[shafiev]

Коллеги пытаюсь решить проблемы с большим количество TCP DUP ACK ( 2.7%) и TCP Retransmit ( 10.9%) и соотвествено возникают траблы у пользователей в виде медленной скорости инета и IPTV портала(пишет ошибка подключений, не открываеться сам портал на приставке и тд и тп)) . Все идеально, дропов нету и ошибок , вот в чем трабла

 

 

Сам скрин wireshark

Схема соединения упрощенно такая :

 

юзер <--> MPLS пров <--->cisco 6500 <---> cisco ASA <--> сам сервер .

 

При этом с самого сервера пинг до модема по 1450 байт и с интервалом в разы меньше секунды идеальны !

Ищу софт или advanced методики чтобы проTCPить весь поток по узлам ( по типу софта mtr )

Edited January 28, 2016 by shafiev

[Antares]

Смотреть для начала ошибки на портах

[shafiev]

Все идеально, дропов нету и ошибок , вот в чем трабла .Сорри что сразу не указал в исходном сообщении

[uxcr]

А модем в схеме где?

[shafiev]

А модем в схеме где?

 

Где юзер

[uxcr]

Я бы смотрел hping -T

А на аса случайно таблица соединений не забивается?

[shafiev]

Поясните , плиз как посмотреть "А на аса случайно таблица соединений не забивается?" какой командой ?

+ использования флага -T это вроде traceroute ?

[uxcr]

sh conn count и сравнить с даташитом модели, именно traceroute

[uxcr]

Да, кстати, проблемы с обработкой соединений на асе могут быть из-за закатывания прошивки версии 8.3 и новее на модели без добавленной оперативки.

Оно обычно в логах ругается, но мало кто обращает внимание.

Edited January 28, 2016 by uxcr

[shafiev]

Да, кстати, проблемы с обработкой соединений на асе могут быть из-за закатывания прошивки версии 8.3 и новее на модели без добавленной оперативки.

Оно обычно в логах ругается, но мало кто обращает внимание.

 

Пример лога можешь скинуть и что именно даст traceroute,да и щас делаю он чистый-чистый ?

[uxcr]

Пример лога

[shafiev]

Пример лога

 

Память вроде оки , там 5520

 

# sh memory 
Free memory:   	172758816 bytes (32%)
Used memory:   	364112096 bytes (68%)
------------- 	----------------
Total memory:  	536870912 bytes (100%)

 

Да и коннекшенов мало вроде

sh conn count 
7725 in use, 170401 most used

 

Есть еще идеи ?

[uxcr]

А версия прошивки какая? free может ничего не значить, под io обычно при загрузке аллоцируется память от имеющейся в процентах.

[shafiev]

А версия прошивки какая? free может ничего не значить, под io обычно при загрузке аллоцируется память от имеющейся в процентах.

 

вроде 8.2

 

Cisco Adaptive Security Appliance Software Version 8.2(5)48 
Device Manager Version 6.4(7)

Compiled on Wed 29-Jan-14 14:17 by builders
System image file is "disk0:/asa825-48-k8.bin"
Config file at boot was "startup-config"

ASA01 up 133 days 5 hours
failover cluster up 133 days 5 hours

Hardware:   ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB

Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)
                        	Boot microcode   : CN1000-MC-BOOT-2.00 
                        	SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
                        	IPSec microcode  : CNlite-MC-IPSECm-MAIN-2.05

0: Ext: GigabitEthernet0/0  : address is 0023.33cf.2646, irq 9
1: Ext: GigabitEthernet0/1  : address is 0023.33cf.2647, irq 9
2: Ext: GigabitEthernet0/2  : address is 0023.33cf.2648, irq 9
3: Ext: GigabitEthernet0/3  : address is 0023.33cf.2649, irq 9
4: Ext: Management0/0   	: address is 0023.33cf.264a, irq 11
5: Int: Not used        	: irq 11
6: Int: Not used        	: irq 5

Licensed features for this platform:
Maximum Physical Interfaces	: Unlimited 
Maximum VLANs              	: 150   	
Inside Hosts               	: Unlimited 
Failover                   	: Active/Active
VPN-DES                    	: Enabled   
VPN-3DES-AES               	: Enabled   
Security Contexts          	: 2     	
GTP/GPRS                   	: Disabled  
SSL VPN Peers              	: 750   	
Total VPN Peers            	: 750   	
Shared License             	: Disabled
AnyConnect for Mobile      	: Enabled   
AnyConnect for Cisco VPN Phone : Enabled   
AnyConnect Essentials      	: Disabled  
Advanced Endpoint Assessment   : Enabled   
UC Phone Proxy Sessions    	: 2     	
Total UC Proxy Sessions    	: 2     	
Botnet Traffic Filter      	: Disabled  

This platform has an ASA 5520 VPN Plus license.

Serial Number: xxxx
Running Activation Key: xx 
Configuration register is 0x1

[Archville]

Такое бывает, когда вы выбираете полосу, которую вам отрезали полисингом, например, на порту коммутатора.

[stalker86]

Такое бывает, когда вы выбираете полосу, которую вам отрезали полисингом, например, на порту коммутатора.

 

а разве дропы в этом случае не будут на порту?

[shafiev]

Такое бывает, когда вы выбираете полосу, которую вам отрезали полисингом, например, на порту коммутатора.

 

а разве дропы в этом случае не будут на порту?

 

Так после глубокого копания нашли что там две проблемы , одна выходящий траф до сервисов гугла ( там трабла опять в магистральщике delta telecom , после наездов с пруфами запахало вроде бы ) , одна изнутри сети , и последняя актуальна еще.

 

Да и так как там режеться(или просто попадает не перегруженный узел) не на первом у них узле, то дропов на порту у меня вестимо не будет (

Edited January 29, 2016 by shafiev

[zurz]

под *nix есть tcping и tcptraceroute. если на промежуточных узлах есть открытые TCP-порты, то найти где генерятся дюпы элементарно.

[shafiev]

под *nix есть tcping и tcptraceroute. если на промежуточных узлах есть открытые TCP-порты, то найти где генерятся дюпы элементарно.

 

Так tcpping нашел это просто обертка под tcptraceroute http://www.vdberg.org/~richard/tcpping .

 

Однако выхлоп все равно чистый (.

[Archville]

а разве дропы в этом случае не будут на порту?

Нет. Полистится может по-разному и в разных местах....

При использовании полисинга у вас будут exceeded пакеты даже на условно "ненагруженном" канале.

[Archville]

И картинка прям очень похожа на полисинг - нет пакетов с кривым CRC. Кстати вы в wireshark накоримили вывод tcpdump`а или прямо шарком трафик дергали? Я в смысле у вас пакеты целиком в дампе или только первые 100 байт как в tcpdump по дефолту?

[shafiev]

а разве дропы в этом случае не будут на порту?

Нет. Полистится может по-разному и в разных местах....

При использовании полисинга у вас будут exceeded пакеты даже на условно "ненагруженном" канале.

 

Оки и как задетектить? Маркировать пакеты ???

[zurz]

когда или после чего началось?

 

есть ли возможность заменить сервер?

[shafiev]

И картинка прям очень похожа на полисинг - нет пакетов с кривым CRC. Кстати вы в wireshark накоримили вывод tcpdump`а или прямо шарком трафик дергали? Я в смысле у вас пакеты целиком в дампе или только первые 100 байт как в tcpdump по дефолту?

 

прямо с сервака с флагом -s 0 то бишь весь пакет

 

когда или после чего началось?

 

есть ли возможность заменить сервер?

 

уже второй месяц , я уже сам вписался полностью в решение этой траблы . по серваку разворачивать для второго бэкап можно но довольно сложно по сетевой части !

[No_name]

Всяко бывает, иногда откуда и не ждешь вылезает проблема.

У нас было, как-то давно, на одном узле, TCP то работал, то нет, конвертер заменили и все пошло.

Еще было с мультикастом, на одном доме, вроде все работает четко, а вот картинка на тв сыпалась, поменяли оптический патчкорд и все норм стало.

Edited January 29, 2016 by Brainiac