遇到某些網路狀況,SI說PING是最準的,他們說網路沒有問題,設備沒有問題,上網慢是個案。
上網就是卡卡的,某SI說,這是應用層的問題,跟Fortigate沒有關係,可是Fortigate明明就在做L7過濾了,不是只有實體層和網路層的事這麼簡單吧?
某SI又說我們因為阻擋某些下載,所以才會有這樣的問題,我回應他說,這個過濾設定都從2月到現在了,又沒有大變更,又沒有多50台電腦,不可能突然出現Frigate因為阻擋過濾,所以系統卡頓。
中間在胡扯說某一台流量特大,很有問題,我說,不可能是這台的問題,這台機器存在這麼久了,而且一天才6G的總流量,一台電腦上網兇一點,也差不多是這個流量,對一修300M/100M的專線來說,太小了吧。
某SI又說連線session過高,全機總連線數還不到5000,我說個人電腦架出來的軟路由都可以處理面萬級別的封包流量,數十萬的連線數,而且還是老舊的PC電腦。Fortigate用的是專用處理器,光是處理這點流量就掛掉,可以叫Fortigate打包回家吃自己了。
這台他們認為有問題的機器(其實是某LINUX Server),在做某些網路服務,應該放在DMZ的服務,我直接放在內網。所以我敢說不是這台機器的問題。
某一個網站慢,可能是網站的問題,但是那些超級大站都卡頓,就說不過去。
又說是我的CPU使用率太高,顯卡記憶太小,加上記憶體不夠,才以才這麼卡。我這樣操作的習慣,已經不是2~3天,怎麼可能是因為這樣的關係變慢。
我拿了很多個卡頓不順暢案例給他們之後,他們才查到session connect fail。
TCP是出去之前,就知道傳輸路徑,而IP封包是傳到節點,再往下傳,TCP / IP封包所提供的服務多了,ICMP都可以關閉回應,再提供其他服務了,所以用PING測試最準,根本是鬼扯。
實在受不了,我開了WireShark的工具起來,監看了10分鐘的封包,就找到問題了。
結果,初步判定是DNS的問題,再查系統記錄之後,就發現異常。為什麼這個問題難查,就是因為DNS有2台,不會完全不能運作,就是非常的卡頓。
另外,如果工程師如果測試PING FQDN,然後Flushdns,測100個loop,應該是可以找到DNS問題。但是他PING的都是解析完的IP,測完FQDN之後,也沒有Flush,這樣的手法能抓到問題,我才不信。
SI鬼扯一通看實在被打敗,再花10分鐘架一個DNS Service起來救援,就解了,這個問題困擾我們這多天。
不要亂虎爛我,雖然我不務正業, 好歹我也當過幾年菜鳥工程師,排除法,我也是會的吧。
AD 網域控制站 DNS 異常,我花了10分鐘怎麼架出DNS出來?
我本來環境中就有多台LINUX伺服器(我來的時候架的),再加上我還有網路設備,可以安裝Bind Service,把AD DNS中的重要的Server Record抄出來,其他的Client資料,真的沒有這麼重要。
在我救援完之後,我都想把DHCP服務移出來重新架設。