在防火墙和上行链路之间丢包?

我的外部防火墙和互联网之间的networking拓扑结构相当复杂,如下所示。

每隔一段时间 – 我还没有find一个模式 – 我们得到了显着的数据包丢失程度,大约25%。 大部分时间都在0.5%以下。 据我可以告诉唯一的共同点是,所有丢弃的stream量都是从vpn server Cisco ASA 5505到gateway router Cisco 2901的接口。

编辑

除了纯丢弃的数据包之外,我还在寻找响应时间。 从gateway routervpn serverfiber uplink任何stream量正在增加精确的 200毫秒,而相比于停止一步的ping而言。

由于高ping响应时间是CPU被刷新的常见指标,我选中了show process cpu ,但是它只显示了大约40%的利用率。

有什么想法吗?

结束编辑

网络大纲

假设问题确实存在于ASA和2901之间的接口上,我清除了两个设备上的接口统计信息。

从那时起,我们已经有了几个丢包增加的时期。 接口统计信息如下,但从我的angular度来看,不会显示任何exception情况 – 没有畸形或丢包,接口重置等。双工和速度设置相匹配。

我错过了什么? 所有这些硬件都在build设中,至less有100 mbps的连接。

网关路由器

 show interfaces GigabitEthernet 0/0 GigabitEthernet0/0 is up, line protocol is up Hardware is CN Gigabit Ethernet, address is a493.4ccc.b218 (bia a493.4ccc.b218) Internet address is xx.xx.xx.105/28 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 14/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full Duplex, 100Mbps, media type is RJ45 output flow-control is unsupported, input flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output 00:00:00, output hang never Last clearing of "show interface" counters 00:15:51 Input queue: 0/75/0/6427 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 511000 bits/sec, 401 packets/sec 5 minute output rate 5526000 bits/sec, 590 packets/sec 413812 packets input, 83711483 bytes, 0 no buffer Received 5 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input 600299 packets output, 695003736 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 pause output 0 output buffer failures, 0 output buffers swapped out 

VPN服务器

 show interface ethernet 0/1 Interface Ethernet0/1 "", is up, line protocol is up Hardware is 88E6095, BW 100 Mbps Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) Available but not configured via nameif MAC address 001e.f76a.a441, MTU not set IP address unassigned 215073 packets input, 247716476 bytes, 0 no buffer Received 7 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 39 switch ingress policy drops 148763 packets output, 21509818 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier 0 rate limit drops 0 switch egress policy drops 

原来在5505 vpn服务器上是一个糟糕的界面。 从那以后,我们可以重新整顿,事情已经稳定下来了。