shafiev Опубликовано 28 января, 2016 (изменено) · Жалоба Коллеги пытаюсь решить проблемы с большим количество TCP DUP ACK ( 2.7%) и TCP Retransmit ( 10.9%) и соотвествено возникают траблы у пользователей в виде медленной скорости инета и IPTV портала(пишет ошибка подключений, не открываеться сам портал на приставке и тд и тп)) . Все идеально, дропов нету и ошибок , вот в чем трабла Сам скрин wireshark Схема соединения упрощенно такая : юзер <--> MPLS пров <--->cisco 6500 <---> cisco ASA <--> сам сервер . При этом с самого сервера пинг до модема по 1450 байт и с интервалом в разы меньше секунды идеальны ! Ищу софт или advanced методики чтобы проTCPить весь поток по узлам ( по типу софта mtr ) Изменено 28 января, 2016 пользователем shafiev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 28 января, 2016 · Жалоба Смотреть для начала ошибки на портах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 · Жалоба Все идеально, дропов нету и ошибок , вот в чем трабла .Сорри что сразу не указал в исходном сообщении Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 · Жалоба А модем в схеме где? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 · Жалоба А модем в схеме где? Где юзер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 · Жалоба Я бы смотрел hping -T А на аса случайно таблица соединений не забивается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 · Жалоба Поясните , плиз как посмотреть "А на аса случайно таблица соединений не забивается?" какой командой ? + использования флага -T это вроде traceroute ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 · Жалоба sh conn count и сравнить с даташитом модели, именно traceroute Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 (изменено) · Жалоба Да, кстати, проблемы с обработкой соединений на асе могут быть из-за закатывания прошивки версии 8.3 и новее на модели без добавленной оперативки. Оно обычно в логах ругается, но мало кто обращает внимание. Изменено 28 января, 2016 пользователем uxcr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 · Жалоба Да, кстати, проблемы с обработкой соединений на асе могут быть из-за закатывания прошивки версии 8.3 и новее на модели без добавленной оперативки. Оно обычно в логах ругается, но мало кто обращает внимание. Пример лога можешь скинуть и что именно даст traceroute,да и щас делаю он чистый-чистый ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 · Жалоба Пример лога Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 · Жалоба Пример лога Память вроде оки , там 5520 # sh memory Free memory: 172758816 bytes (32%) Used memory: 364112096 bytes (68%) ------------- ---------------- Total memory: 536870912 bytes (100%) Да и коннекшенов мало вроде sh conn count 7725 in use, 170401 most used Есть еще идеи ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 28 января, 2016 · Жалоба А версия прошивки какая? free может ничего не значить, под io обычно при загрузке аллоцируется память от имеющейся в процентах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 28 января, 2016 · Жалоба А версия прошивки какая? free может ничего не значить, под io обычно при загрузке аллоцируется память от имеющейся в процентах. вроде 8.2 Cisco Adaptive Security Appliance Software Version 8.2(5)48 Device Manager Version 6.4(7) Compiled on Wed 29-Jan-14 14:17 by builders System image file is "disk0:/asa825-48-k8.bin" Config file at boot was "startup-config" ASA01 up 133 days 5 hours failover cluster up 133 days 5 hours Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz Internal ATA Compact Flash, 256MB BIOS Flash M50FW080 @ 0xffe00000, 1024KB Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0) Boot microcode : CN1000-MC-BOOT-2.00 SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03 IPSec microcode : CNlite-MC-IPSECm-MAIN-2.05 0: Ext: GigabitEthernet0/0 : address is 0023.33cf.2646, irq 9 1: Ext: GigabitEthernet0/1 : address is 0023.33cf.2647, irq 9 2: Ext: GigabitEthernet0/2 : address is 0023.33cf.2648, irq 9 3: Ext: GigabitEthernet0/3 : address is 0023.33cf.2649, irq 9 4: Ext: Management0/0 : address is 0023.33cf.264a, irq 11 5: Int: Not used : irq 11 6: Int: Not used : irq 5 Licensed features for this platform: Maximum Physical Interfaces : Unlimited Maximum VLANs : 150 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Security Contexts : 2 GTP/GPRS : Disabled SSL VPN Peers : 750 Total VPN Peers : 750 Shared License : Disabled AnyConnect for Mobile : Enabled AnyConnect for Cisco VPN Phone : Enabled AnyConnect Essentials : Disabled Advanced Endpoint Assessment : Enabled UC Phone Proxy Sessions : 2 Total UC Proxy Sessions : 2 Botnet Traffic Filter : Disabled This platform has an ASA 5520 VPN Plus license. Serial Number: xxxx Running Activation Key: xx Configuration register is 0x1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 29 января, 2016 · Жалоба Такое бывает, когда вы выбираете полосу, которую вам отрезали полисингом, например, на порту коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 29 января, 2016 · Жалоба Такое бывает, когда вы выбираете полосу, которую вам отрезали полисингом, например, на порту коммутатора. а разве дропы в этом случае не будут на порту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 29 января, 2016 (изменено) · Жалоба Такое бывает, когда вы выбираете полосу, которую вам отрезали полисингом, например, на порту коммутатора. а разве дропы в этом случае не будут на порту? Так после глубокого копания нашли что там две проблемы , одна выходящий траф до сервисов гугла ( там трабла опять в магистральщике delta telecom , после наездов с пруфами запахало вроде бы ) , одна изнутри сети , и последняя актуальна еще. Да и так как там режеться(или просто попадает не перегруженный узел) не на первом у них узле, то дропов на порту у меня вестимо не будет ( Изменено 29 января, 2016 пользователем shafiev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 29 января, 2016 · Жалоба под *nix есть tcping и tcptraceroute. если на промежуточных узлах есть открытые TCP-порты, то найти где генерятся дюпы элементарно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 29 января, 2016 · Жалоба под *nix есть tcping и tcptraceroute. если на промежуточных узлах есть открытые TCP-порты, то найти где генерятся дюпы элементарно. Так tcpping нашел это просто обертка под tcptraceroute http://www.vdberg.org/~richard/tcpping . Однако выхлоп все равно чистый (. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 29 января, 2016 · Жалоба а разве дропы в этом случае не будут на порту? Нет. Полистится может по-разному и в разных местах.... При использовании полисинга у вас будут exceeded пакеты даже на условно "ненагруженном" канале. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Archville Опубликовано 29 января, 2016 · Жалоба И картинка прям очень похожа на полисинг - нет пакетов с кривым CRC. Кстати вы в wireshark накоримили вывод tcpdump`а или прямо шарком трафик дергали? Я в смысле у вас пакеты целиком в дампе или только первые 100 байт как в tcpdump по дефолту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 29 января, 2016 · Жалоба а разве дропы в этом случае не будут на порту? Нет. Полистится может по-разному и в разных местах.... При использовании полисинга у вас будут exceeded пакеты даже на условно "ненагруженном" канале. Оки и как задетектить? Маркировать пакеты ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 29 января, 2016 · Жалоба когда или после чего началось? есть ли возможность заменить сервер? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 29 января, 2016 · Жалоба И картинка прям очень похожа на полисинг - нет пакетов с кривым CRC. Кстати вы в wireshark накоримили вывод tcpdump`а или прямо шарком трафик дергали? Я в смысле у вас пакеты целиком в дампе или только первые 100 байт как в tcpdump по дефолту? прямо с сервака с флагом -s 0 то бишь весь пакет когда или после чего началось? есть ли возможность заменить сервер? уже второй месяц , я уже сам вписался полностью в решение этой траблы . по серваку разворачивать для второго бэкап можно но довольно сложно по сетевой части ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
No_name Опубликовано 29 января, 2016 (изменено) · Жалоба Всяко бывает, иногда откуда и не ждешь вылезает проблема. У нас было, как-то давно, на одном узле, TCP то работал, то нет, конвертер заменили и все пошло. Еще было с мультикастом, на одном доме, вроде все работает четко, а вот картинка на тв сыпалась, поменяли оптический патчкорд и все норм стало. Изменено 29 января, 2016 пользователем Brainiac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...