shafiev Опубликовано 28 января, 2016 (изменено) Коллеги пытаюсь решить проблемы с большим количество TCP DUP ACK ( 2.7%) и TCP Retransmit ( 10.9%) и соотвествено возникают траблы у пользователей в виде медленной скорости инета и IPTV портала(пишет ошибка подключений, не открываеться сам портал на приставке и тд и тп)) . Все идеально, дропов нету и ошибок , вот в чем трабла Сам скрин wireshark Схема соединения упрощенно такая : юзер <--> MPLS пров <--->cisco 6500 <---> cisco ASA <--> сам сервер . При этом с самого сервера пинг до модема по 1450 байт и с интервалом в разы меньше секунды идеальны ! Ищу софт или advanced методики чтобы проTCPить весь поток по узлам ( по типу софта mtr ) Изменено 28 января, 2016 пользователем shafiev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 28 января, 2016 Смотреть для начала ошибки на портах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 Все идеально, дропов нету и ошибок , вот в чем трабла .Сорри что сразу не указал в исходном сообщении Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 А модем в схеме где? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 А модем в схеме где? Где юзер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 Я бы смотрел hping -T А на аса случайно таблица соединений не забивается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 Поясните , плиз как посмотреть "А на аса случайно таблица соединений не забивается?" какой командой ? + использования флага -T это вроде traceroute ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 sh conn count и сравнить с даташитом модели, именно traceroute Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 (изменено) Да, кстати, проблемы с обработкой соединений на асе могут быть из-за закатывания прошивки версии 8.3 и новее на модели без добавленной оперативки. Оно обычно в логах ругается, но мало кто обращает внимание. Изменено 28 января, 2016 пользователем uxcr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 Да, кстати, проблемы с обработкой соединений на асе могут быть из-за закатывания прошивки версии 8.3 и новее на модели без добавленной оперативки. Оно обычно в логах ругается, но мало кто обращает внимание. Пример лога можешь скинуть и что именно даст traceroute,да и щас делаю он чистый-чистый ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 Пример лога Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 Пример лога Память вроде оки , там 5520 # sh memory Free memory: 172758816 bytes (32%) Used memory: 364112096 bytes (68%) ------------- ---------------- Total memory: 536870912 bytes (100%) Да и коннекшенов мало вроде sh conn count 7725 in use, 170401 most used Есть еще идеи ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 А версия прошивки какая? free может ничего не значить, под io обычно при загрузке аллоцируется память от имеющейся в процентах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 А версия прошивки какая? free может ничего не значить, под io обычно при загрузке аллоцируется память от имеющейся в процентах. вроде 8.2 Cisco Adaptive Security Appliance Software Version 8.2(5)48 Device Manager Version 6.4(7) Compiled on Wed 29-Jan-14 14:17 by builders System image file is "disk0:/asa825-48-k8.bin" Config file at boot was "startup-config" ASA01 up 133 days 5 hours failover cluster up 133 days 5 hours Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz Internal ATA Compact Flash, 256MB BIOS Flash M50FW080 @ 0xffe00000, 1024KB Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0) Boot microcode : CN1000-MC-BOOT-2.00 SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03 IPSec microcode : CNlite-MC-IPSECm-MAIN-2.05 0: Ext: GigabitEthernet0/0 : address is 0023.33cf.2646, irq 9 1: Ext: GigabitEthernet0/1 : address is 0023.33cf.2647, irq 9 2: Ext: GigabitEthernet0/2 : address is 0023.33cf.2648, irq 9 3: Ext: GigabitEthernet0/3 : address is 0023.33cf.2649, irq 9 4: Ext: Management0/0 : address is 0023.33cf.264a, irq 11 5: Int: Not used : irq 11 6: Int: Not used : irq 5 Licensed features for this platform: Maximum Physical Interfaces : Unlimited Maximum VLANs : 150 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Security Contexts : 2 GTP/GPRS : Disabled SSL VPN Peers : 750 Total VPN Peers : 750 Shared License : Disabled AnyConnect for Mobile : Enabled AnyConnect for Cisco VPN Phone : Enabled AnyConnect Essentials : Disabled Advanced Endpoint Assessment : Enabled UC Phone Proxy Sessions : 2 Total UC Proxy Sessions : 2 Botnet Traffic Filter : Disabled This platform has an ASA 5520 VPN Plus license. Serial Number: xxxx Running Activation Key: xx Configuration register is 0x1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 29 января, 2016 Такое бывает, когда вы выбираете полосу, которую вам отрезали полисингом, например, на порту коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 29 января, 2016 Такое бывает, когда вы выбираете полосу, которую вам отрезали полисингом, например, на порту коммутатора. а разве дропы в этом случае не будут на порту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 29 января, 2016 (изменено) Такое бывает, когда вы выбираете полосу, которую вам отрезали полисингом, например, на порту коммутатора. а разве дропы в этом случае не будут на порту? Так после глубокого копания нашли что там две проблемы , одна выходящий траф до сервисов гугла ( там трабла опять в магистральщике delta telecom , после наездов с пруфами запахало вроде бы ) , одна изнутри сети , и последняя актуальна еще. Да и так как там режеться(или просто попадает не перегруженный узел) не на первом у них узле, то дропов на порту у меня вестимо не будет ( Изменено 29 января, 2016 пользователем shafiev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 29 января, 2016 под *nix есть tcping и tcptraceroute. если на промежуточных узлах есть открытые TCP-порты, то найти где генерятся дюпы элементарно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 29 января, 2016 под *nix есть tcping и tcptraceroute. если на промежуточных узлах есть открытые TCP-порты, то найти где генерятся дюпы элементарно. Так tcpping нашел это просто обертка под tcptraceroute http://www.vdberg.org/~richard/tcpping . Однако выхлоп все равно чистый (. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 29 января, 2016 а разве дропы в этом случае не будут на порту? Нет. Полистится может по-разному и в разных местах.... При использовании полисинга у вас будут exceeded пакеты даже на условно "ненагруженном" канале. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 29 января, 2016 И картинка прям очень похожа на полисинг - нет пакетов с кривым CRC. Кстати вы в wireshark накоримили вывод tcpdump`а или прямо шарком трафик дергали? Я в смысле у вас пакеты целиком в дампе или только первые 100 байт как в tcpdump по дефолту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 29 января, 2016 а разве дропы в этом случае не будут на порту? Нет. Полистится может по-разному и в разных местах.... При использовании полисинга у вас будут exceeded пакеты даже на условно "ненагруженном" канале. Оки и как задетектить? Маркировать пакеты ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 29 января, 2016 когда или после чего началось? есть ли возможность заменить сервер? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 29 января, 2016 И картинка прям очень похожа на полисинг - нет пакетов с кривым CRC. Кстати вы в wireshark накоримили вывод tcpdump`а или прямо шарком трафик дергали? Я в смысле у вас пакеты целиком в дампе или только первые 100 байт как в tcpdump по дефолту? прямо с сервака с флагом -s 0 то бишь весь пакет когда или после чего началось? есть ли возможность заменить сервер? уже второй месяц , я уже сам вписался полностью в решение этой траблы . по серваку разворачивать для второго бэкап можно но довольно сложно по сетевой части ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 29 января, 2016 (изменено) Всяко бывает, иногда откуда и не ждешь вылезает проблема. У нас было, как-то давно, на одном узле, TCP то работал, то нет, конвертер заменили и все пошло. Еще было с мультикастом, на одном доме, вроде все работает четко, а вот картинка на тв сыпалась, поменяли оптический патчкорд и все норм стало. Изменено 29 января, 2016 пользователем Brainiac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...