Перейти к содержимому
Калькуляторы

atdp03

Активный участник
 Просмотреть профиль  Активность

  • Публикации

    113

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем atdp03

  1. Опубликовано · Жалоба на ответ

    On 5/24/2022 at 4:12 AM, Morphus said:

    у меня стал примерно раз в 2, 2.5 недели вылетать фильтр с ошибкой: 

    2022-05-23 21:00:11.234 [479] Error WorkerThrd_0 - Unable to allocate memory for the ssl buffer

    после рестарта всё нормально. Добавить памяти? Хотя после рестарта хватает же получается. Было у кого?

    Решение тут:

     

  2. Опубликовано · Жалоба на ответ

    Добрый всем.

     

    Две одинаковых по железу и софту машинки, с различающимся вдвое уровнем трафика, начали подсыпать пропуски.

     

    В логах из аномалий такое:

    2022-05-22 11:28:47.717 [28895] Error ESender - Can't send packet. Buffer is full.
    2022-05-22 11:28:47.717 [28895] Error ESender - Can't send packet. Buffer is full.
    2022-05-22 11:29:07.826 [28895] Error ESender - Can't send packet. Buffer is full.
    2022-05-22 11:29:07.827 [28895] Error ESender - Can't send packet. Buffer is full.

     

    Режим зеркала, разные локации, разные свичи.

    Я один такой везучий?

  3. Опубликовано · Жалоба на ответ

    22 minutes ago, swsn said:

    А сейчас как с потреблением в момент обновления? У меня oom начались вчера вечером

    Так и продолжается дикими всплесками. Но у меня 32 гига на машине, мне не особо критично пока.

  4. Опубликовано · Жалоба на ответ

    3 hours ago, swsn said:

    Нет у меня на подгрузке acl вылетает независимо от количества hp, не хватает общего объема  памяти в размере 16 гигов

    У меня мониторинг начал ругаться на использование памяти процессом.

    Триггер стоял на 200 мегабайт, срабатываний не было.

    После перехода на фильтрацию blocktype=ip с зеркала, срабатывания триггера вызывались потреблением в районе 6.9-7.1 гигабайт в момент обновления списков.

  5. Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ

    32 minutes ago, atdp03 said:

    Ругается, да:

      

    
2019-10-11 23:52:02.779 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL
2019-10-11 23:52:02.816 [7328] Information ACL - Preparing 50 rules for IPv6 ACL
2019-10-11 23:52:02.822 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket
2019-10-12 00:32:04.250 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL
2019-10-12 00:32:04.287 [7328] Information ACL - Preparing 50 rules for IPv6 ACL
2019-10-12 00:32:04.294 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket

    Чего-то не хватает?

     

    Перепроверился. Это был старый бинарник.

    На новом греп ничего не возвращает вообще.

    Единственное из этой области в логе:


    2019-10-12 00:47:36.802 [16288] Information ACL - Building ACL from file /root/reestr/extfilter/configs/hosts

     

    UPD: послал -HUP процессу, конфиг влился, заработал.

  6. Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ

    1 hour ago, max1976 said:

    В логе extfilter ищем: 

    
grep "rules for" extFilter.log

    Получаем что-то похожее:

     

    Ругается, да:

      

    2019-10-11 23:52:02.779 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL
2019-10-11 23:52:02.816 [7328] Information ACL - Preparing 50 rules for IPv6 ACL
2019-10-11 23:52:02.822 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket
2019-10-12 00:32:04.250 [7328] Information ACL - Preparing 1061560 rules for IPv4 ACL
2019-10-12 00:32:04.287 [7328] Information ACL - Preparing 50 rules for IPv6 ACL
2019-10-12 00:32:04.294 [7328] Error ACL - Setup acl for ipv4 with socketid 0 failed, keeping previous rules for that socket

    Чего-то не хватает?

  7. Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ

    9 hours ago, max1976 said:

    В случае с tcp и в режиме зеркала будут tcp RST в случае tcp syn на блокированные адреса. 

    А как бы это подебажить?

    Обновил фильтр, ресетов не вижу.

    в hosts 22 мегабайта такого: 

    217.69.14.132/32, 6/0xfe
217.69.14.176/32, 6/0xfe
217.69.15.108/32, 6/0xfe
217.69.15.223/32, 6/0xfe

    ресетов не вижу.

    Редиректы на http и ресеты на https прилетают исправно.
    В логе: All worker threads matched by ip/port: 0

     

    Плюс, перестаёт блочиться такое как https://18.200.8.105:16869/.

    Откатываюсь на предыдущую работавшую версию, от августа 18го, этот адрес начинает ресетиться.

  8. Опубликовано · Жалоба на ответ

    А кто-нить заводил rest api на ASR1000?

     

    Поддержка 100*-x согласно сайту появилась с версии 3.14. У нас в бою версия 3.13, которую сильно не хочется обновлять.

     

    Ключевой вопрос - насколько можно запускать контейнер из свежих версий на старом иосе?

  9. Опубликовано · Жалоба на ответ

    Есть ли жизнь на Марсе?

     

    Есть пара 7600, с указанным Rsp.

    Есть 3-4 full-view, 3-4 обменника, от 30 до 170к префиксов.

    Есть пяток приватных пиров от нескольких десятков до нескольких десятков тысяч префиксов.

    Есть стопка даунлинков с full-view, плюс несколько с дефолтом.

     

    Пока всё нормально - оно работает.

    Но стоит чихнуть кому-то крупному - начинается цепная реакция. Начинают сыпаться по таймаутам остальные сессии, мрёт по таймаутам ospf, короче полный набор удовольствий.

    Единственный шанс стабилизировать ситуацию - перегасить почти всё, дождаться стабилизации, и потом поштучно включать всё обратно, дожидаясь прожёвывания маршрутов.

     

    Понятно, что железке пора на пенсию.

    Однако процесс это небыстрый, и хотелось бы понять: есть ли шанс хоть как-то снизить нагрузку?

    Порезать принимаемые анонсы до минимум /24? В прилетающих маршрутах мелочь так и останется, и экономия проца будет только на этапе невнесения в tcam (сам вопрос tcam не рассматриваем, там всё нормально).

    Выкручивать таймауты? А оно действительно надо? При реальной смерти пира держать лишнее время маршруты в никуда?

     

    Требуется помощь коллективного разума.

  11. Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ

    9 minutes ago, max1976 said:

    Надо смотреть количество missed пакетов на интерфейсе, который используется для приёма трафика. Если значение больше 0, то необходимо увеличить количество рабочих процессов. 

    Стерильно:

     

    2018-09-04 19:03:56.150 [1440] Information Application - Port 1 input packets 8115511114, input errors: 0, mbuf errors: 0, missed packets: 0

     

    Собственно, там и было стерильно, но фантомные пропуски были - тупо прокликиваю раз 20 одну и ту же ссыль - раз 8 открывается, остальное блочится.

    В отчётах ревизора - рандомные пропуски, каждый день разные, штук по 200.

    После подъёма числа очередей с 2х до 3х - пропуски исчезли.

    При этом scale - закомментировано.

  12. Опубликовано · Жалоба на ответ

    42 minutes ago, st_re said:

    патчи от мельдаунов и прочих не появились на второй машине? Если появились, то может попробовать отключить ?

    Логично, не подумал.

    Единственное существенное отличие между старой и новой системами - 16.04 и 18.04.

  13. Опубликовано · Жалоба на ответ

    Можно подвести промежуточные итоги.

    Старая система: Xeon 1270v3+16G, extfilter от 2 февраля 2018.

    Новая: Xeon 1270v5+32G, extfilter от 30го августа 2018.

    Сетевухи идентичны, зеркало то же.

     

    Старая машина жевала объём в один поток (num_of_workers=1).

    Новой понадобилось 3, чтобы избавиться от фантомных пропусков. По факту сделал 4, с запасом.

    core_mask = 31

    [port 1]
    queues = 0,1; 1,2; 2,3; 3,4

     

  14. Опубликовано · Жалоба на ответ

    46 minutes ago, max1976 said:

    Ответил выше - мало памяти. 2 гига не хватит для работы фильтра.

    Авоткстати.

     

    Есть примерные рекомендации?

    Типа:

    100-500-1000к пакетов в секунду на входе, M (физических?) ядер по N Ghz, P гигабайт памяти, Q из них под hugepages, X очередей в extfilter, scale = Y, memory_channels = Z.

  15. Опубликовано · Жалоба на ответ

    7 minutes ago, max1976 said:

    Он блокируется:

     

    Да, подтверждаю. Браузер закешировал, как и упоминавшееся ранее:

    19 minutes ago, atdp03 said:

    При обращении к https://www.1xbet.mobi сайт редиректит на https://1xbet.mobi который успешно банит

     

  17. Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ

    2 minutes ago, max1976 said:

    Такого сайта нет в списке.  *.xbet.mobi это другая маска. 

    /reg:register/content/@id=1059333
/reg:register/content/@includeTime=2018-08-21T06:25:18
/reg:register/content/@entryType=1
/reg:register/content/@blockType=domain-mask
/reg:register/content/@hash=057091A582193EB9762A3B8AC78A74E0
/reg:register/content/decision/@date=2016-05-13
/reg:register/content/decision/@number=2-6-27/ 2016-05-05-24-АИ
/reg:register/content/decision/@org=ФНС
/reg:register/content/domain=*.1xbet.mobi

     

    Апдейт, был невнимателен.

    При обращении к https://www.1xbet.mobi сайт редиректит на https://1xbet.mobi который успешно банится.

  18. Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ

    33 minutes ago, max1976 said:
    ; Использовать jumbo frames
    ; jumbo_frames = false
     
    ; Максимальная длина ethernet фрейма при включенном jumbo_frames

    ; max_pkt_len = 9600

     

    Включите эту опцию.

     

     

    Ага, оно. Ошибок стало 0.

    Натыкался на упоминания о том что оно не работает в dpdk, поэтому выключал.

     

    17 minutes ago, max1976 said:

    Ошибка исправлена. Изменение на github'е.

     

    https://1xbet.mobi, https://www.1xbet.mobi - банятся.

    Зато перестал баниться http://1xbet.mobi - улетаю редиректом сайта на https, и вижу не заглушку а ресет.

     

    Причём, похоже это только этот сайт из проверенных.

    Остальные упоминавшиеся выше:

    https://www.paripartners162.com/

    https://paripartners162.com/

     

    https://www.mygreatmarathon.win/

     

    https://www.leonbets8u.website/

     

    банятся нормально.

  20. Опубликовано · Жалоба на ответ

    16 minutes ago, epollia said:

    Странно что так много ошибок на входе. Есть смысл посмотреть физу. 

     

    Поменял порт и модули.

    Со стороны свича всё стерильно.

    Со стороны коробки всё те же ~10 ошибок в секунду.

  21. Опубликовано · Жалоба на ответ

    25 minutes ago, zhenya` said:

    Может проблема с зеркалом?..

    Маловероятно, зеркало то же что работало со старой версией.

    Скорее я что-то недо/перекрутил.

     

    Присмотрелся ещё.

    Есть ссылки, которые пропускаются через раз:

    http://muzlishko.ru/mp3/Я+за+ЗОЖ,+всех+на+нож,+кто+на+людей+не+похож

    http://muzlishko.ru/mp3/Исламская+Умма

    http://muzlishko.ru/mp3/коррозия+металла+скинхед

    http://muzlishko.ru/mp3/РЕСТРУКТ ( аудио-книга )

     

    Плюс каждый день при проверке вылезает сотня-другая ссылок, причём разных.

    Так что проблема, скорее всего, не в domain mask, а более общая.

     

    Железо - почти аналог предыдущего. Был Xeon 1270v3+16G, стал 1270v5+32G. Сеть та же, x520 двухпортовый, sender - через один из этих портов.

    Трафика до 800-900к ппс в пиках, как и ранее.

     

    В логе на приёмнике зеркала начали сыпаться ошибки: 

    2018-08-30 13:19:15.326 [867] Information Application - Port 1 input packets 33174693708, input errors: 2276583, mbuf errors: 0, missed packets: 0

     

  22. Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ

    Про фрагментацию думал, но по сравнению с версией ~годовалой давности - заведомо фрагментируемые сайты как-раз начали фильтроваться.

     

    4 hours ago, max1976 said:

    Укажите точные url, которые не фильтруются.

    Не блочатся:

    https://1xbet.mobi/

    https://www.1xbet.mobi/ откуда идёт редирект на первый урл.

     

    https://www.paripartners162.com/

    https://paripartners162.com/

     

    Решил ещё чуть пройтись по списку. Всё не так однозначно. =)

    https://www.mygreatmarathon.win/ - блочится

    https://www.leonbets8u.website/ - нет.

  23. Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ

    Обновляюсь на свежий extfilter.

     

    Не фильтруются записи domain mask при обращении к https. По http эти записи фильтруются, остальные https - тоже.

     

    extfilter.ini:


     

    Spoiler

     

    ; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
    ;lower_host = false
    url_normalization = true
    remove_dot = true

    domainlist = /root/reestr/extfilter/configs/domains
    urllist = /root/reestr/extfilter/configs/urls
    ssllist = /root/reestr/extfilter/configs/ssl_host

    ; файл с ip:port для блокировки
    hostlist = /root/reestr/extfilter/configs/hosts

    ; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
    sslips = /root/reestr/extfilter/configs/ssl_ips

    ; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false
    http_redirect = true

    # если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[?|&]uri=http://...
    redirect_url = http://451.domain.tld?

    ; посылать tcp rst в сторону сервера от имени клиента. Default: false
    rst_to_server = true

    ; Default: 0 - disable
    statistic_interval = 30

    ; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false
    block_ssl_no_sni = false

    block_undetected_ssl = true

    ; Какие ядра использовать. Default: все ядра, кроме management.
    core_mask = 7

    ; файл статистики (для extfilter-cacti)
    statisticsfile = /var/run/extFilter_stat

    ; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
    ; out_mtu = 1500


    ; CLI для управления или сбора статистики extfilter
    ; cli_port = 9999
    ; cli_address = 127.0.0.1

    ; Количество каналов памяти (для DPDK)
    memory_channels = 2

    ; Количество повторных пакетов в сторону клиента (от 1 до 3)
    answer_duplication = 2

    ; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline)
    operation_mode = mirror

    ; Использовать jumbo frames
    ;jumbo_frames = true

    ; Максимальная длина ethernet фрейма при включенном jumbo_frames
    ;max_pkt_len = 9000

     

    ; здесь задаются порты, с которых необходимо снимать трафик
    ; формат:
    ; [port n]
    ; queues = a,b; a1,b1...
    ; n - номер порта dpdk
    ; a - номер очереди
    ; b - ядро, обрабатывающее очередь a
    ; Пример:
    [port 1]
    queues = 0,1; 1,2

    ; Порт для отправки уведомлений через dpdk
    [port 0]
    type = sender
    ; На какой mac адрес отправлять пакеты
    mac = 00:18:74:1d:ae:00

    [dpi]
    ; Масштабирование количества обрабатываемых потоков 1..10
    ;scale = 2

    ; Собирать и анализировать фрагментированные пакеты
    ; fragmentation_ipv6_state = true
    fragmentation_ipv4_state = true
    fragmentation_ipv4_table_size = 512
    ; fragmentation_ipv6_table_size = 512

    ; Собирать и анализировать tcp потоки с неправильными порядком
    tcp_reordering = true

    [logging]
    loggers.root.level = information
    ;loggers.root.level = debug
    loggers.root.channel = fileChannel
    channels.fileChannel.class = FileChannel
    channels.fileChannel.path = /var/log/reestr/extFilter.log
    channels.fileChannel.rotation = 100 M
    channels.fileChannel.purgeCount = 100
    channels.fileChannel.archive = timestamp
    channels.fileChannel.formatter.class = PatternFormatter
    channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
    channels.fileChannel.formatter.times = local

     

     

     

     

    В конфигах всё есть:

     

    grep \*.1xbet.mobi *
    domains:*.1xbet.mobi
    ssl_host:*.1xbet.mobi

     

    grep paripartners162.com *
    domains:*.paripartners162.com
    ssl_host:*.paripartners162.com

     

    Не могу понять, что я недокрутил, требуется помощь зала.

  25. Опубликовано · Изменено пользователем atdp03 · Жалоба на ответ

    On 8/14/2017 at 10:34 PM, Azamat said:

    Сегодня на живом 40 гб линке между двумя Нексусами 3064 словили какой-то жуткий косяк:

     

    вдруг на хорошей линии (по отп. показателям с модулей)начал мигать оранж/зеленый светодиод qsfp порта. На порту начали быстро расти input ошибки и что самое прикольное, одновременно начали падать/подниматься еще 4 гнезда по 10Гбит/с. Примерно раз в минуту, а то и чаще. Но, сам линк 40 гиг в логах не отражался как down/up. И показатель last flap по нему был порядка 4 недель.

    ...

     

    Если вытащить из гнезда модуль QSFP - остальные 4 гнезда по 10гиг перестают падать/подниматься. Вставляешь обратно QSFP - снова глюки. В конце концов разобрали линк 40 гиг на два по 10, благо хватило по полосе. И после этого снова полет нормальный.

     

    Сам линк на 40 был запущен с полгода назад, все это время работал без нареканий. А сегодня прям взбесился. Мистика какая-то.

    Словили почти то же самое.

    Один медный qsfp работает несколько месяцев, ещё стопку dropout, проработавших пару лет - разобрали.

    Включили вместо них AOC.

    Начали флапать все QSFP, с теми же симптомами.

    Причём вместе с ними флапал и медный, который не трогали.

     

    Никто решения не находил?