1,問題描述
版本信息:
V200R007C00SPC600+V200R007SPH020
組網描述:
客戶自己搭建一個DNS服務器,作為內部WEB服務器的DNS服務器,當客戶訪問外部網站,該DNS服務器作為代理,轉發到公網的DNS服務器114.114.114.114,AR路由作為整個局域網的出接口,客戶具有雙出口,電信的100M寬帶(接口為G0/0/0),聯通出口為10M寬帶(接口為G0/0/1),連接內網的接口為G0/0/2。在AR3260上做了策略路由,當客戶訪問外部網站的時候,出現解析異常緩慢的現象。
2,告警信息
ROP_MPU(l)[1189]:Some packets are dropped by cpcar on the MPU. (Packet-type=fw-dns, Drop-Count=92)
3,處理過程
1.上送CPU的DNS報文流量超過了cpcar的速率限制被丟棄,因此把設備可以DNS報文的限制速率提高,設置為256。
cpu-defend policy fw-dns
packet-type fw-dns rate-limit 256
發現不存在該丟包告警,但是客戶訪問網頁還是異常,檢查結果如下:
===============display cpu-defend statistics===============
=================================================================
-----------------------------------------------------------------------
Packet Type Pass Packets Drop Packets
-----------------------------------------------------------------------
arp-request 76 0
ftp-server 0 0
fw-dns 19340 0
http-client 2 0
http-server 3456 0
--------------------------------------------------------------------
2.懷疑是客戶的DNS服務器到公網的DNS服務器114.114.114.114的路由存在問題
C:\Users\XZ> ping 114.114.114.114
正在 Ping 114.114.114.114 具有 32 字節的數據:
來自 114.114.114.114 的回覆: 字節=32 時間=72ms TTL=77
來自 114.114.114.114 的回覆: 字節=32 時間=31ms TTL=73
來自 114.114.114.114 的回覆: 字節=32 時間=43ms TTL=88
來自 114.114.114.114 的回覆: 字節=32 時間=34ms TTL=95
114.114.114.114 的 Ping 統計信息:
數據包: 已發送 = 4,已接收 = 4,丟失 = 0 (0% 丟失),
往返行程的估計時間(以毫秒為單位):
最短 = 31ms,最長 = 72ms,平均 = 45ms
通過上面結果可知,DNS服務器到公網的DNS服務器互訪沒有問題,
3.查看G0/0/0接口(該接口的是電信的100M)的接口利用率,由於接口是客戶的業務的主要出接口,發現該接口的利用率有時候接近10%(物理口協商速率1000M,實際業務帶寬100M),所以懷疑是該接口流量擁塞,不能夠保障DNS服務器解析有足夠的資源,通過策略路由把DNS服務器10.1.1.1的流量引向G0/0/1接口
配置如下:
acl 3000
rule 1 permit ip source 10.1.1.1 0
traffic classifier DNS operator or
if-match acl 3000
traffic behavior DNS
redirect interface G0/0/1
traffic policy DNS
classifier DNS behaviorDNS
interface G0/0/2
traffic-policy DNS inbound
做了策略路由把流量引過去G0/0/1接口以後,發現客戶此時可以正常上網。
4,根因
客戶的出接口沒有足夠的資源保障DNS服務器解析的流量。
5,解決方案
查看G0/0/0接口(該接口的是電信的100M)的接口利用率,由於接口是客戶的業務的主要出接口,發現該接口的利用率有時候接近10%,所以懷疑是該接口流量擁塞,不能夠保障DNS服務器解析有足夠的資源,通過策略路由把把DNS服務器10.1.1.1的流量引向G0/0/1接口
配置如下:
acl 3000
rule 1 permit ip source 10.1.1.1 0
traffic classifier DNS operator or
if-match acl 3000
traffic behavior DNS
redirect interface G0/0/1
traffic policy DNS
classifier DNS behaviorDNS
interface G0/0/2
traffic-policy DNS inbound
做了策略路由把流量引過去G0/0/1接口以後,發現客戶此時可以正常訪問網頁。
閱讀更多 王海軍老師 的文章