AR3260上做了策略路由导致内部DNS解析异常，王海军老师告诉你

1，问题描述

版本信息:

V200R007C00SPC600+V200R007SPH020

组网描述:

客户自己搭建一个DNS服务器,作为内部WEB服务器的DNS服务器,当客户访问外部网站,该DNS服务器作为代理,转发到公网的DNS服务器114.114.114.114,AR路由作为整个局域网的出接口,客户具有双出口,电信的100M宽带(接口为G0/0/0),联通出口为10M宽带(接口为G0/0/1),连接内网的接口为G0/0/2。在AR3260上做了策略路由,当客户访问外部网站的时候,出现解析异常缓慢的现象。

2，告警信息

ROP_MPU(l)[1189]:Some packets are dropped by cpcar on the MPU. (Packet-type=fw-dns, Drop-Count=92)

3，处理过程

1.上送CPU的DNS报文流量超过了cpcar的速率限制被丢弃,因此把设备可以DNS报文的限制速率提高,设置为256。

cpu-defend policy fw-dns

packet-type fw-dns rate-limit 256

发现不存在该丢包告警,但是客户访问网页还是异常,检查结果如下:

===============display cpu-defend statistics===============

=================================================================

-----------------------------------------------------------------------

Packet Type Pass Packets Drop Packets

-----------------------------------------------------------------------

arp-request 76 0

ftp-server 0 0

fw-dns 19340 0

http-client 2 0

http-server 3456 0

--------------------------------------------------------------------

2.怀疑是客户的DNS服务器到公网的DNS服务器114.114.114.114的路由存在问题

C:\Users\XZ> ping 114.114.114.114

正在 Ping 114.114.114.114 具有 32 字节的数据:

来自 114.114.114.114 的回复: 字节=32 时间=72ms TTL=77

来自 114.114.114.114 的回复: 字节=32 时间=31ms TTL=73

来自 114.114.114.114 的回复: 字节=32 时间=43ms TTL=88

来自 114.114.114.114 的回复: 字节=32 时间=34ms TTL=95

114.114.114.114 的 Ping 统计信息:

数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),

往返行程的估计时间(以毫秒为单位):

最短 = 31ms,最长 = 72ms,平均 = 45ms

通过上面结果可知,DNS服务器到公网的DNS服务器互访没有问题,

3.查看G0/0/0接口(该接口的是电信的100M)的接口利用率,由于接口是客户的业务的主要出接口,发现该接口的利用率有时候接近10%（物理口协商速率1000M，实际业务带宽100M）,所以怀疑是该接口流量拥塞,不能够保障DNS服务器解析有足够的资源,通过策略路由把DNS服务器10.1.1.1的流量引向G0/0/1接口

配置如下:

acl 3000

rule 1 permit ip source 10.1.1.1 0

traffic classifier DNS operator or

if-match acl 3000

traffic behavior DNS

redirect interface G0/0/1

traffic policy DNS

classifier DNS behaviorDNS

interface G0/0/2

traffic-policy DNS inbound

做了策略路由把流量引过去G0/0/1接口以后,发现客户此时可以正常上网。

4，根因

客户的出接口没有足够的资源保障DNS服务器解析的流量。

5，解决方案

_{查看G0/0/0接口(该接口的是电信的100M)的接口利用率,由于接口是客户的业务的主要出接口,发现该接口的利用率有时候接近10%,所以怀疑是该接口流量拥塞,不能够保障DNS服务器解析有足够的资源,通过策略路由把把DNS服务器10.1.1.1的流量引向G0/0/1接口}

_{配置如下:}

_{acl 3000}

_{rule 1 permit ip source 10.1.1.1 0}

_{traffic classifier DNS operator or}

_{if-match acl 3000}

_{traffic behavior DNS}

_{redirect interface G0/0/1}

_{traffic policy DNS}

_{classifier DNS behaviorDNS}

_{interface G0/0/2}

_{traffic-policy DNS inbound}

_{做了策略路由把流量引过去G0/0/1接口以后,发现客户此时可以正常访问网页。}

閱讀更多 王海軍老師 的文章

關鍵字: 运营商 描述 盘点