通过流统定位连接故障

ACL流量统计

通过在接口上应用ACL，开启流量统计功能，查看对应条目匹配到的包是否与预期的一致。

厂家指导：编写ACL、在接口应用ACL、开启流统查看结果

设备：锐捷的6220

  

具体案例：

一、问题现象：

客户部署在IDC机房的某个业务系统，从几个特定的IP访问，会出现时断时续的现象。

 

其中215.114是和客户互联设备的上行口的地址，134.219是客户的网关。

tracert显示在业务不同的时候，最后一跳有回包的是215.114，那么就俩可能性：

1、215.114间歇性丢包

2、215.144正常转发，但是客户业务系统没有回包

客户坚持自己业务系统没问题，只能靠抓包自证清白了。

二、部署流统：

1、编写ACL

出方向

 

 入方向

  注意事项：

1）期望匹配的数据流的acl条目要尽量靠前，避免被其他条目匹配走，就无法看到期望的现象

2）记得permit ip any any，不要故障没排查出来再搞个大的

3）入包方向，不仅源目的ip要对调，eq www也要改到源ip上，不然是统计不到流量滴

2、应用acl

 3、开启acl流量统计功能

(config)#ip access-list counter tengxxxxx

(config)#ip access-list counter permitany

三、查看结果

通过show access-list ***查看两个acl的流量统计结果，可以看出正常的tcp连接有下行有上行（蓝色），故障的tcp连接只有下行没有上行（红色）。显然问题出来客户内部。

 注：1、tcp连接的开启和断开，客户端发4个包、服务器回3个包，因此收发不一致，而是呈现4：3的关系。

       2、要关闭流统，在开启的命令前加上no就可以了。