经典案例之经过FW测速软件测速达不到额定带宽的一般排查步骤

1、确认清楚客户的测试场景，组网如何？

建议客户做如下两次测试：

（1）PC直接替换掉防火墙，接在ISP上测试，确认ISP提供的带宽是否属实；（如果防火墙上联交换机或路由器，测试PC也要这样连接）

（2）PC直连防火墙内网口做测试，排除防火墙下挂的其他设备的影响；

（现网碰到过防火墙下挂交换机是网关，网关限速了，但问题报到防火墙上的情况）

2、检查防火墙上是否配置接口限速，-限速；

接口限速：

1/0/1

10000 90

10000 90

带宽限速：

-

- whole both 30000

rule name

-zone trust

-zone

app BT

qos

3、确认测试的协议和网站，是浏览器测速，还是测速，具体的测速软件是什么？

营运商测试网站，还是比较准的。

4、确认客户测试环境是否存在来回路径不一致？可以通过查看会话确认。

来回路径不一致可能会对某些网站测速造成影响，因此建议使用使用来回路径一致的组网进行测速。

5、确认是否有多出口？是否有等价路由？对于测速流量是如何分配的？测速流量是走一个接口还是走多出口？

如果客户要测试单个出口的，就要通过配置让流量走一个口。

6、检查入接口和出接口协商的速率，是千兆还是百兆？是否是接口速率引起的测速不通过。

同时确认接口下是否有错包。

7、测试时，通过流量统计确认是否有丢包；

8、检查CPU、内存使用率等，确认设备运行状态是否正常？检查下系统丢包，是不是在测速时会有大量丢包。

9、检查接口流量，看是否有其他大流量占用了带宽导致测速失败？

10、是否开启了应用识别的全量识别？（sa force- ）全量识别会对测速有影响，如果开启，请关闭。

11、如果测试流量命中了内容安全相关的策略，如SSL解密、URL过滤等，也会对测速有影响。建议测试流量不过解密，VPN，内容安全等策略。

使用一条简单的安全策略放过测试流量进行测试，或者 。