AR3260上做了策略路由導致內部DNS解析異常，王海軍老師告訴你

1，問題描述

版本信息:

V200R007C00SPC600+V200R007SPH020

組網描述:

客戶自己搭建一個DNS服務器,作為內部WEB服務器的DNS服務器,當客戶訪問外部網站,該DNS服務器作為代理,轉發到公網的DNS服務器114.114.114.114,AR路由作為整個局域網的出接口,客戶具有雙出口,電信的100M寬帶(接口為G0/0/0),聯通出口為10M寬帶(接口為G0/0/1),連接內網的接口為G0/0/2。在AR3260上做了策略路由,當客戶訪問外部網站的時候,出現解析異常緩慢的現象。

2，告警信息

ROP_MPU(l)[1189]:Some packets are dropped by cpcar on the MPU. (Packet-type=fw-dns, Drop-Count=92)

3，處理過程

1.上送CPU的DNS報文流量超過了cpcar的速率限制被丟棄,因此把設備可以DNS報文的限制速率提高,設置為256。

cpu-defend policy fw-dns

packet-type fw-dns rate-limit 256

發現不存在該丟包告警,但是客戶訪問網頁還是異常,檢查結果如下:

===============display cpu-defend statistics===============

=================================================================

-----------------------------------------------------------------------

Packet Type Pass Packets Drop Packets

-----------------------------------------------------------------------

arp-request 76 0

ftp-server 0 0

fw-dns 19340 0

http-client 2 0

http-server 3456 0

--------------------------------------------------------------------

2.懷疑是客戶的DNS服務器到公網的DNS服務器114.114.114.114的路由存在問題

C:\Users\XZ> ping 114.114.114.114

正在 Ping 114.114.114.114 具有 32 字節的數據:

來自 114.114.114.114 的回覆: 字節=32 時間=72ms TTL=77

來自 114.114.114.114 的回覆: 字節=32 時間=31ms TTL=73

來自 114.114.114.114 的回覆: 字節=32 時間=43ms TTL=88

來自 114.114.114.114 的回覆: 字節=32 時間=34ms TTL=95

114.114.114.114 的 Ping 統計信息:

數據包: 已發送 = 4,已接收 = 4,丟失 = 0 (0% 丟失),

往返行程的估計時間(以毫秒為單位):

最短 = 31ms,最長 = 72ms,平均 = 45ms

通過上面結果可知,DNS服務器到公網的DNS服務器互訪沒有問題,

3.查看G0/0/0接口(該接口的是電信的100M)的接口利用率,由於接口是客戶的業務的主要出接口,發現該接口的利用率有時候接近10%（物理口協商速率1000M，實際業務帶寬100M）,所以懷疑是該接口流量擁塞,不能夠保障DNS服務器解析有足夠的資源,通過策略路由把DNS服務器10.1.1.1的流量引向G0/0/1接口

配置如下:

acl 3000

rule 1 permit ip source 10.1.1.1 0

traffic classifier DNS operator or

if-match acl 3000

traffic behavior DNS

redirect interface G0/0/1

traffic policy DNS

classifier DNS behaviorDNS

interface G0/0/2

traffic-policy DNS inbound

做了策略路由把流量引過去G0/0/1接口以後,發現客戶此時可以正常上網。

4，根因

客戶的出接口沒有足夠的資源保障DNS服務器解析的流量。

5，解決方案

_{查看G0/0/0接口(該接口的是電信的100M)的接口利用率,由於接口是客戶的業務的主要出接口,發現該接口的利用率有時候接近10%,所以懷疑是該接口流量擁塞,不能夠保障DNS服務器解析有足夠的資源,通過策略路由把把DNS服務器10.1.1.1的流量引向G0/0/1接口}

_{配置如下:}

_{acl 3000}

_{rule 1 permit ip source 10.1.1.1 0}

_{traffic classifier DNS operator or}

_{if-match acl 3000}

_{traffic behavior DNS}

_{redirect interface G0/0/1}

_{traffic policy DNS}

_{classifier DNS behaviorDNS}

_{interface G0/0/2}

_{traffic-policy DNS inbound}

_{做了策略路由把流量引過去G0/0/1接口以後,發現客戶此時可以正常訪問網頁。}

閱讀更多 王海軍老師 的文章

關鍵字: 運營商 描述 盤點