网络很慢

yuio654

网络访问很慢，ping google 一千个包丢包大概在4%左右

isp提供10M独立带宽。从isp提供的流量监控看基本上稳定在3M左右。但是内网访问公网很慢

结构大概是  ISP <----> netscreen 25 <-----> 局域网 大概300个人

netscreen做网关

ping网关很正常，很少有丢包，时间在1m左右

但是ping公网很不稳定，此时带宽也在3M左右。

Reply from 203.208.33.160: bytes=32 time=3ms TTL=243
Reply from 203.208.33.160: bytes=32 time=3ms TTL=243
Reply from 203.208.33.160: bytes=32 time=8ms TTL=243
Reply from 203.208.33.160: bytes=32 time=4ms TTL=243
Reply from 203.208.33.160: bytes=32 time=27ms TTL=243
Reply from 203.208.33.160: bytes=32 time=47ms TTL=243
Reply from 203.208.33.160: bytes=32 time=2ms TTL=243
Reply from 203.208.33.160: bytes=32 time=9ms TTL=243
Reply from 203.208.33.160: bytes=32 time=74ms TTL=243
Reply from 203.208.33.160: bytes=32 time=44ms TTL=243
Reply from 203.208.33.160: bytes=32 time=4ms TTL=243
Reply from 203.208.33.160: bytes=32 time=10ms TTL=243
Reply from 203.208.33.160: bytes=32 time=17ms TTL=243
Reply from 203.208.33.160: bytes=32 time=3ms TTL=243
Reply from 203.208.33.160: bytes=32 time=28ms TTL=243
Reply from 203.208.33.160: bytes=32 time=4ms TTL=243
Reply from 203.208.33.160: bytes=32 time=2ms TTL=243
Reply from 203.208.33.160: bytes=32 time=2ms TTL=243
Reply from 203.208.33.160: bytes=32 time=4ms TTL=243
Reply from 203.208.33.160: bytes=32 time=4ms TTL=243
Reply from 203.208.33.160: bytes=32 time=4ms TTL=243
Reply from 203.208.33.160: bytes=32 time=12ms TTL=243
Reply from 203.208.33.160: bytes=32 time=23ms TTL=243

Ping statistics for 203.208.33.160:
    Packets: Sent = 37, Received = 37, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 74ms, Average = 10ms

这都已经算是比较好的啦


怀疑是防火墙处理能力不够，熟悉netscreen 25的朋友帮忙看看是不是防火墙的问题？

防火墙的其他信息没法获得。没有权限。

[ 本帖最后由 yuio654 于 2009-8-20 16:42 编辑 ]

ssffzz1

哈哈，我也吃过这个亏的。

标的参数都很假的。不过我目前也没好的方法给你替代。你还是要找个搞netscreen的看看CPU和内存占用率，以及NAT SESSION的会话数目，还有出口的流量。有这些参数大致就可以判断谁的问题了。

yuio654

这是版本信息STRING: NetScreen-25 version 5.0.0r8.0，从snmp读出来的。
已经被关了。刚开始被告知是NetScreen-5，查手册看了看是个性能很好的防火墙。后来从snmp读数据发现不是那么回事

[ 本帖最后由 yuio654 于 2009-8-20 15:55 编辑 ]

ssffzz1

你没权限看防火墙的话，那就很难判断了。

如果有代用设备就替换一下吧。

yuio654

netscreen 25 看参数理论值是20m安全带宽，n万个并发，看起来好想能够满足。郁闷。但是从现象上看应该是防火墙的事，没有可替换的设备。


用snmp监控的那几个小时load 很高,但是管理员说load高的时候cpu使用率很低，还不让看，

遗憾的是刚开始用的netscreen 50的模板，在25上取不到cpu的数据。

[ 本帖最后由 yuio654 于 2009-8-20 16:37 编辑 ]

yuio654

顶一下……

ssffzz1

多半是了。取不到CPU数据是不行的，这个是关键参数。

yuio654

原帖由 ssffzz1 于 2009-8-20 17:23 发表
多半是了。取不到CPU数据是不行的，这个是关键参数。

以前没有搞过netscrean防火墙，load在什么范围防火墙基本工作正常呢？10 ？20 ？或者是个位数？没有正常的数值去参考


如果说netscreen 25是瓶颈，那官方的数据就太假了。并发连接数：32000，300个用户这个数远远富裕啊

yuio654

原帖由 ssffzz1 于 2009-8-20 17:43 发表
哈哈，我也吃过这个亏的。

标的参数都很假的。不过我目前也没好的方法给你替代。你还是要找个搞netscreen的看看CPU和内存占用率，以及NAT SESSION的会话数目，还有出口的流量。有这些参数大致就可以判断谁的 ...

呵呵，造假害人啊

版主用过netscreen 25这款防火墙吗？

[ 本帖最后由 yuio654 于 2009-8-20 17:50 编辑 ]

yuio654

原帖由 ssffzz1 于 2009-8-20 17:43 发表
哈哈，我也吃过这个亏的。

标的参数都很假的。不过我目前也没好的方法给你替代。你还是要找个搞netscreen的看看CPU和内存占用率，以及NAT SESSION的会话数目，还有出口的流量。有这些参数大致就可以判断谁的 ...

出口的流量不高。load在50左右的时候，入流量是8m左右，很快就下载了，然后流量稳定在2m左右，load在十几左右。

监控打开的时候，管理员问我：出口的流量图怎么跟load的图形几乎一样啊？非要说load的图是根据出口流量图画出来的。晕

本来就是两个东西非要放一起比较，我也给解释不清楚。还不让看防火墙。郁闷了好几天。