Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 6889|回复: 5

近五日发现一严重问题,接上PA断点巨多,延时巨大

[复制链接]
发表于 2010-12-4 17:07:39 | 显示全部楼层 |阅读模式
近五日发现一严重问题,接上PA断点巨多,延时巨大,还望老大帮忙分析分析
接PA时ping防火墙
Reply from 10.0.0.1: bytes=32 time=28ms TTL=64
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 10.0.0.1: bytes=32 time=10ms TTL=64
Reply from 10.0.0.1: bytes=32 time=6ms TTL=64
Reply from 10.0.0.1: bytes=32 time=7ms TTL=64
Request timed out.
Request timed out.
Reply from 10.0.0.1: bytes=32 time=11ms TTL=64
Request timed out.
Request timed out.
Request timed out.
Reply from 10.0.0.1: bytes=32 time=23ms TTL=64
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 10.0.0.1: bytes=32 time=16ms TTL=64
Reply from 10.0.0.1: bytes=32 time=7ms TTL=64
不接PA时ping 防火墙
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64
Reply from 10.0.0.1: bytes=32 time<1ms TTL=64

下午把PA都重新安装了,换了网卡,可情况依然没有解决,郁闷之极,还望高人指点

[ 本帖最后由 wowooo 于 2010-12-4 17:08 编辑 ]
发表于 2010-12-5 00:40:52 | 显示全部楼层
没有任何策略,刚安装好,把桥接上就这样?
 楼主| 发表于 2010-12-5 13:35:33 | 显示全部楼层
重做后不加任何策略就是这样,郁闷之极!
发表于 2010-12-6 17:01:37 | 显示全部楼层

回复 3# 的帖子

看下出现此问题时,PA系统中监测到的并发连接数是多少? 然后根据此数值,做并发连接数控制策略,再看看效果。

说明: 这种现象较常见的原因是防火墙类设备的实际并发连接数性能不足。 那么为什么上PA后才有此问题?
      -----PA采取主动探测引擎技术处理对加密类协议的识别,当内网有人用加密类应用如电驴时,PA为识别这些应用,就会主动发起一些连接,这会加大防火墙类设备的并发数负载,令防火墙并发数的临界点更早出现。

      注: 对于P2P类应用,当被阻断或限速后,会发起更多的连接寻找资源以保证其应用体验,持续对防火墙构成比以往更大的压力。PA启用连接数限制策略后,对防火墙有较好的保护功能。

      并发数限制的思路:
      1、基于IP做限制, 通常以TCP给200,UDP给100为基准,然后根据策略效果和用户的反馈适当调整;
      2、基于应用协议做限制,如限制迅雷等P2P的连接数为50,需要注意的是和“单IP限速”功能一样,标准版有150的配额限制。
 楼主| 发表于 2010-12-7 01:34:12 | 显示全部楼层

回复 4# 的帖子

谢谢老大即时提醒,问题暂时性得到解决了。现在就是ping防火墙内网地址延时在2-20ms之间不知是否正常

pa真的很强,用过这几家的产品还是觉得它使着顺手,想考虑专业版了,呵呵
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-24 22:24 , Processed in 0.071328 second(s), 15 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表