvaise qualité 

            symptômes de panne.

Le contexte

            Un tunnel IPSec est établi avec succès. Les problèmes suivants peuvent exister:

            1. La vitesse d'accès au service est lente.

            2. L'accès au service est intermittent ou interrompu.

            Exécutez la commande display ipsec sa sur le pare-feu pour afficher les informations IPSec SA. Vérifiez le possible 

            causes et localisez le défaut en suivant les étapes suivantes.


Procédure

            1. Vérifiez si l'utilisation du processeur est élevée.

                Exécutez la commande display cpu-usage pour afficher l'utilisation du processeur.

                Si l'utilisation du processeur dépasse 80%, vérifiez si des fonctionnalités telles que la sécurité du contenu et les attaques 

                la défense est configurée. Si de telles fonctionnalités sont configurées, désactivez les fonctionnalités et vérifiez le CPU 

                utilisation à nouveau.

            2. Vérifiez si Internet rejette les paquets.

                Exécutez la commande undo ipsec policy sur deux interfaces de tunnel IPSec pour annuler la stratégie IPSec. Ensuite, effectuez le test ping. Si la perte de paquets persiste, la qualité Internet est médiocre. Contacter le 

                transporteur pour résoudre le problème.

            3. Vérifiez si les paquets IPSec sont fragmentés.

                Exécutez la commande ping -s packetsize -a source-ip-address host pour tester des paquets de différentes tailles. Trouvez le seuil dépassant les paquets perdus ou l'opération ping échoue.

                Exécutez la commande mtu mtu dans la vue de l'interface pour modifier la valeur MTU en fonction de la 

                au seuil.

                Après la modification, si certains services TCP ont toujours une vitesse d'accès lente ou sont intermittents, exécutez 

                la commande firewall tcp-mss value dans la vue système pour modifier le TCP MSS.

                Si la longueur totale du paquet (MSS plus divers types de coûts, y compris l'en-tête de paquet TCP, IP 

                l'en-tête de paquet et l'en-tête de paquet IPSec) dépasse le MTU de liaison, les paquets de données seront fragmentés. La fragmentation entraînera une consommation de plus de ressources CPU. De plus, le cryptage et 

                le décryptage des fragments de paquets consomme également les ressources CPU des périphériques sur la liaison de transmission. 

                Une consommation excessive de ressources CPU entraînera une perte de paquets de données.

                Certaines applications de couche supérieure (telles que le protocole de couche d'application HTTP) définiront le paramètre Ne pas 

                L'indicateur de fragment (DF) des paquets IP doit être valide pour empêcher la fragmentation des paquets TCP. Si l'indicateur DF est défini sur valide mais que l'interface MTU est plus petite que le MSS, le périphérique rejettera les paquets car il 

                ne peut pas fragmenter de force les paquets TCP.


Pour plus de détails, consultez le  guide de dépannage des modules USG6000E, USG6000, USG9500 et NGFW .


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.