问题

终端Ping到防火墙地址(设备本地接口地址),出现偶尔高延时190ms左右,导致客户监控平台一直报警,业务流量正常。

解决方案

防火墙是转发设备,因此防火墙的cpu性能主要用于数据面转发业务报文(即穿墙报文),管理面处理性能有限。而ping到防火墙自身的报文会上送管理面处理,管理面因为有任务调度,ping的优先级又是最低的,所以如果管理面在忙于处理别的业务请求时,会存在偶尔时延大的情况。V5版本防火墙的话增加ping快回的功能:[sysname] icmp echo-reply fast enable 开启Ping快回功能后,设备对收到的目的地址是自己的ICMP Echo Request报文通过数据面进行快速应答。

穿墙的流量是不会出现时延大的现象,因为穿墙的流量直接在数据面就转发走了,不会上送到管理面处理。因此转发业务不会有影响。