前言

鏈路負載均衡設備可解決多鏈路網(wǎng)絡環(huán)境中流量分擔的問題，提高多鏈路的帶寬利用率，保障了網(wǎng)絡通信的穩(wěn)定性。為用戶和應用系統(tǒng)分配最佳的通信線路，使用戶獲得絕佳的訪問體驗。但也存在因為策略配置或設備自身問題引起的連接失敗。

3.1　問題描述

某證券公司的客戶端PC1通過互聯(lián)網(wǎng)遠程登錄VPN時，每次都能夠正常訪問，但客戶端PC2在登錄遠程VPN時，經(jīng)常不能成功連接。針對這一現(xiàn)象，部署科來網(wǎng)絡回溯分析系統(tǒng)分別采集客戶端PC1、客戶端PC2及負載均衡上連防火墻的鏈路流量。遠程VPN地址為：X.X.242.94。下圖為該證券公司的簡易部署圖。

3.2　分析過程

客戶端PC1：

客戶端PC1在任何時段都能夠正常連接遠程VPN，所以首先抓取客戶端PC1的數(shù)據(jù)進行分析：（圓框遮擋處為客戶端PC1地址，方框為VPN地址）

如上圖所示，紅框處三個包為ISAKMP協(xié)議，VPN使用的是主動模式，其主要作用是定義VPN封裝格式和協(xié)商包交換的方式。第一個包為客戶端PC1向VPN地址發(fā)起連接，第二個包為VPN地址發(fā)送給客戶端PC1，第三個包為客戶端PC1向VPN地址發(fā)送完成ISAKMP協(xié)議協(xié)商（由于VPN使用NAT Traversal技術所以第三個包開始就使用UDP 4500端口）。

經(jīng)過上述步驟，一個VPN會話連接就能夠被正常的建立。所以客戶端PC1能夠一直正常的與遠程VPN連接。

客戶端PC2：

客戶端PC2在連接遠程VPN時，有時能夠正常連接，有時很多次連接都會失敗，所以在來抓取客戶端PC2的數(shù)據(jù)進行分析：（圓框遮擋處為客戶端PC1地址，方框為VPN地址）

如上圖，客戶端PC2連接不上VPN時，數(shù)據(jù)包全部是有客戶端PC2向VPN地址發(fā)起的第一個ISAKMP包，每隔5秒發(fā)送一次，共發(fā)送4次。

通過該現(xiàn)象分析，懷疑是由于內(nèi)部網(wǎng)絡設備或互聯(lián)網(wǎng)丟包造成數(shù)據(jù)包沒有到達遠程VPN，另一種可能是遠程VPN收到數(shù)據(jù)包并發(fā)出回應，但回應數(shù)據(jù)包丟包。

為了驗證分析，在負載均衡上聯(lián)接口進行抓包分析：

在負載均衡前抓包，正常連接時能夠抓包情況與客戶端PC1一致，但不能連接VPN時，從抓包點位置不能抓到ISAKMP請求數(shù)據(jù)包。

結合客戶端PC2抓包情況來看，客戶端PC2發(fā)送了ISAKMP第一個包，但通過了負載均衡之后我們抓不到此包，說明此數(shù)據(jù)包可能被負載均衡設備丟棄或發(fā)送到錯誤的鏈路上。

3.3　分析結論

通過上述分析，可以判斷在發(fā)生VPN連接問題時客戶端PC2正常發(fā)送了VPN請求包，但通過負載均衡設備后，此包并沒有出現(xiàn)在正確的鏈路上，建議用戶對負載均衡設備進行排查，檢測是否存在丟包或?qū)⒋税l(fā)送到錯誤的鏈路的情況。

3.4　價值

通過網(wǎng)絡流量分析能夠掌握網(wǎng)絡運行狀態(tài)，了解不同鏈路下的網(wǎng)絡傳輸情況，完整追蹤數(shù)據(jù)包的傳輸路徑，迅速定位問題原因，從而解決鏈路負載均衡、路由等設備造成的丟包、轉(zhuǎn)發(fā)錯誤等情況。