【DDoS】【安装部署】上线后业务访问速度慢

李莉02发表于:2021年04月19日 14:15:20更新于:2021年06月15日 10:55:59

1 问题描述

    DDoS设备上线运行后,访问网络中的各业务系统速度很慢,需要等待很长时间,甚至会出现网页无法打开的情况。

2 适用场景

    串联

3 原因分析

    可能原因:

    1)触发设备连接保护,导致连接被屏蔽,所以无法打开网页;

    2)设备部署位置原因,去往内部各业务系统的流量未全部经过DDoS设备,导致设备中有部分流量是半连接状态,此部分流量会被设备全部丢弃,所以外网访问内部各业务系统的速度变慢甚至无法打开网页。

4 解决办法

    1)定位问题点

    首先了解具体是内网中的哪个业务系统访问的速度慢,确定此业务系统服务器的IP地址;

    若出口有NAT,则需要知道服务器内网IP对应映射后的公网IP地址。

 

    2)查看连接

    首先查看【状态监控】-屏蔽记录和【数据分析】-屏蔽分析两个页面,是否有实时屏蔽和历史屏蔽日志,查看屏蔽日志中的本地地址是否为前面了解到的服务器IP地址;

    查看屏蔽原因是否为“系统连接保护”。

 

    3)调整防护参数

    若屏蔽日志中有此服务器IP触发系统连接保护的记录,则需要调大全局参数中的“TCP连接数量保护”,调大到网络流量高峰时最大连接数的2-3倍。

image.png

    

     4)排查拓扑

    若屏蔽记录和屏蔽分析中无相关的记录,则需要排查网络拓扑。

    串联部署模式,当有多个出口时,要求去往内部业务系统的流量全部都要经过DDoS,例如以下两种部署,都为正确的串联部署方式:

image.png

串联(单台设备多链路)

image.png

串联(多台设备多链路)


    以下为错误的串联部署方式:

image.png

 串联错误部署方式

    上图部署中,出口的两台交换机堆叠,从单个出口进入网络的流量有会两条链路且都为主链路,两条链路都可到达业务区,此情况下,流量进入网络经过DDoS,出去时流量有可能不是原路返回,而是走的旁边未接DDoS设备的链路回去互联网,这种流量会被设备认为是半连接流量,会将这种流量全部丢弃。

    综上两个思路,在遇到设备上线运行一段时间后,用户反馈网速变慢的情况,可从是否触发连接防护参数和排查拓扑两个方面进行排查和查找问题原因。