一、问题描述:

个别用户反馈在连接VPN后访问登录节点在模拟终端中使用ls -l命令无法正常罗列出当前文件或目录的详细信息。如下图所示:

ls -l无法显示

二、分析过程:

  • 方法1:在同样的登录节点模拟或使用用户账号登录,测试ll(ls -l)命令是否能正常罗列当前文件或目录的详细信息,如果正常显示说明文件系统无问题(使用方法2测试),如果测试不能正常显示可以定位文件系统故障。
  • 方法2:远程到用户终端机,在用户端登录VPN后尝试使用ping命令从客户端和服务器端相互ping大包(以centos为例 ping -s 3000 X.X.X.X),因为是封装VPN隧道内的数据包,所以实际上是UDP协议的报文,发现大包无法ping通。(此步骤为模拟ls -l返回的列表超大)

三、UDP大包无法通过问题分析:

1、UDP大包被用户端网络安全机制拦截,联系用户端的网络管理人员协助排查安全设置中与UDP-flood防御相关的阈值设置以及分片攻击防护是否影响了VPN的UDP隧道通信。

2、用户端网络环境中有交换机MTU值设置过小,VPN经过IP报文转发到用户端时最终为传输层的UDP协议,UDP报文不支持超过MTU值自动分片(UDP协议头一共8个字节,没有标注分片的ID、也没有尾部分片的标识FLAG,所以UDP没有分片能力)。联系用户端网络管理人员排查MTU相关设置。

3、用户终端机上系统防火墙和第三方安全软件有相关UDP-flood防御的设置,尝试排查相关设置是否合理。

4、小概率用户端使用的模拟终端有故障,尝试更换其他模拟终端登录操作ls -l命令。

才疏学浅,可能有些描述也不准确,权当自己记录问题了,如果有哪位大神能详解这个问题,请不吝赐教~~