防火牆和上行鏈路之間的封包遺失？

我的外部防火牆和 Internet 之間有一個中等複雜的網路拓撲，如下所示。

每隔一段時間——我還沒有找到一種模式——我們會出現很大程度的丟包，大約 25%。大多數時候它低於 0.5%。據我所知，唯一的共同點是所有丟棄的流量都通過從vpn serverCisco ASA 5505 到gateway routerCisco 2901 的介面。

編輯

除了純粹丟棄的數據包外，我還在查看響應時間。與停止一步的 ping 相比，gateway router任何來自vpn server或fiber uplink正在增加的流量正好增加 200 毫秒。

由於高 ping 響應時間是 CPU 被最大化的常見指標，我檢查了show process cpu，但它只顯示了大約 40% 的使用率。

有什麼想法嗎？

結束編輯

假設問題確實存在於 ASA 和 2901 之間的介面上，我清除了兩個設備上的介面統計資訊。

從那以後，我們經歷了幾次丟包增加的時期。介面統計數據如下，但從我的角度來看，沒有顯示任何異常 - 沒有格式錯誤或丟棄的數據包，介面重置等。雙工和速度設置匹配。

我錯過了什麼？所有這些硬體都在建設中，至少有 100 mbps 的連接。

網關路由器

show interfaces GigabitEthernet 0/0
GigabitEthernet0/0 is up, line protocol is up
 Hardware is CN Gigabit Ethernet, address is a493.4ccc.b218 (bia a493.4ccc.b218)
 Internet address is xx.xx.xx.105/28
 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
    reliability 255/255, txload 14/255, rxload 1/255
 Encapsulation ARPA, loopback not set
 Keepalive set (10 sec)
 Full Duplex, 100Mbps, media type is RJ45
 output flow-control is unsupported, input flow-control is unsupported
 ARP type: ARPA, ARP Timeout 04:00:00
 Last input 00:00:00, output 00:00:00, output hang never
 Last clearing of "show interface" counters 00:15:51
 Input queue: 0/75/0/6427 (size/max/drops/flushes); Total output drops: 0
 Queueing strategy: fifo
 Output queue: 0/40 (size/max)
 5 minute input rate 511000 bits/sec, 401 packets/sec
 5 minute output rate 5526000 bits/sec, 590 packets/sec
    413812 packets input, 83711483 bytes, 0 no buffer
    Received 5 broadcasts (0 IP multicasts)
    0 runts, 0 giants, 0 throttles
    0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
    0 watchdog, 0 multicast, 0 pause input
    600299 packets output, 695003736 bytes, 0 underruns
    0 output errors, 0 collisions, 0 interface resets
    0 unknown protocol drops
    0 babbles, 0 late collision, 0 deferred
    0 lost carrier, 0 no carrier, 0 pause output
    0 output buffer failures, 0 output buffers swapped out

VPN伺服器

show interface ethernet 0/1
Interface Ethernet0/1 "", is up, line protocol is up
 Hardware is 88E6095, BW 100 Mbps
       Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
       Available but not configured via nameif
       MAC address 001e.f76a.a441, MTU not set
       IP address unassigned
       215073 packets input, 247716476 bytes, 0 no buffer
       Received 7 broadcasts, 0 runts, 0 giants
       0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
       0 L2 decode drops
       39 switch ingress policy drops
       148763 packets output, 21509818 bytes, 0 underruns
       0 output errors, 0 collisions, 0 interface resets
       0 babbles, 0 late collisions, 0 deferred
       0 lost carrier, 0 no carrier
       0 rate limit drops
       0 switch egress policy drops

原來是5505 vpn伺服器上的一個壞介面。從那時起，我們重新連接，事情一直堅如磐石。

引用自：https://serverfault.com/questions/597820