为什么ping服务器会丢包严重？

一、网络自身问题您想要连接的目标网站所在的服务器带宽不足或负载过大。一台服务器，如果带宽超过峰值的时间，外来客户再PING这个服务器IP的时间，掉包是很正常的。也就是说你的服务器需要加带宽了。二、访问者PC问题这个问题有多种触发性，防火墙的安装或设置，客户电话线路等等，在这里不多加阐述，我博客里已经注明。三、网络中存在回路导致网速变慢当网络涉及的节点数不是很多、结构不是很复杂时，这种现象一般很少发生。但在一些比较复杂的网络中，经常有多余的备用线路，如无意间连上时会构成回路。比如网线从网络中心接到计算机一室，再从计算机一室接到计算机二室。同时从网络中心又有一条备用线路直接连到计算机二室，若这几条线同时接通，则构成回路，数据包会不断发送和校验数据，从而影响整体网速。这种情况查找比较困难。为避免这种情况发生，要求我们在铺设网线时一定养成良好的习惯：网线打上明显的标签，有备用线路的地方要做好记载。当怀疑有此类故障发生时，一般采用分区分段逐步排除的方法。这个是摘抄的，没有实践经过。亮出来供大家参考。四、网络设备硬件故障引起的广播风暴而导致网速变慢作为发现未知设备的主要手段，广播在网络中起着非常重要的作用。然而，随着网络中计算机数量的增多，广播包的数量会急剧增加。当广播包的数量达到30%时，网络的传输效率将会明显下降。当网卡或网络设备损坏后，会不停地发送广播包，从而导致广播风暴，使网络通信陷于瘫痪。因此，当网络设备硬件有故障时也会引起网速变慢。当怀疑有此类故障时，首先可采用置换法替换集线器或交换机来排除集线设备故障。如果这些设备没有故障，关掉集线器或交换机的电源后，DOS下用“Ping”命令对所涉及计算机逐一测试，找到有故障网卡的计算机，更换新的网卡即可恢复网速正常。网卡、集线器以及交换机是最容易出现故障引起网速变慢的设备。五、网络中某个端口形成了瓶颈导致网速变慢实际上，路由器广域网端口和局域网端口、交换机端口、集线器端口和服务器网卡等都可能成为网络瓶颈。当网速变慢时，我们可在网络使用高峰时段，利用网管软件查看路由器、交换机、服务器端口的数据流量；也可用Netstat命令统计各个端口的数据流量。据此确认网络数据流通瓶颈的位置，设法增加其带宽。具体方法很多，如更换服务器网卡为100M或1000M、安装多个网卡、划分多个VLAN、改变路由器配置来增加带宽等，都可以有效地缓解网络瓶颈，可以最大限度地提高数据传输速度。六、蠕虫病毒的影响导致网速变慢通过E-mail散发的蠕虫病毒对网络速度的影响越来越严重，危害性极大。这种病毒导致被感染的用户只要一上网就不停地往外发邮件，病毒选择用户个人电脑中的随机文档附加在用户机子的通讯簿的随机地址上进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送，有的又成批成批地被退回来堆在服务器上。造成个别骨干互联网出现明显拥塞，网速明显变慢，使局域网近于瘫痪。因此，我们必须及时升级所用杀毒软件；计算机也要及时升级、安装系统补丁程序，同时卸载不必要的服务、关闭不必要的端口，以提高系统的安全性和可靠性。七、防火墙的过多使用防火墙的过多使用也可导致网速变慢，处理办法不必多说，卸载下不必要的防火墙只保留一个功能强大的足以。八、经过路邮的数量和质量对网速有一定的影响。我们的机柜都是千兆接入,防火墙有全局防护策略的,一般攻击不会透过来,

云社区 博客 博客详情

Juniper SRX防火墙-NAT（一）

 yd_33261369 发表于 2020-03-19 20:50:02

1225  0  0

NATTCP/IP

摘要 SRX防火墙NAT配置为什么地址转换NAT主要提供公网、私网IP地址之间的转换，同时也支持端口转换NAT路由缺失、路由冲突时，可以通过转换地址来解决安全考虑，对外隐藏服务器真实IPSRX报文处理过程NAT转换地址必须知道我们需要第一步先确认、规划好对外提供转换的虚IP,(比如说公网IP）Ø一对一服务器端口映射：适用于就一台服务器，对外提供多个服务功能；问题：不能从外网管理防火墙

SRX 防火墙NAT配置

为什么地址转换

NAT主要提供公网、私网IP地址之间的转换，同时也支持端口转换

NAT路由缺失、路由冲突时，可以通过转换地址来解决

安全考虑，对外隐藏服务器真实IP

SRX报文处理过程

NAT转换地址必须知道

我们需要第一步先确认、规划好对外提供转换的虚IP,(比如说公网IP）

Ø 一对一服务器端口映射：适用于就一台服务器，对外提供多个服务功能；

问题：不能从外网管理防火墙咧！

Ø 基于端口服务器端口映射：适用于多台服务器，分别对外提供多个服务功能；

可以对多台服务器来做，外网端口和服务器端口可以不一样！

Ø 内网访问公网，源NAT，即将内网地址转换为公网接口地址访问公网

注意：一个公网地址只能支持最大64000个会话

当NAT的公网地址和公网接口是在同一网段时，需要启用NAT Proxy ARP，使得SRX对端设备能够解析到此公网地址的MAC address，便于返回报文能够正常发送至SRX防火墙

Proxy ARP

当我们的公网接口地址不够用，或同段地址用完了，我们需要再向运营商申请一些公网，这些地址与接口地址，不在同一个子网段。

对端需要将本段路由指向防火墙外网接口IP墙上不需要做其他处理，可直接NAT

[edit security nat]

user@host# show

proxy-arp {

interface ge-0/0/310 {

address {

117010/32 to 1170100/32;

}

NAT转换地址必须知道

当我们的公网接口地址不够用，或同段地址用完了，我们需要再向运营商申请一些公网，这些地址与接口地址，不在同一个子网段。

对端需要将本段路由指向防火墙外网接口IP墙上不需要做其他处理，可直接NAT

网络地址转换

NAT主要提供公网、私网IP地址之间的转换，同时也支持端口转换

NAT类型

两种类型的 NAT和PAT:

• 基于目的地址的NAT：包括目的地址及端口的转换

• 基于源地址的NAT：包括源IP地址及端口的转换

目的及源NAT、PAT的组合

动态与静态的地址转换

NAT类型

SRX还提供第三种NAT：Static NAT

静态地址翻译：提供双向NAT功能，由source static nat与destination static nat组合而成

目的NAT

目的NAT的两种类型：

• Static NAT：此为1对1的地址映射，此NAT没有PAT端口转换

• Rule-based NAT：基于动态地址池的地址映射，此NAT选择是否做PAT端口转换

VoIP ALGs 会动态产生allow-incoming表来允许数据进入内部网络

你的意思是说在windows上运行sniffer程序抓linux服务器上的包？ 这个功能不是wireshark这类sniffer能做到的，首先要保证你linux服务器上的包能同时发到windows的机器上，可以通过在交换机上设置来实现。如果对实时性要求不是那么高的话

---