Однонаправленная потеря пакета

8

Недавно, после обновления нескольких каналов MetroE (подключение L2) со 100 Мбит / с до 1 Гбит / с, я заметил, что большие передачи файлов не проходят между некоторыми сайтами; однако передача не выполняется только в направлении. Например, рассмотрим следующий пример.

От -> до

A -> B = Fail

B -> A = Успех

A -> C = Успех

C -> A = Успех

B -> C = Успех

C -> B = Успех

Каждый сайт является маршрутизируемым сегментом позади коммутатора L3, расположенного на сайте. Коммутатор L3 подключается к медиаконвертеру CPE поставщика, который, в свою очередь, подключается к сети поставщика через оптоволокно. Статическая маршрутизация используется между коммутаторами L3.

            *Site A*                      *Site B*
    L3 Switch <-> CPE <--- Provider ---> CPE <-> L3 Switch
                               |
                              CPE
                               |
                           L3 Switch
                            *Site C*

Провайдер выполнил сквозное тестирование цепей от CPE и сообщил об отсутствии потерь. Тем не менее, я вижу много дубликатов ACK в захвате пакетов на хостах, прежде чем передача не удалась.

Если я уберу коммутаторы L3 из уравнения и подключу два хоста непосредственно к устройству CPE на каждом сайте, передача файла завершится успешно.

    Host A <-> CPE <--- Provider ---> CPE <-> Host B

Если я размещу хосты по обе стороны от коммутатора L3, маршрутизация между виртуальными локальными сетями работает без помех, и передача файлов завершается успешно.

    Host A1 <-> L3 Switch <-> Host A2

Эта проблема возникает только тогда, когда данные пересекают провайдера между двумя маршрутизируемыми сегментами.

    Host A <-> L3 Switch <-> CPE <--- Provider ---> CPE <-> L3 Switch <-> Host B

Я проверил несколько вещей - статистика интерфейса чистая (без ошибок), низкое использование процессора и памяти, совпадение скорости и дуплекса (клиент и CPE), таблицы MAC и ARP правильные и т. Д.

В чем может быть проблема?

Обновление 1

Захват пакетов с хостов A и B можно найти по следующему URL:

https://www.dropbox.com/sh/5m2yohgxieelo59/AADed-0EWOkdmFIe0qT45_uQa

Первоначально эта проблема возникла при использовании коммутаторов Juniper EX3200, работающих под управлением 12.3R6.6. Впоследствии я понизил коммутаторы до 11.4R6.6, но это не решило проблему.

Мне удалось воспроизвести проблему, используя коммутаторы Juiper EX2200, работающие с 12.3R6.6 и 11.4R6.6. Мне также удалось воспроизвести проблему с помощью коммутаторов Dell 6224, работающих под управлением 3.3.11.2.

В настоящее время только CPE (ge-0/0/0) и один хост (ge-0/0/1) подключены к Juniper EX3200 на каждом сайте. При устранении проблемы я удалил конфигурацию любых посторонних параметров, так что конфигурация довольно проста. Конфигурация по сути одинакова на каждом, но с разными IP-адресами. Ниже приведен фрагмент.

    # show interfaces
    ge-0/0/0 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members WAN;
                }
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members LAN;
                }
            }
        }
    }
    vlan {
        unit 10 {
            description WAN;
            family inet {
                address 192.168.X.X/27;
            }
        }
        unit 100 {
            description LAN;
            family inet {
                targeted-broadcast;
                address 172.X.X.1/22;
            }
        }
    }

    # show vlans
    WAN {
        vlan-id 10;
        l3-interface vlan.10;
    }
    LAN {
        vlan-id 100;
        l3-interface vlan.100;
    }

Обновление 2

Сегодня я заметил, что если я получаю файл scp от коммутатора L3, Juniper EX3200, на коммутаторе сайта A к L3, Juniper EX3200, на сайте B, проблема переноса scp также будет затронута.

Я нахожу это особенно интересным, поскольку передача происходит из интерфейса, обращенного к CPE, в WLAN VLAN, поскольку, если я соединяю VLAN между уязвимыми сайтами через коммутаторы EX3200, переключаемые передачи файлов успешно завершаются между хостами на сайтах A и B.

Пол Гарретт
источник
1
Привет, Майк, спасибо за предложение. Из разговора с моим провайдером я узнал, что они настраивают MTU, превышающий 9000. Я могу передать 1472 байта в обоих направлениях, чего я и ожидал от defacto 1500 MTU. Использование mturoute подтвердило это. Любой пинг свыше 1472 завершается неудачно с установленным битом не фрагмента.
Пол Гарретт
Пожалуйста, прослушайте передачу файла, которая не удалась с обеих сторон одновременно, и опубликуйте результаты в облаке. Нам также нужны подробности о части вопроса «Переключатель L3». Такие вещи, как производитель, модель, версия прошивки, конфигурация, номера портов, к которым подключен и т. Д ...
Майк Пеннингтон
К тому времени, когда передача файла не удалась, объемы записи составляли около 19 МБ, что слишком много для clouldshark, поэтому я загрузил записи в dropbox и поделился ссылкой. Я обновил пост, чтобы включить дополнительную информацию, которую вы запросили.
Пол Гарретт
Пожалуйста, подумайте над тем, чтобы добавить больше деталей к вопросу
Майк Пеннингтон,
Возникла проблема с сетью провайдера. Никаких дополнительных деталей не было.
Пол Гарретт

Ответы:

1

На брандмауэре, если вы используете SRX, проверьте, какие сеансы потока безопасности установлены, и достигает ли он предела.

#show security flow session summary 
Альберт Клинаку
источник