PA小课堂| 旁路部署,发现流量对应不上!怎么办?
Panabit排错宝典专治“疑难杂症”,解决近期大家棘手的各种问题。每天定期在这里与大家见面,将一天内大家反馈最多的一个问题拿出来分析&解答。
遇到问题不要怕,Panabit为你来解答。
问题
问题1、Panabit旁路部署,用户反映查询某IP的流量对应不上。
在Panabit上看到这个IP的流量只有45M,实际上这个IP是一个服务器,一直有200Mbps+的上传流量。
问题2、总流量应该有4G,但是查看全部top用户的总流量,合计才2.2G。
故障排查过程:
1、由于是旁路部署,首先检查“伪IP防护”设置,检查合法IP是否添加正确;
排除因为合法设置IP不全导致的应用识别不全。在旁路部署的情况下,一定要在“伪IP防护”设置好内网合法IP!并且开启“伪IP防护”功能!
2、怀疑是分流器接收的流量不全或是同源同宿没做好,这样就会只分析到部分数据,检查后确定链路只有两个端口,Panabit接收的是完整的镜像流量;
3、针对第二个问题查看流量概况,总流量4G是能对应上的,但是有1.8G的流量被识别为“无连接TCP”,这些流量没有IP对象所以在TOP用户里没统计到;
咨询后得知两边都是服务器,它们通过rtmp传输数据,只要网络不断、两边服务器不重启,这个连接会一直持续不断。
4、因为是旁路部署,数据都是镜像过来的,两个服务器之间的连接早已经建立成功,Panabit就没有获取到这个连接建立过程,因此没法识别出什么属于什么应用协议,为进一步确定问题,把两个IP的链接断开一下,重新连上之后流量和应用识别都恢复正常。
总结:
弄清楚Panabit各种协议是怎么产生的,对排查问题比较有帮助。
1、“伪IP防护”功能打开后,合法IP之外的IP报文Panabit就会认为是“内网IP伪装”流量;
2、“无连接TCP”两个情况会产生:
1)TCP三次握手包没有经过Panabit,Panabit就不会创建连接,流量就识别为“无连接TCP”。比如,在有多链路负载均衡的动态路由的环境,TCP三次握手和业务流量有可能会走不同链路,如果有一部分链路的流量经过Panabit,那么就会产生“无连接TCP”流量。
2)连接数超过license允许的并发连接数之后,Panabit不会再新建的连接,超过的这个部分连接产生的流量就会识别成“无连接TCP”。
本期问题网络是旁路部署,设备上线的时不像其他部署方式能保证所有链接都是新建的。旁路部署接收的是镜像的流量,有些链接的三次握手也许在三个月前就建立了,Panabit没收到三次握手包,就把那些流量标识为“无连接TCP”。
学习了,旁路安装必须设置伪IP保护。
页:
[1]