Jump to content
Калькуляторы

Посоветуйте железку для модификации MSS

У нас в качестве сетевого оборудования используются свичи juniper ex*

Подключили мы тут защиту от qrator и в связи с особенностью у них, необходимо делать модификацию MSS для исходящего трафика (входящий идет через qrator исходящий через ДЦ), ex* это делать не умеют.

Покупать MX только ради этой функции не очень разумно.

Посоветуйте, пожалуйста, железку от 8 гигабитных ethernet-портов, которая бы могла переваривать 4Gbps исходяшего трафика (300-500k pps) и модифицировать tcp mss для всех пакетов, которые там проходят, желательно с возможностью роста.

Edited by dimsmain

Share this post


Link to post
Share on other sites

Если серверов не много, то просто занизьте MTU на них. Я не видел дешёвых свитчей, умеющих это делать, а роутеры на 4G это дорого, разве что сервер с linux

Share this post


Link to post
Share on other sites

Если серверов не много, то просто занизьте MTU на них. Я не видел дешёвых свитчей, умеющих это делать, а роутеры на 4G это дорого, разве что сервер с linux

серверов много + есть не под нашим управлением где физически этого не сделать.

> а роутеры на 4G это дорого

Можете сказать примерный уровень цен ?

Спасибо.

Share this post


Link to post
Share on other sites

mss меняется только в SYN пакетах. потому можно попробовать извратиться, сделав некое подобие PBR для них (если ваше железо позволит), завернув только SYN на какую-нить железку. там большая производительность не нужна...

Share this post


Link to post
Share on other sites

Надо учитывать, если мту там просто дефолтный то можно и занизить, но если там выкручено до 9к чтобы оптимизировать локальный pps, то занижение mtu может проблем еще принести, не обязательно и не сейчас, но возможно

 

По-моему правильней попробовать устранить источник проблемы, транспорт должен давать стандартный мту 1500

Share this post


Link to post
Share on other sites

По-моему правильней попробовать устранить источник проблемы, транспорт должен давать стандартный мту 1500

 

источник проблемы устранить невозможно. ddos-защиты это внешние сервисы, с которыми надо поднимать тунель, дальше сам понимаешь. я уже давно заметил, что многие сервисы занижают mss, потому что активно используют тунели

не, ну можно конечно сейчас начать говорить про заказ l2/l3-vpn до antiddos-сервисы, но зачастую это невозможно на практике или будет стоить ещё дороже, чем сама ddos-защита

 

Можете сказать примерный уровень цен ?

 

я не знаю какие у вас скидки от gpl, поэтому сказать по ценам не могу. б/у можете посмотреть на nag или ebay. вам нужна железка, которая маркетингов позиционируется как роутер, а не как свитч

 

mss меняется только в SYN пакетах. потому можно попробовать извратиться, сделав некое подобие PBR для них (если ваше железо позволит), завернув только SYN на какую-нить железку. там большая производительность не нужна...

 

осталось найти свитч, который умеет делать pbr для tcp.syn. я вот сходу не знаю такого

 

Кстати, ещё один вариант - попросить делать tcp_mss_adjust сам anti-ddos сервис

Share this post


Link to post
Share on other sites

осталось найти свитч, который умеет делать pbr для tcp.syn. я вот сходу не знаю такого

если не ошибаюсь то и на самом EX можно проматчить эти пакетики.

сейчас проверю в лабе.

 

сорри за скрин)

 

image.png

Edited by rdntw

Share this post


Link to post
Share on other sites

А L2TP они не умеют? Он как раз решает эту проблему намного более грамотно и не заставляет юзера перелопачивать всю его сеть в поисках - кому же понизить MSS и снять флаги DF. Да и вообще ничего не заставляет - юзай и радуйся :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.