Jump to content

Посоветуйте железку для модификации MSS

dimsmain
 Share

Recommended Posts

dimsmain

dimsmain

Posted
Posted (edited)

У нас в качестве сетевого оборудования используются свичи juniper ex*

Подключили мы тут защиту от qrator и в связи с особенностью у них, необходимо делать модификацию MSS для исходящего трафика (входящий идет через qrator исходящий через ДЦ), ex* это делать не умеют.

Покупать MX только ради этой функции не очень разумно.

Посоветуйте, пожалуйста, железку от 8 гигабитных ethernet-портов, которая бы могла переваривать 4Gbps исходяшего трафика (300-500k pps) и модифицировать tcp mss для всех пакетов, которые там проходят, желательно с возможностью роста.

Edited by dimsmain
s.lobanov

s.lobanov

Posted
Posted

Если серверов не много, то просто занизьте MTU на них. Я не видел дешёвых свитчей, умеющих это делать, а роутеры на 4G это дорого, разве что сервер с linux

dimsmain

dimsmain

Posted
  • Author
Posted

Если серверов не много, то просто занизьте MTU на них. Я не видел дешёвых свитчей, умеющих это делать, а роутеры на 4G это дорого, разве что сервер с linux

серверов много + есть не под нашим управлением где физически этого не сделать.

> а роутеры на 4G это дорого

Можете сказать примерный уровень цен ?

Спасибо.

NiTr0

NiTr0

Posted
Posted

mss меняется только в SYN пакетах. потому можно попробовать извратиться, сделав некое подобие PBR для них (если ваше железо позволит), завернув только SYN на какую-нить железку. там большая производительность не нужна...

zi_rus

zi_rus

Posted
Posted

Надо учитывать, если мту там просто дефолтный то можно и занизить, но если там выкручено до 9к чтобы оптимизировать локальный pps, то занижение mtu может проблем еще принести, не обязательно и не сейчас, но возможно

 

По-моему правильней попробовать устранить источник проблемы, транспорт должен давать стандартный мту 1500

s.lobanov

s.lobanov

Posted
Posted

По-моему правильней попробовать устранить источник проблемы, транспорт должен давать стандартный мту 1500

 

источник проблемы устранить невозможно. ddos-защиты это внешние сервисы, с которыми надо поднимать тунель, дальше сам понимаешь. я уже давно заметил, что многие сервисы занижают mss, потому что активно используют тунели

не, ну можно конечно сейчас начать говорить про заказ l2/l3-vpn до antiddos-сервисы, но зачастую это невозможно на практике или будет стоить ещё дороже, чем сама ddos-защита

 

Можете сказать примерный уровень цен ?

 

я не знаю какие у вас скидки от gpl, поэтому сказать по ценам не могу. б/у можете посмотреть на nag или ebay. вам нужна железка, которая маркетингов позиционируется как роутер, а не как свитч

 

mss меняется только в SYN пакетах. потому можно попробовать извратиться, сделав некое подобие PBR для них (если ваше железо позволит), завернув только SYN на какую-нить железку. там большая производительность не нужна...

 

осталось найти свитч, который умеет делать pbr для tcp.syn. я вот сходу не знаю такого

 

Кстати, ещё один вариант - попросить делать tcp_mss_adjust сам anti-ddos сервис

rdntw

rdntw

Posted
Posted (edited)

осталось найти свитч, который умеет делать pbr для tcp.syn. я вот сходу не знаю такого

если не ошибаюсь то и на самом EX можно проматчить эти пакетики.

сейчас проверю в лабе.

 

сорри за скрин)

 

image.png

Edited by rdntw
  • 1 month later...
pavel.odintsov

pavel.odintsov

Posted
Posted

А L2TP они не умеют? Он как раз решает эту проблему намного более грамотно и не заставляет юзера перелопачивать всю его сеть в поисках - кому же понизить MSS и снять флаги DF. Да и вообще ничего не заставляет - юзай и радуйся :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.