atdp03
-
Публикации
113 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем atdp03
-
-
Добрый всем.
Две одинаковых по железу и софту машинки, с различающимся вдвое уровнем трафика, начали подсыпать пропуски.
В логах из аномалий такое:
2022-05-22 11:28:47.717 [28895] Error ESender - Can't send packet. Buffer is full.
2022-05-22 11:28:47.717 [28895] Error ESender - Can't send packet. Buffer is full.
2022-05-22 11:29:07.826 [28895] Error ESender - Can't send packet. Buffer is full.
2022-05-22 11:29:07.827 [28895] Error ESender - Can't send packet. Buffer is full.Режим зеркала, разные локации, разные свичи.
Я один такой везучий?
-
22 minutes ago, swsn said:
А сейчас как с потреблением в момент обновления? У меня oom начались вчера вечером
Так и продолжается дикими всплесками. Но у меня 32 гига на машине, мне не особо критично пока.
-
3 hours ago, swsn said:
Нет у меня на подгрузке acl вылетает независимо от количества hp, не хватает общего объема памяти в размере 16 гигов
У меня мониторинг начал ругаться на использование памяти процессом.
Триггер стоял на 200 мегабайт, срабатываний не было.
После перехода на фильтрацию blocktype=ip с зеркала, срабатывания триггера вызывались потреблением в районе 6.9-7.1 гигабайт в момент обновления списков.
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
32 minutes ago, atdp03 said:Ругается, да:
2019-10-11 23:52:02.779 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL 2019-10-11 23:52:02.816 [7328] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-11 23:52:02.822 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket 2019-10-12 00:32:04.250 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL 2019-10-12 00:32:04.287 [7328] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-12 00:32:04.294 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket
Чего-то не хватает?
Перепроверился. Это был старый бинарник.
На новом греп ничего не возвращает вообще.
Единственное из этой области в логе:
2019-10-12 00:47:36.802 [16288] Information ACL - Building ACL from file /root/reestr/extfilter/configs/hostsUPD: послал -HUP процессу, конфиг влился, заработал.
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
1 hour ago, max1976 said:В логе extfilter ищем:
grep "rules for" extFilter.log
Получаем что-то похожее:
Ругается, да:
2019-10-11 23:52:02.779 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL 2019-10-11 23:52:02.816 [7328] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-11 23:52:02.822 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket 2019-10-12 00:32:04.250 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL 2019-10-12 00:32:04.287 [7328] Information ACL - Preparing 50 rules for IPv6 ACL 2019-10-12 00:32:04.294 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket
Чего-то не хватает?
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
9 hours ago, max1976 said:В случае с tcp и в режиме зеркала будут tcp RST в случае tcp syn на блокированные адреса.
А как бы это подебажить?
Обновил фильтр, ресетов не вижу.
в hosts 22 мегабайта такого:
217.69.14.132/32, 6/0xfe 217.69.14.176/32, 6/0xfe 217.69.15.108/32, 6/0xfe 217.69.15.223/32, 6/0xfe
ресетов не вижу.
Редиректы на http и ресеты на https прилетают исправно.
В логе: All worker threads matched by ip/port: 0Плюс, перестаёт блочиться такое как https://18.200.8.105:16869/.
Откатываюсь на предыдущую работавшую версию, от августа 18го, этот адрес начинает ресетиться.
-
А кто-нить заводил rest api на ASR1000?
Поддержка 100*-x согласно сайту появилась с версии 3.14. У нас в бою версия 3.13, которую сильно не хочется обновлять.
Ключевой вопрос - насколько можно запускать контейнер из свежих версий на старом иосе?
-
Есть ли жизнь на Марсе?
Есть пара 7600, с указанным Rsp.
Есть 3-4 full-view, 3-4 обменника, от 30 до 170к префиксов.
Есть пяток приватных пиров от нескольких десятков до нескольких десятков тысяч префиксов.
Есть стопка даунлинков с full-view, плюс несколько с дефолтом.
Пока всё нормально - оно работает.
Но стоит чихнуть кому-то крупному - начинается цепная реакция. Начинают сыпаться по таймаутам остальные сессии, мрёт по таймаутам ospf, короче полный набор удовольствий.
Единственный шанс стабилизировать ситуацию - перегасить почти всё, дождаться стабилизации, и потом поштучно включать всё обратно, дожидаясь прожёвывания маршрутов.
Понятно, что железке пора на пенсию.
Однако процесс это небыстрый, и хотелось бы понять: есть ли шанс хоть как-то снизить нагрузку?
Порезать принимаемые анонсы до минимум /24? В прилетающих маршрутах мелочь так и останется, и экономия проца будет только на этапе невнесения в tcam (сам вопрос tcam не рассматриваем, там всё нормально).
Выкручивать таймауты? А оно действительно надо? При реальной смерти пира держать лишнее время маршруты в никуда?
Требуется помощь коллективного разума.
-
17 minutes ago, max1976 said:
Да, добавлю поддержку разбора ipv6 тегов.
И можно сразу костыли, реагирующие на попадание адресов ipv6 в другие теги. =)
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
9 minutes ago, max1976 said:Надо смотреть количество missed пакетов на интерфейсе, который используется для приёма трафика. Если значение больше 0, то необходимо увеличить количество рабочих процессов.
Стерильно:
2018-09-04 19:03:56.150 [1440] Information Application - Port 1 input packets 8115511114, input errors: 0, mbuf errors: 0, missed packets: 0
Собственно, там и было стерильно, но фантомные пропуски были - тупо прокликиваю раз 20 одну и ту же ссыль - раз 8 открывается, остальное блочится.
В отчётах ревизора - рандомные пропуски, каждый день разные, штук по 200.
После подъёма числа очередей с 2х до 3х - пропуски исчезли.
При этом scale - закомментировано.
-
42 minutes ago, st_re said:
патчи от мельдаунов и прочих не появились на второй машине? Если появились, то может попробовать отключить ?
Логично, не подумал.
Единственное существенное отличие между старой и новой системами - 16.04 и 18.04.
-
Можно подвести промежуточные итоги.
Старая система: Xeon 1270v3+16G, extfilter от 2 февраля 2018.
Новая: Xeon 1270v5+32G, extfilter от 30го августа 2018.
Сетевухи идентичны, зеркало то же.
Старая машина жевала объём в один поток (num_of_workers=1).
Новой понадобилось 3, чтобы избавиться от фантомных пропусков. По факту сделал 4, с запасом.
core_mask = 31
[port 1]
queues = 0,1; 1,2; 2,3; 3,4 -
46 minutes ago, max1976 said:
Ответил выше - мало памяти. 2 гига не хватит для работы фильтра.
Авоткстати.
Есть примерные рекомендации?
Типа:
100-500-1000к пакетов в секунду на входе, M (физических?) ядер по N Ghz, P гигабайт памяти, Q из них под hugepages, X очередей в extfilter, scale = Y, memory_channels = Z.
-
7 minutes ago, max1976 said:
Он блокируется:
Да, подтверждаю. Браузер закешировал, как и упоминавшееся ранее:
19 minutes ago, atdp03 said:При обращении к https://www.1xbet.mobi сайт редиректит на https://1xbet.mobi который успешно банит
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
Потёр, кеш браузера.
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
2 minutes ago, max1976 said:Такого сайта нет в списке. *.xbet.mobi это другая маска.
/reg:register/content/@id=1059333 /reg:register/content/@includeTime=2018-08-21T06:25:18 /reg:register/content/@entryType=1 /reg:register/content/@blockType=domain-mask /reg:register/content/@hash=057091A582193EB9762A3B8AC78A74E0 /reg:register/content/decision/@date=2016-05-13 /reg:register/content/decision/@number=2-6-27/ 2016-05-05-24-АИ /reg:register/content/decision/@org=ФНС /reg:register/content/domain=*.1xbet.mobi
Апдейт, был невнимателен.
При обращении к https://www.1xbet.mobi сайт редиректит на https://1xbet.mobi который успешно банится.
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
33 minutes ago, max1976 said:; Использовать jumbo frames ; jumbo_frames = false ; Максимальная длина ethernet фрейма при включенном jumbo_frames ; max_pkt_len = 9600
Включите эту опцию.
Ага, оно. Ошибок стало 0.
Натыкался на упоминания о том что оно не работает в dpdk, поэтому выключал.
17 minutes ago, max1976 said:Ошибка исправлена. Изменение на github'е.
https://1xbet.mobi, https://www.1xbet.mobi - банятся.
Зато перестал баниться http://1xbet.mobi - улетаю редиректом сайта на https, и вижу не заглушку а ресет.
Причём, похоже это только этот сайт из проверенных.
Остальные упоминавшиеся выше:
https://www.paripartners162.com/
https://www.mygreatmarathon.win/
https://www.leonbets8u.website/
банятся нормально.
-
Just now, max1976 said:
Какой размер пакетов? Больше 1500?
Навскидку - да, там qinq.
Могу попробовать записать дамп в пяток секунд, если коробка справится. =)
-
16 minutes ago, epollia said:
Странно что так много ошибок на входе. Есть смысл посмотреть физу.
Поменял порт и модули.
Со стороны свича всё стерильно.
Со стороны коробки всё те же ~10 ошибок в секунду.
-
25 minutes ago, zhenya` said:
Может проблема с зеркалом?..
Маловероятно, зеркало то же что работало со старой версией.
Скорее я что-то недо/перекрутил.
Присмотрелся ещё.
Есть ссылки, которые пропускаются через раз:
http://muzlishko.ru/mp3/Я+за+ЗОЖ,+всех+на+нож,+кто+на+людей+не+похож
http://muzlishko.ru/mp3/Исламская+Умма
http://muzlishko.ru/mp3/коррозия+металла+скинхед
http://muzlishko.ru/mp3/РЕСТРУКТ ( аудио-книга )
Плюс каждый день при проверке вылезает сотня-другая ссылок, причём разных.
Так что проблема, скорее всего, не в domain mask, а более общая.
Железо - почти аналог предыдущего. Был Xeon 1270v3+16G, стал 1270v5+32G. Сеть та же, x520 двухпортовый, sender - через один из этих портов.
Трафика до 800-900к ппс в пиках, как и ранее.
В логе на приёмнике зеркала начали сыпаться ошибки:
2018-08-30 13:19:15.326 [867] Information Application - Port 1 input packets 33174693708, input errors: 2276583, mbuf errors: 0, missed packets: 0
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
Про фрагментацию думал, но по сравнению с версией ~годовалой давности - заведомо фрагментируемые сайты как-раз начали фильтроваться.
4 hours ago, max1976 said:Укажите точные url, которые не фильтруются.
Не блочатся:
https://www.1xbet.mobi/ откуда идёт редирект на первый урл.
https://www.paripartners162.com/
Решил ещё чуть пройтись по списку. Всё не так однозначно. =)
https://www.mygreatmarathon.win/ - блочится
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
Обновляюсь на свежий extfilter.
Не фильтруются записи domain mask при обращении к https. По http эти записи фильтруются, остальные https - тоже.
extfilter.ini:
Spoiler; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
;lower_host = false
url_normalization = true
remove_dot = truedomainlist = /root/reestr/extfilter/configs/domains
urllist = /root/reestr/extfilter/configs/urls
ssllist = /root/reestr/extfilter/configs/ssl_host; файл с ip:port для блокировки
hostlist = /root/reestr/extfilter/configs/hosts; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
sslips = /root/reestr/extfilter/configs/ssl_ips; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false
http_redirect = true# если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[?|&]uri=http://...
redirect_url = http://451.domain.tld?; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = true; Default: 0 - disable
statistic_interval = 30; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false
block_ssl_no_sni = falseblock_undetected_ssl = true
; Какие ядра использовать. Default: все ядра, кроме management.
core_mask = 7; файл статистики (для extfilter-cacti)
statisticsfile = /var/run/extFilter_stat; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500
; CLI для управления или сбора статистики extfilter
; cli_port = 9999
; cli_address = 127.0.0.1; Количество каналов памяти (для DPDK)
memory_channels = 2; Количество повторных пакетов в сторону клиента (от 1 до 3)
answer_duplication = 2; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline)
operation_mode = mirror; Использовать jumbo frames
;jumbo_frames = true; Максимальная длина ethernet фрейма при включенном jumbo_frames
;max_pkt_len = 9000; здесь задаются порты, с которых необходимо снимать трафик
; формат:
; [port n]
; queues = a,b; a1,b1...
; n - номер порта dpdk
; a - номер очереди
; b - ядро, обрабатывающее очередь a
; Пример:
[port 1]
queues = 0,1; 1,2; Порт для отправки уведомлений через dpdk
[port 0]
type = sender
; На какой mac адрес отправлять пакеты
mac = 00:18:74:1d:ae:00[dpi]
; Масштабирование количества обрабатываемых потоков 1..10
;scale = 2; Собирать и анализировать фрагментированные пакеты
; fragmentation_ipv6_state = true
fragmentation_ipv4_state = true
fragmentation_ipv4_table_size = 512
; fragmentation_ipv6_table_size = 512; Собирать и анализировать tcp потоки с неправильными порядком
tcp_reordering = true[logging]
loggers.root.level = information
;loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/reestr/extFilter.log
channels.fileChannel.rotation = 100 M
channels.fileChannel.purgeCount = 100
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = localВ конфигах всё есть:
grep \*.1xbet.mobi *
domains:*.1xbet.mobi
ssl_host:*.1xbet.mobigrep paripartners162.com *
domains:*.paripartners162.com
ssl_host:*.paripartners162.comНе могу понять, что я недокрутил, требуется помощь зала.
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
fiberstore, это fs.com?
Ну и да - вендора озвучьте плз.
-
Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ
On 8/14/2017 at 10:34 PM, Azamat said:Сегодня на живом 40 гб линке между двумя Нексусами 3064 словили какой-то жуткий косяк:
вдруг на хорошей линии (по отп. показателям с модулей)начал мигать оранж/зеленый светодиод qsfp порта. На порту начали быстро расти input ошибки и что самое прикольное, одновременно начали падать/подниматься еще 4 гнезда по 10Гбит/с. Примерно раз в минуту, а то и чаще. Но, сам линк 40 гиг в логах не отражался как down/up. И показатель last flap по нему был порядка 4 недель.
...
Если вытащить из гнезда модуль QSFP - остальные 4 гнезда по 10гиг перестают падать/подниматься. Вставляешь обратно QSFP - снова глюки. В конце концов разобрали линк 40 гиг на два по 10, благо хватило по полосе. И после этого снова полет нормальный.
Сам линк на 40 был запущен с полгода назад, все это время работал без нареканий. А сегодня прям взбесился. Мистика какая-то.
Словили почти то же самое.
Один медный qsfp работает несколько месяцев, ещё стопку dropout, проработавших пару лет - разобрали.
Включили вместо них AOC.
Начали флапать все QSFP, с теми же симптомами.
Причём вместе с ними флапал и медный, который не трогали.
Никто решения не находил?
Блокировка сайтов провайдерами
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
Решение тут: