取消
显示结果 
搜索替代 
您的意思是: 
cancel
9481
查看次数
18
有帮助
14
回复

着急求教!因单位地址发出变更出现的一系列设备问题,求大神帮忙!

one-time
Level 13
Level 13
此贴由管理员代求助用户发布,请各位社区大神看到后积极解答,谢谢。
我单位由于单位地址发生变更,所以网络情况也发生一定变化,导致现在网络环境有问题。
具体描述:
首先光缆通过光纤(现为100M)转换为电口,接到CISCO2821(sn FGL1508****),之后通过电口接入Cisco ASA5520防火墙,再下级通过电口,连接了一个深信服(SG-3400)行为管理,再下一步通过电口接入到CIsco4506电口第一口上。之后通过4506上的光模块通过光缆接入到各楼层交换机,之前交换机为Cisco C2960,搬家后增加了一批H3C的楼层交换。
165751ml09i11exjss9g7x.png
搬家前的专线是20M,似乎没有什么问题,搬家后光纤变为100M,问题就出来了。
问题1:搬家过来网络IP调整后,没改任何配置,发现使用一段时间后2821就需要手动重启一下,否则网速会特别慢,页面都无法打开。

问题2:用行为管理查看总网速,基本就在30M上下浮动,根本无法达到100M的速度。(绕开行为管理,网速没变化,只不过绕开行为管理的禁用迅雷下载的规则后,迅雷下载热点资源速度能达到80-90M左右)

问题3:Cisco2821发生过一次莫名其妙的丢失全部配置的情况。

问题4:期间无意中看到2821的Console口报出一个问题,网上查看是碎片攻击,按照网上的方法添加命令,还是无法解决一段时间必须重启的问题。

由于我本人是学计算机专业,并非网络相关,很多配置都是从网上现学,无法解决目前的情况。特求助Cisco社区各位技术大神,非常感谢!
14 条回复14

suzhouxiaoniu
Spotlight
Spotlight
专线换成光纤后,出口路由的配置有没有更改
可以的话,把路由表贴出来看一下

suzhouxiaoniu
Spotlight
Spotlight
另外,除了碎片攻击的日志,其他还有没有相关的日志信息?

YilinChen
Spotlight
Spotlight
初步推测,带宽增加了,但设备性能可能跟不上,建议把防火墙顶在最外面,数据转发不再经过2811。

cruiseluo
Spotlight
Spotlight
检查一下涉及到2821接外网那个口子的arp表。show interface (接外网那个口子),检查一下输入、输出的包速率,并且看一下广播包、组播包多不多

13nash
Level 8
Level 8
100M还用28本身就是个失误。。。建议买新设备

fortune
VIP Alumni
VIP Alumni
我建议你这样子,将2800 去掉,然后修改ASA5520 作为出口设备,路由转发,测试下是不是2800 的问题

jm.nie
Spotlight
Spotlight
直接把2800不要了,在防火墙上做多一份路由。

yssqt5211
Level 1
Level 1
你好 楼主 问题解决了嘛?这种情况下 直接把28拿掉防火墙做成路由模式就可以了。

dtxfx
Level 1
Level 1
不好意思!~前几天去外地了,刚看到各位朋友的回复。我研究一下,哪个更合适~谢谢。再次感谢!

albert_zhou123
Level 1
Level 1
我提一个建议,搬家后增加H3C的设备之后,楼主之前思科的生成树协议跟H3C的生成树协议是否匹配了??
建议更换MSTP。

hanxiaorui08
Spotlight
Spotlight
内部没有问题就有可能是外部有攻击,是否可以尝试把ASA防火墙和cisco路由器位置对调,让防火墙做外公网边界,然后通过安全控制策略进行防护。

dtxfx
Level 1
Level 1
谢谢各位的朋友,前几天找了一个朋友,说可以解决,不过他的方案是更换设备,但是我们单位现在预算不足,更换设备是不可能。
目前的情况是cisco2800隔天就要物理重启(关电源),否则外网无法访问。我想知道什么原因导致无法上网,请问有没有什么办法?
重启后网速暂时恢复到60M左右,但是远无法达到100M的极限。不过由于设备太过老旧,领导要求,能上网就先这样!

ilay
VIP
VIP
dtxfx 发表于 2018-4-8 09:35
谢谢各位的朋友,前几天找了一个朋友,说可以解决,不过他的方案是更换设备,但是我们单位现在预算不足,更 ...

应该是设备性能问题,2800系列的或者说2800c系列的路由器,性能总体来说一般,百兆的接口。如果说以百兆的速率做数据包的转发,问题是不大的,有Cisco的CEF,不会吃太多的设备性能,,但是同时做nat的话就很难说了,,
去年5月份,一个新办公区改造,总体计划有3-4层,每层300个点左右,100M的线路,最初只有一台2811,,于是乎在用这台路由器,放在了出口的上面,,测试期间还算ok,基本网络能通了,,后来我将一个/24掩码的地址放到这个出口上面,没有做任何限速策略,就想测试一下压力,看看峰值能跑到多少。。这时候问题就来了,cpu使用率骤增,中断cpu占用在50-60%,(具体是哪个进程占用已经记不太清楚了),同时show ip nat statistics ,中Active translations 到了2w多条,后来手动修改了nat 的一些设置参数 ip nat translations timeout 及max-entries 等等,也没有太好的效果。。上网期间总会出现各种各样幺蛾子的问题。。
过了几天,不太死心,找了一台2821换了上去,结果依旧。其他办公区用的是2911的设备,没有一个出问题的。。(也许是其他办公区流量没有超过50M的。。=_=#)
等到办公区施工快收尾的时候,之前买的一套上网行为设备到货了,我直接把这套设备扔到出口做nat及行为控制去了,到现在也没出什么问题~~~
我是感觉2800 已经不太够用了---
解决办法呢,最直接的就是干掉2800的nat功能,,如果你想留着这台设备,那就做一个三层路由(nat在asa上做,然后2800做路由转发),不想留的话就直接去掉2800,直接将互联网线路接到ASA上面,然后在asa上做nat。这样的话问题就不大了。
貌似sanfor也可以放在出口,不过你有asa还是算了吧。

Wubin2010
Spotlight
Spotlight
楼主为何那么执着2811这台路由器?最简单最省成本的办法就是把2811路由器拿掉,ASA5520顶在最外面,相关配置挪到ASA上就行了,这种小割接花不了多长时间,代价也就是断会网。如果自己做不来也可以考虑花点小钱雇个靠谱点的网工过来操作,肯定比换2811便宜的多。:)
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接