一、问题现象

1.1 网络环境概述

用户的网络架构采用典型的家庭/小型企业网络设计:

  • 出口设备:光猫工作在桥接模式
  • 核心网关:防火墙设备,负责外网PPPoE拨号上网,内网作为VLAN网关
  • 接入层:交换机通过Trunk口连接防火墙,划分多个VLAN
  • 终端网络:包括虚拟机网络(VLAN 10)、WiFi网络(VLAN 20)、监控网络(VLAN 30)等

1.2 性能测试结果

通过实际测试发现明显的性能差异:

测试场景上传速度下载速度Ping延迟备注
同VLAN内通信接近千兆接近千兆<1ms性能正常,可跑满千兆
跨VLAN通信795 Mbps47 Mbps6ms下载速度严重异常

1.3 关键观察点

  1. 同VLAN性能正常:说明物理链路、交换机转发能力均正常
  2. 跨VLAN性能异常:上传速度接近正常(795Mbps),但下载速度严重偏低(仅47Mbps)
  3. 防火墙资源正常:CPU和内存使用率正常,排除硬件性能瓶颈
  4. 延迟正常:Ping延迟6ms在可接受范围内,说明路由可达性正常

二、网络拓扑

topology.svg

2.1 拓扑结构说明

网络拓扑采用分层设计:

  1. 外网区域:互联网接入
  2. 网络边界设备:光猫(桥接模式)

  3. 防火墙(网关)

    • 外网接口:PPPoE拨号
    • 内网接口:Trunk模式,承载多个VLAN
    • VLAN接口:VLAN 10(虚拟机)、VLAN 20(WiFi)、VLAN 30(监控)
    • 功能:DHCP服务、路由转发、安全策略
  4. 核心交换机:Trunk口连接防火墙,进行VLAN划分和转发
  5. 内网终端:各VLAN下的终端设备

2.2 跨VLAN流量路径

当VLAN 10的虚拟机与VLAN 20的WiFi设备通信时,流量路径为:

虚拟机(VLAN 10) → 交换机 → 防火墙(VLAN网关) → 交换机 → WiFi设备(VLAN 20)

关键点:所有跨VLAN流量都必须经过防火墙进行路由转发,防火墙成为性能瓶颈点。

三、问题分析

3.1 问题定位思路

根据测试结果,我们可以得出以下判断:

  1. 同VLAN性能正常 → 排除物理链路、交换机硬件问题
  2. 跨VLAN性能异常 → 问题集中在路由转发环节

  3. 上传正常、下载异常 → 典型的非对称性能问题,可能原因:

    • 防火墙NAT/路由表配置问题
    • 防火墙硬件转发能力限制
    • 防火墙软件处理瓶颈
    • 流量整形/QoS策略影响

3.2 可能的问题点

3.2.1 防火墙硬件转发能力限制

问题描述

  • 防火墙作为跨VLAN流量的必经节点,所有跨VLAN数据包都需要经过防火墙的CPU或专用转发芯片处理
  • 如果防火墙的硬件转发能力不足,特别是下行转发能力(从外网到内网,或从网关到终端)受限,会导致下载速度异常

排查方法

  • 检查防火墙的硬件规格,特别是转发性能指标
  • 查看防火墙的CPU使用率、内存使用率(用户已确认正常)
  • 检查是否有硬件加速功能未启用(如硬件NAT、硬件转发)

3.2.2 防火墙软件处理瓶颈

问题描述

  • 防火墙可能对跨VLAN流量启用了深度包检测(DPI)、应用识别、安全策略检查等功能
  • 这些软件处理会消耗大量CPU资源,特别是对下行流量的处理
  • 某些防火墙在入站流量(从外网或网关到内网)的处理上可能存在性能瓶颈

排查方法

  • 检查防火墙的安全策略配置,是否对跨VLAN流量启用了不必要的安全检查
  • 查看防火墙的会话表、连接数统计
  • 检查是否有流量整形、QoS策略影响下行流量
  • 尝试临时关闭安全策略,测试性能是否改善

3.2.3 防火墙路由配置问题

问题描述

  • 防火墙作为VLAN网关,需要维护多个VLAN接口的路由表
  • 如果路由配置不当,可能导致跨VLAN流量需要多次查表或走次优路径
  • 某些防火墙在反向路由(下行方向)的处理上可能存在性能问题

排查方法

  • 检查防火墙的路由表配置
  • 确认VLAN接口的网关配置是否正确
  • 检查是否有路由策略、策略路由影响流量转发
  • 查看防火墙的路由表大小、路由查找性能

3.2.4 防火墙NAT/会话表问题

问题描述

  • 如果防火墙对跨VLAN流量也进行了NAT处理(虽然通常不需要),会增加处理负担
  • 会话表大小限制可能导致新连接建立缓慢
  • 会话老化时间设置不当可能导致表项过多

排查方法

  • 检查防火墙的NAT配置,确认跨VLAN流量是否需要NAT
  • 查看会话表使用情况,是否接近上限
  • 检查会话老化时间配置
  • 查看是否有会话建立失败或超时的日志

3.2.5 防火墙接口配置问题

问题描述

  • Trunk接口的配置可能存在问题,如MTU设置、接口速率限制
  • VLAN接口的配置可能影响转发性能,如接口状态、双工模式
  • 防火墙的内网接口(连接交换机的Trunk口)可能存在速率限制或配置问题

排查方法

  • 检查Trunk接口的配置:速率、双工模式、MTU
  • 检查VLAN接口的状态和配置
  • 查看接口的流量统计,是否有丢包、错误
  • 确认接口是否工作在千兆全双工模式

3.2.6 防火墙策略配置问题

问题描述

  • 虽然用户提到"防火墙设置的策略是可以互相访问",但策略的具体实现方式可能影响性能
  • 某些防火墙在允许策略的处理上,对上行和下行流量的处理逻辑不同
  • 策略匹配顺序、策略复杂度可能影响转发性能

排查方法

  • 检查防火墙的安全策略配置,确认跨VLAN访问策略的具体内容
  • 查看策略匹配的日志,确认策略是否正常匹配
  • 检查是否有策略规则过多,导致匹配性能下降
  • 尝试简化策略配置,测试性能是否改善

3.2.7 交换机配置问题

问题描述

  • 虽然同VLAN性能正常,但跨VLAN流量需要经过防火墙,交换机的Trunk配置可能影响性能
  • 交换机的VLAN配置、Trunk口的VLAN允许列表可能存在问题
  • 交换机的MAC地址表、ARP表可能影响跨VLAN通信

排查方法

  • 检查交换机的Trunk口配置,确认VLAN允许列表正确
  • 查看交换机的MAC地址表、ARP表
  • 检查交换机的接口状态,确认Trunk口工作正常
  • 查看交换机的流量统计,是否有丢包

3.2.8 流量方向性问题(最可能的原因)

问题描述

  • 上传795Mbps接近正常,下载47Mbps严重偏低,这是典型的非对称性能问题

  • 可能的原因:

    1. 防火墙的下行转发能力(从网关到终端)存在硬件或软件限制
    2. 防火墙对入站流量(从外网或网关到内网)的处理逻辑不同,性能较差
    3. 防火墙的内网接口(连接交换机的Trunk口)在下行方向存在速率限制
    4. 防火墙的VLAN接口在下行方向的处理存在瓶颈

排查方法

  • 重点检查防火墙的内网接口、VLAN接口的下行速率限制
  • 检查防火墙的QoS策略,是否对下行流量进行了限速
  • 查看防火墙的流量统计,对比上行和下行的处理性能
  • 检查防火墙的硬件规格,特别是下行转发能力

四、排查建议

4.1 优先级排查顺序

根据问题特征,建议按以下顺序排查:

  1. 高优先级

    • 检查防火墙的内网接口、VLAN接口的下行速率限制
    • 检查防火墙的QoS策略、流量整形配置
    • 检查防火墙的硬件转发能力,特别是下行方向
    • 检查防火墙的会话表、连接数统计

  2. 中优先级

    • 检查防火墙的安全策略配置,确认跨VLAN访问策略
    • 检查防火墙的路由配置
    • 检查交换机的Trunk口配置

  3. 低优先级

    • 检查防火墙的NAT配置
    • 检查防火墙的接口配置(MTU、双工模式等)

4.2 具体排查步骤

步骤1:检查防火墙接口速率限制

# 查看防火墙接口配置
show interface
show interface vlan

# 检查是否有速率限制
show qos policy
show traffic-shape

步骤2:检查防火墙QoS策略

# 查看QoS策略配置
show policy qos
show policy-map

# 检查是否有下行限速
show traffic-policy

步骤3:检查防火墙硬件转发能力

# 查看硬件转发状态
show hardware-acceleration
show npu status

# 查看转发性能统计
show performance statistics

步骤4:检查防火墙会话表

# 查看会话表使用情况
show session table
show connection statistics

# 检查会话建立情况
show session detail

步骤5:检查防火墙安全策略

# 查看安全策略配置
show policy security
show access-list

# 检查策略匹配情况
show policy hit-count

步骤6:检查交换机Trunk配置

# 查看Trunk口配置
show interface trunk
show vlan

# 检查VLAN允许列表
show interface switchport

4.3 性能测试建议

  1. 同VLAN性能测试:已确认正常,可作为基准

  2. 跨VLAN性能测试

    • 使用iperf3进行双向测试,分别测试上行和下行
    • 使用不同大小的数据包测试,检查是否有MTU问题
    • 使用多线程测试,检查是否有连接数限制

  3. 防火墙资源监控

    • 实时监控CPU、内存使用率
    • 监控接口流量、会话数
    • 监控转发性能统计

五、解决方案建议

5.1 临时解决方案

  1. 关闭不必要的安全策略:如果跨VLAN流量不需要深度检查,可以临时关闭相关策略
  2. 调整QoS策略:如果存在下行限速,可以临时调整或关闭
  3. 优化路由配置:确保路由配置最优,避免次优路径

5.2 根本解决方案

  1. 升级防火墙硬件:如果硬件转发能力不足,考虑升级硬件
  2. 启用硬件加速:如果防火墙支持硬件加速,启用相关功能
  3. 优化防火墙配置:根据实际需求,优化安全策略、QoS策略配置

  4. 考虑架构调整:如果防火墙性能无法满足需求,考虑:

    • 使用三层交换机进行VLAN间路由,减少防火墙负担
    • 将部分VLAN合并,减少跨VLAN流量
    • 使用专用路由器替代防火墙进行VLAN间路由

六、总结

6.1 问题特征

  • 同VLAN性能正常:说明物理链路、交换机正常
  • 跨VLAN性能异常:问题集中在防火墙路由转发环节
  • 非对称性能问题:上传正常,下载异常,典型的防火墙下行转发瓶颈

6.2 最可能的原因

根据问题特征,最可能的原因是防火墙的下行转发能力限制,可能包括:

  1. 防火墙硬件下行转发能力不足
  2. 防火墙对下行流量的软件处理存在瓶颈
  3. 防火墙的QoS策略或接口速率限制影响下行流量

6.3 建议

  1. 优先排查:防火墙的下行转发能力、QoS策略、接口速率限制
  2. 性能测试:使用专业工具进行详细的性能测试,定位具体瓶颈
  3. 架构优化:如果防火墙性能无法满足需求,考虑架构调整或设备升级

作者:网络技术团队
日期:2025-12-25
版本:v1.0

最后修改:2025 年 12 月 25 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏