Pendant la phase de transmission des données, certains services anormaux tels que la mauvaise qualité
symptômes de panne.
Le contexte
Un tunnel IPSec est établi avec succès. Les problèmes suivants peuvent exister:
1. La vitesse d'accès au service est lente.
2. L'accès au service est intermittent ou interrompu.
Exécutez la commande display ipsec sa sur le pare-feu pour afficher les informations IPSec SA. Vérifiez le possible
causes et localisez le défaut en suivant les étapes suivantes.
Procédure
1. Vérifiez si l'utilisation du processeur est élevée.
Exécutez la commande display cpu-usage pour afficher l'utilisation du processeur.
Si l'utilisation du processeur dépasse 80%, vérifiez si des fonctionnalités telles que la sécurité du contenu et les attaques
la défense est configurée. Si de telles fonctionnalités sont configurées, désactivez les fonctionnalités et vérifiez le CPU
utilisation à nouveau.
2. Vérifiez si Internet rejette les paquets.
Exécutez la commande undo ipsec policy sur deux interfaces de tunnel IPSec pour annuler la stratégie IPSec. Ensuite, effectuez le test ping. Si la perte de paquets persiste, la qualité Internet est médiocre. Contacter le
transporteur pour résoudre le problème.
3. Vérifiez si les paquets IPSec sont fragmentés.
Exécutez la commande ping -s packetsize -a source-ip-address host pour tester des paquets de différentes tailles. Trouvez le seuil dépassant les paquets perdus ou l'opération ping échoue.
Exécutez la commande mtu mtu dans la vue de l'interface pour modifier la valeur MTU en fonction de la
au seuil.
Après la modification, si certains services TCP ont toujours une vitesse d'accès lente ou sont intermittents, exécutez
la commande firewall tcp-mss value dans la vue système pour modifier le TCP MSS.
Si la longueur totale du paquet (MSS plus divers types de coûts, y compris l'en-tête de paquet TCP, IP
l'en-tête de paquet et l'en-tête de paquet IPSec) dépasse le MTU de liaison, les paquets de données seront fragmentés. La fragmentation entraînera une consommation de plus de ressources CPU. De plus, le cryptage et
le décryptage des fragments de paquets consomme également les ressources CPU des périphériques sur la liaison de transmission.
Une consommation excessive de ressources CPU entraînera une perte de paquets de données.
Certaines applications de couche supérieure (telles que le protocole de couche d'application HTTP) définiront le paramètre Ne pas
L'indicateur de fragment (DF) des paquets IP doit être valide pour empêcher la fragmentation des paquets TCP. Si l'indicateur DF est défini sur valide mais que l'interface MTU est plus petite que le MSS, le périphérique rejettera les paquets car il
ne peut pas fragmenter de force les paquets TCP.
Pour plus de détails, consultez le guide de dépannage des modules USG6000E, USG6000, USG9500 et NGFW .