

mikevlz
VIP-
Posts
1115 -
Joined
-
Last visited
-
Ошибки в слейвах и сбои загрузки HTTPS-сайтов.
mikevlz replied to mikevlz's topic in СКАТ DPI и СКАТ CACHE
Память не течет, версия 11.2. Я почему ошибки связываю с неоткрытием сайтов: 1. проявляется не у всех 2. у кого проявляется - разные сайты в жалобах 3. Если сравнивать ошибку с адресами загружаемых ресурсов - в логах будет ошибка с одним или несколькими адресами из списка загрузок. Были жалобы на страницу оплаты через Тинькоф, в логах примерно на время жалобы фигурировал адрес сервера их cdn как раз с этой ошибкой. После рестарта ошибка долго не появляется(не меньше месяца), проблем с загрузкой сайтов также не наблюдается. -
Ошибки в слейвах и сбои загрузки HTTPS-сайтов.
mikevlz posted a topic in СКАТ DPI и СКАТ CACHE
Коллеги, может кто сталкивался? Используется L3BRAS/CGNAT. Через некоторое время начинается беда с загрузкой сайтов, сайты разные. Общего то, что в логах slave-тредов видно ошибки типа: 29.11.2022 22:30:09 [ERROR ][000000035255318320][2B09D7A8AFFFAD2E] Can't allocate record ssl_state_sni : IP : 10.a.b.c:defgh --> 2.19.183.56:443 29.11.2022 22:30:09 [ERROR ][000000035254477340][2B09D7A8AFFFAC2F] Can't allocate record ssl_state : IP : 104.109.128.163:443 --> 10.x.y.z:abcde Если сервис рестартануть - то проблема уйдет. Однако, беда в том, что хватает его на полтора месяца. Если кто сталкивался и решил - как? -
Snort для блокирования сайтов
mikevlz replied to Robot_NagNews's topic in У нага
Сколько трафика пропускает через себя? У меня на DIVERT-трафике на 100Мбит/сек снорт дропал немножко много. До ютуба 5-13% потерь пингов(они тоже через снорт шли). Мне за него тоже стыдно, там костыли соплями и веревками перевязаны. По хорошему - надо переделать, чтобы сохранялся предыдущий стейт(слепок реестра), резолвить фоновым демоном, выгрузку автономно делать. Но переделывать возможно не буду, потому что ищем альтернативу, за деньги и без собственного геморроя. Про парсер могу сказать, что подпилил roskombox(искать на гитхабе), добавил туда еще один тред с scapy в режиме захвата пакетов. Можно оттуда дергать GET-запросы, как они шлются по сети проверялкой. -
Snort для блокирования сайтов
mikevlz replied to Robot_NagNews's topic in У нага
Как автор и исследователь могу сказать: смотрел сурикату, думал, поможет. У сурикаты есть два сильных недостатка. 1. У нее паттерн-матчинг сильно хуже снорта(есть в интернетах исследование эффективности) 2. У нее нет активного ответа. То есть мы можем просто дропнуть пакеты запроса, а сообщить пользователю, что за ним уже выехали - не можем. Так не пойдет. Про гиперскан - можно попробовать в порядке эксперимента, спасибо, не знал про нее. Собирать из исходников несложно. Можно будет еще посмотреть, не отломался ли эктив-респонс на 2.9.8 снорте. -
стандартный счетчик интерфейса
-
Полка на каком графике? Если полка по полосе - то полоса упрется, а число PPS попробует вырасти. У него даже получится, но толку не будет. Если полка по PPS, то трафик на графике гулять будет слегка, а вот PPS гулять не будет.
-
SCE8000 сможет ли?
mikevlz replied to C@T's topic in Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
А не обидятся, что пакеты не все долетят? Пока SCE поймет, что там летит - пройдет несколько пакетов. Как минимум хендшейк точно не отзеркалит -
Так уж получается, что в последнее время периодически нам прилетает абсолютно ненужное счастье. Счастье забивает весь внешний канал. Напрочь забивает. Счастье сыпется обычно адресно, причем столько сколько влезет. Буквально сегодня понаблюдали, как в 100М порт абоненту офигевший Д-Линк впихнул 150Мбит Ну он так изобразил это :) Вопрос самый очевидный: а что делать-то? Технические детали: Бордер - SE600, карты 4*10GE, никаких плат анализа нет, режим BGP/NAT box(без сабскрайберов). Таких коробок аж две штуки. Каждая коробка соединяется с сетью через SCE8k(таких тоже две). Дальше уже Это все втыкается в Brocade BigIron RX. От него же распихивается по локалке абонентам. На агрегации стоят Foundry JetCore(FastIron/BigIron) Собственно, вопрос: а можно-ли как-то зачистить НАТ-трансляцию на SE? Если нет, то что еще можно сделать? Ведь от маршрутизации трафика на конкретный свой адрес в нуль толку нет. О просто будет дропаться, но литься не перестанет. Заруливание в нуль где-то выше забьет каналы аплинку, печаль короче. Но все-же хотелось бы знать, что можно сделать, чтоб абоненты не замечали этого. Да, SCE должна резать полосу абоненту по тарифу. Однако в данном случае впечатление такое, что полисер тарифный отрубился(тот что с анализом трафика), а работать остался только полисер L2.
-
А ви таки предлагаете уже пилить живых детей?
-
да хорошие они, только ждать долго неходовую позицию. Те же CWDM на 23/26dBm. Ну и вопрос был про то, живут ли такие в SX/TIx24.
-
Ставить ли гугль-кэш у себя?
mikevlz replied to shvlad1's topic in Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
А что мешает толпой сговориться, забацать транзитного "оператора", через которого всем тащить ютуп? На него в нейтральное место получить кеш, пользоваться. Если боязнь, что у соседа будет также- значит абонент не прибежит - то только расти самим. -
Господа, а кто какие еще SFP+ и SFP тестировал, кроме SNR, у которых Vendor: Brocade ? Мы тут слышали из разных мест про ModuleTech, у самих есть модуль MLaxLink прошитый с Vendor: Cl, а вот модуль с прошивкой Cisco-Finisar ведет себя дико. В любом случае проблемы заметили такие: SFP+ - линк падает через случайное время. Может поднять линк и работать нормально часами, может поднять и уронить через 10 минут. SFP/SFP-T - линк может не подняться сразу же. Но может подняться при ребуте, особенно, если в конфиге рассказать, что порт с этой SFP работает только на гигабите. Дополнительно интересует, пробовал ли кто в TurboIron мощные трансиверы - CWDM SFP+ ZR(23dBm/26dBm). А то есть сомнения, т.к. оригинальные SFP+ ZR Brocade обещает только для самых старших железяк, типа MLX/MLXe и какого-нить CER2000. Мало-ли, вдруг турбоайрону тупо не хватит мощности запитать эту SFP+, или еще какая задница там затаилась. Если есть положительный опыт - чьи модули, какая прошивка?
-
как посыпятся - пришлют новые диски, попросят выдрать старый диск из сервера S/N слот Х, вставить туда новый. Это самое вероятное. Менее вероятно, но все-равно возможно, прилетит волшебник из Делл в голубом вертолете, попросит пустить его к серверам, сам все поменяет.
-
Опубликована Процедура блокировки некошерной инфо
mikevlz replied to Галушко Дмитрий's topic in У нага
Даже географию не знают нихрена. Волжск не рядом с Волгоградом. Это аж под Казанью... Не далековато за дурью гонять? -
на этом же форуме были методы присасывания к кэшу, который ближе. Поищите.