网络问题路径不一致产生的背景：
在实际的网络问题规划和建设中，一般不应该存茬网络问题路径来回不一致的情况但在网络问题的运维过程中，为了应对紧急的情况可能得把单方向的流量分流和切换，这时候网络問题环境中就不可避免存在来回路径不一致的情况
下面从我个人的运维经验中分析一下网络问题路径来回不一致可能导致的问题：

1.路由問题 如下面的图1，ar1到ar4的访问来回路由不一致。如果由于前期的路由规划不合理可能会由于ar2或者ar4缺少路由，导致ar1到ar4的单通问题这种故障现象比较容易定位，如果网络问题环境中没有安全策略可以通过ping测和两边分别traceroute路由路径发现故障节点。

2.安全策略问题 如下面的图2ar1经過ar4，来回路径不一致分别经过fw1和fw2。存在的问题有： 安全策略：**由于防火墙的安全策略机制是会话优先所以防火墙开策略一般只开主动發起会话方向的安全策略，但由于回程路由方向的安全策略没有会话匹配策略不通过，导致回程数据包被防火墙阻断这种情况一般通過ping或者traceroute等方法无法具体定位，特别大部企业网icmp都放通会出现可以ping通，但应用无法正常访问的故障现象需要通过telnet应用端口，抓包和查看防火墙会话定位故障解决方法一般是临时放开策略回程方向的安全策略解决问题。

3.tcp应用问题 如下图3左边是一个机构，右边是另外一个機构两个机构之间互访分别通过MSTP专线和IPSEC VPN形成冗余。机构之间互访来回路径不一致我们假设上面路由问题和安全策略问题都不存在，但還是存在ping测正常telnet应用端口也正常，但就是存在应用访问非常缓慢或者异常故障现象

在分析问题之前，先说介绍一下IPSEC VPNIPSEC VPN是一种加密封装數据包的虚拟隧道技术，加密后的数据包不支持拆分拆分后的数据包到达对端后，重组解密存在异常所以在IPSEC VPN防火墙上，我们一般都指萣了tcp-mss（对tcp-mss不了解的另外去查相关tcp文档），以避免tcp报文ipsec封装后报文长度大于接口MTU需要分片那我们ipsec vpn墙一般应当设置tcp-mss不大于多少呢？要看ipsec封裝包来看如下图，tcp-mss不应该大于1380bytes
那么问题来了，ipsec vpn防火墙设置tcp-mss为什么会导致异常呢先来看tcp-mss如何协商的。
tcp-mss协商：tcp-mss协商是在tcp syn包和syn+ack包中分别协商两个方向的tcp-msstcp-mss协商并无确认机制，如下图（这个图引用了网上的图片如有冒犯，请联系修改）：
从tcp-mss的协商过程看图3中左边的用户访問右边机构的服务器，syn包通过路由器mstp专线到达协商tcp报文长度默认是1460bytes,右边服务器会以1460bytes封装TCP报文，TCP报文经过防火墙IPSEC VPN时进行封装报文过大（+60+20=1580bytes），IPSEC VPN报文封装后分片导致异常
解决方法：在mstp专线的路由器上，任何一个流量途径的网络问题接口指定tcp-mss跟IPSEC VPN防火墙一致即可（路由器和防火牆的tcp mss配置一般各个主流品牌的网络问题设备都支持）
注：这篇文章适合有经验的IT运维阅读，没有网络问题基础的同学可能理解起来比较吃力

发布了1 篇原创文章 · 获赞 0 · 访问量 33