[gorbunkul2]

День добрый, коллеги!

 

Мы небольшой оператор связи (ADSL), абонентов у нас мало (онлайн 1000), канал еле-еле загружается на 0.3Gbit/s.

Не так давно РКН всем нам (ну, тем кому повезло) расставила свои коробочки проверки фильтрации "Ревизор" на основе TP-Link MR3020. С этого момента началась такая вот аномалия в загрузке 7206-NPE-G2, начинается в 3 ночи, длится час, иногда чуть дольше, но - каждый день:

 

 

сразу приведу sh proc cpu sort при такой нагрузке

============== sh proc cpu sort ==================

CPU utilization for five seconds: 67%/65%; one minute: 71%; five minutes: 69%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
  5    52690924     2847362      18505  0.95%  0.62%  0.83%   0 Check heaps
298    10529044    57740459        182  0.15%  0.14%  0.15%   0 BGP Router
 89     6920864    83013990         83  0.15%  0.12%  0.12%   0 IP Input
297     6348324    22088730        287  0.07%  0.19%  0.17%   0 OSPF-10 Router
285     1819180    24132166         75  0.07%  0.02%  0.00%   0 BGP Task
143     7298464    15822126        461  0.07%  0.12%  0.11%   0 IP RIB Update
276      104008     4288390         24  0.07%  0.07%  0.07%   0 Per-Second Jobs
245       20900   262678806          0  0.07%  0.05%  0.06%   0 ISG MIB jobs Man
215        2780     4282822          0  0.07%  0.00%  0.00%   0 Crypto IKEv2
200     2337940    43190380         54  0.07%  0.03%  0.02%   0 BGP I/O
172      713720     8537281         83  0.07%  0.01%  0.00%   0 IPv6 RIB Event H
156       33944    35943794          0  0.07%  0.05%  0.05%   0 TCP Timer
151       17624     5827089          3  0.07%  0.01%  0.00%   0 CEF: IPv4 proces
281      490032     7619702         64  0.07%  0.01%  0.00%   0 IPv6 Input
 59        1700     1276261          1  0.07%  0.00%  0.00%   0 HC Counter Timer

или

CPU utilization for five seconds: 71%/70%; one minute: 72%; five minutes: 70%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
297     6082620    21124797        287  0.15%  0.13%  0.15%   0 OSPF-10 Router
285     1777528    23390857         75  0.07%  0.03%  0.02%   0 BGP Task
298    10251460    55914903        183  0.07%  0.18%  0.19%   0 BGP Router
276      100572     4115592         24  0.07%  0.07%  0.07%   0 Per-Second Jobs
172      687544     8227457         83  0.07%  0.01%  0.00%   0 IPv6 RIB Event H
118       11360   125327007          0  0.07%  0.02%  0.01%   0 IPAM Manager
 88       30548   125327106          0  0.07%  0.04%  0.05%   0 IP ARP Retry Age
 22          76      822642          0  0.07%  0.00%  0.00%   0 IPC Event Notifi
 89     6644224    79884221         83  0.07%  0.11%  0.12%   0 IP Input
245       20304   252091551          0  0.07%  0.05%  0.06%   0 ISG MIB jobs Man
 11        8352     4282243          1  0.00%  0.00%  0.00%   0 ARP Background
 10      391508     2990763        130  0.00%  0.00%  0.00%   0 ARP Input

или

CPU utilization for five seconds: 84%/77%; one minute: 73%; five minutes: 70%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
  5    53786484     2906330      18506  5.11%  1.29%  0.99%   0 Check heaps
298    10711984    58762051        182  0.31%  0.18%  0.19%   0 BGP Router
143     7443700    16100258        462  0.15%  0.11%  0.12%   0 IP RIB Update
 89     7077188    84658454         83  0.15%  0.11%  0.10%   0 IP Input
156       34672    36640557          0  0.15%  0.06%  0.07%   0 TCP Timer
297     6493436    22555095        287  0.07%  0.16%  0.16%   0 OSPF-10 Router
151       18020     5944525          3  0.07%  0.02%  0.00%   0 CEF: IPv4 proces
276      106660     4374799         24  0.07%  0.07%  0.07%   0 Per-Second Jobs
283        5484    17477314          0  0.07%  0.00%  0.00%   0 MLD
285     1850656    24555989         75  0.07%  0.02%  0.01%   0 BGP Task
245       21328   267964627          0  0.07%  0.05%  0.07%   0 ISG MIB jobs Man
200     2382160    43940336         54  0.07%  0.03%  0.04%   0 BGP I/O

 

Немного о схеме сети. Напишу текстом, если будет непонятно, нарисую. От коробочки РКН до 7206 всё выглядит вот так:

 

(коробочка 192.168.0.x) - (FreeBSD 1.1.1.11 quagga/NAT) - [коммутатор 3750g-serv]

(FreeBSD 1.1.1.13 squid/quagga) - [коммутатор 3750g-serv]

[коммутатор 3750g-serv] - [коммутатор 6506] - (7206 1.1.1.15 BGP)

[коммутатор 6506] - (BGP UPLINK)

 

Схема фильтрации обычная, 1.1.1.13 качает реестр, парсит, фильтруемые IP вносит в локальную BGP AS, в которой участвует 1.1.1.11 (и клиентские NAS), URL-ы вносятся в squid.

 

Что происходит на портах? А на портах происходит странное. Вот порт FreeBSD 1.1.1.11:

 

 

В районе 3х часов - практически тишина.

 

А вот на порту сервера фильтрации FreeBSD 1.1.1.13 squid начинается интересное:

 

 

Пик формы ровно такой же, как и у графика процессора 7206.

 

И у самого 7206 на основном аплинке картина примерно такая же:

 

 

Еще у 7206 есть интерфейс Gi0_2.249, через этот интерфейс между 7206 и другими марщшрутизаторами работает OSPF, и у 1.1.1.13 default gw находится в VLAN249. Вот что на нём:

 

 

Теперь текстовая часть. Что мы имеем в логах:

 

Возьмем сайт из реестра fonbetsport.com (там разные URL, в том числе https) с адресом 104.27.153.119 и другими, в логах squid такая запись:

 

1471135460.071    360 1.1.1.11 TCP_MEM_HIT_ABORTED/200 4188 GET http://fonbetsport.com/ru/ - HIER_NONE/- text/html

дальше в netflow с 7206 видим:

 

Sif  SrcIPaddress     Dif  DstIPaddress      Pr SrcP DstP  Pkts       Octets        
000a      1.1.1.13    000b 104.27.153.119    06 faf5 1bb   3153       126120         
000a      1.1.1.13    000b 104.27.153.119    06 3e15 1bb   1431       57240          
000a      1.1.1.13    000b 104.27.153.119    06 faf5 1bb   3258       130320     
000a      1.1.1.13    000b 104.27.153.119    06 fbe4 1bb   3424       136960        
000a      1.1.1.13    000b 104.27.153.119    06 fb9e 1bb   2013       80520           

 

Здесь интерфейс 0a = Gi0/2.249, интерфейс 0b = Gi0/2.1827, а порт, как мы видим, 443.

 

На фильтрующем сервере для фильтрации https squid собран и работает с ssl_crtd - это что, от него такой исходящий трафик? Но почему этот исходящий трафик даёт такую загрузку процессора 7206?

[Atlant]

Если бы 7200 у вас натила тогда бы ещё понятно было, что много новых сессий в секунду её нагибают.

 

В любом случае порежьте коробочке скорость 1, 2 или 10 мбит/с

[mikezzzz]

по мбпс понятно, а пакетов много валится в это время?

show ip cef switching statistics

show cef drop

show cef not-cef-switched

Изменено 19 августа, 2016 пользователем mikezzzz

[gorbunkul2]

по мбпс понятно, а пакетов много валится в это время?

 

пакетов что-то очень много, судя по netflow. тысячи на каждый адрес.

 

show ip cef switching statistics

show cef drop

show cef not-cef-switched

 

завтра покажу, что в этих командах ночью происходит.

[mikezzzz]

пакетов что-то очень много, судя по netflow. тысячи на каждый адрес.

нарисуйте график по pps на соответствующих интерфейсах, я конечно сомневаюсь, но вдруг там полка по pps ))

[gorbunkul2]

По графикам pps полки нет, максимум на общем интерфейсе Gi0/2 120k pps, на субинтерфейсе к аплинку максимум 60k pps.

 

 

 

в 1 ночи:

 

============== show ip cef switching statistics ==================

Path   Reason                          Drop       Punt  Punt2Host
RP LES Packet destined for us             0   26137644          0
RP LES IP redirects                       0          0          2
RP LES Neighbor resolution req            4         95          0
RP LES Total                              4   26137739          2

RP PAS Packet destined for us             0   26137644         61
RP PAS No adjacency                   17998          0          0
RP PAS Incomplete adjacency        15613568          0          0
RP PAS TTL expired                        0          0   57846066
RP PAS IP options set                     0          0       6348
RP PAS Routed to Null0            133794493          0   19286708
RP PAS Features                      116436          0       6682
RP PAS IP redirects                       0          0      15364
RP PAS Unclassified reason              561          0          0
RP PAS Neighbor resolution req      1016694          0          0
RP PAS Total                      150559750   26137644   77161229

All    Total                      150559754   52275383   77161231
============== show cef drop ==================

% Command accepted but obsolete, see 'show (ip|ipv6) cef switching statistics [feature]'

IPv4 CEF Drop Statistics
Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj  ChkSum_Err
RP             0           0    57874558           0       17998           0
IPv6 CEF Drop Statistics
Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj
RP             0           0           0           0           0
============== show cef not-cef-switched ==================

% Command accepted but obsolete, see 'show (ip|ipv6) cef switching statistics [feature]'

IPv4 CEF Packets passed on to next switching layer
Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access     Frag
RP         0       0    57874569    15366 52275519     6348     6682        0
IPv6 CEF Packets passed on to next switching layer
Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access      MTU
RP         0       0     8177895        0   164617        0        0        0

 

 

в 3 ночи:

 

============== show ip cef switching statistics ==================


Path   Reason                          Drop       Punt  Punt2Host
RP LES Packet destined for us             0   26166468          0
RP LES IP redirects                       0          0          2
RP LES Neighbor resolution req            4         95          0
RP LES Total                              4   26166563          2

RP PAS Packet destined for us             0   26166468         61
RP PAS No adjacency                   18021          0          0
RP PAS Incomplete adjacency        15629312          0          0
RP PAS TTL expired                        0          0   57926135
RP PAS IP options set                     0          0       6348
RP PAS Routed to Null0            134258274          0   19318014
RP PAS Features                      116497          0       6688
RP PAS IP redirects                       0          0      15365
RP PAS Unclassified reason              561          0          0
RP PAS Neighbor resolution req      1018381          0          0
RP PAS Total                      151041046   26166468   77272611

All    Total                      151041050   52333031   77272613
============== show cef drop ==================

% Command accepted but obsolete, see 'show (ip|ipv6) cef switching statistics [feature]'

IPv4 CEF Drop Statistics
Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj  ChkSum_Err
RP             0           0    57954646           0       18021           0
IPv6 CEF Drop Statistics
Slot  Encap_fail  Unresolved Unsupported    No_route      No_adj
RP             0           0           0           0           0
============== show cef not-cef-switched ==================

% Command accepted but obsolete, see 'show (ip|ipv6) cef switching statistics [feature]'

IPv4 CEF Packets passed on to next switching layer
Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access     Frag
RP         0       0    57954686    15367 52333161     6348     6688        0
IPv6 CEF Packets passed on to next switching layer
Slot  No_adj No_encap Unsupp'ted Redirect  Receive  Options   Access      MTU
RP         0       0     8191681        0   164873        0        0        0

 

А размер этих тысяч пакетов там 40 и 52 байт:

 

# Pkt Size  flows                 octets                packets
#
40          1850                  651505445             16280775
52          1646                  517856543             9955750
51          5                     722828                13907
41          23                    399213                9631

 

что со своей стороны подтверждает tcpdump, показывая много пакетов нулевой длины:

 

03:07:07.750247 IP 104.18.63.16.https > filter2.22223: Flags [F.], seq 0, ack 1, win 1026, length 0
03:07:07.750258 IP filter2.22223 > 104.18.63.16.https: Flags [F.], seq 1, ack 1, win 1026, length 0
03:07:07.750262 IP 104.28.12.39.https > filter2.46610: Flags [F.], seq 0, ack 1, win 1026, length 0
03:07:07.750273 IP filter2.46610 > 104.28.12.39.https: Flags [F.], seq 1, ack 1, win 1026, length 0
03:07:07.750277 IP 104.28.12.39.https > filter2.46610: Flags [F.], seq 0, ack 1, win 1026, length 0
03:07:07.750288 IP filter2.46610 > 104.28.12.39.https: Flags [F.], seq 1, ack 1, win 1026, length 0
03:07:07.750291 IP 104.20.37.25.https > filter2.47625: Flags [F.], seq 0, ack 1, win 1026, length 0
03:07:07.750303 IP filter2.47625 > 104.20.37.25.https: Flags [F.], seq 1, ack 1, win 1026, length 0

[YuryD]

Что-то не там ищете. Моя коробочка лежит в нашей офисной локалке, никакого аномального трафика от неё не замечено. Она понятно за натом, куда-то лазит, но никаких траблем с трафиком я не заметил. По https куда-то лазит, к нашему dns, куда-то более может быть, не напрягает. Может вы ей реальник дали, и его трахают извне ?

[gorbunkul2]

пакеты не от коробочки, а от squid'а c ssl_crtd.

[Butch3r]

Что-то не там ищете. Моя коробочка лежит в нашей офисной локалке, никакого аномального трафика от неё не замечено. Она понятно за натом, куда-то лазит, но никаких траблем с трафиком я не заметил. По https куда-то лазит, к нашему dns, куда-то более может быть, не напрягает. Может вы ей реальник дали, и его трахают извне ?

а мы ей на порту 10ку линк включили, как в ТЗ написано :)

[vurd]

Нам вот не дают коробочку, предлагают образ виртуалки. Не то что бы она была мне очень сильно нужна..

[snvoronkov]

Нам вот не дают коробочку, предлагают образ виртуалки. Не то что бы она была мне очень сильно нужна..

Дык, пишите, что не имеете технической возможности поставить образ. Дадут коробочку.

Нам с третьего письма таки дали. :-)

[Antares]

Нам вот не дают коробочку, предлагают образ виртуалки. Не то что бы она была мне очень сильно нужна..

Дык, пишите, что не имеете технической возможности поставить образ. Дадут коробочку.

Нам с третьего письма таки дали. :-)

А нам не дали коробочку, сказали кончились )))

[snvoronkov]

А нам не дали коробочку, сказали кончились )))

Там у них написано, что должны коробочку дать, которая тестировать будет. Про софт в виртуалку вообще нигде ничего нет. На то и напирайте. Раз кончились, два кончились... А потом или шах сдохнет или ишак. То-есть, или коробочки таки появятся, или их уже совсем не надо будет. :)

[Antares]

А нам не дали коробочку, сказали кончились )))

Там у них написано, что должны коробочку дать, которая тестировать будет. Про софт в виртуалку вообще нигде ничего нет. На то и напирайте. Раз кончились, два кончились... А потом или шах сдохнет или ишак. То-есть, или коробочки таки появятся, или их уже совсем не надо будет. :)

А зачем напирать? Ну нет и нет...

[gorbunkul2]

по теме: перевел фильтрацию на другой сервер, явление множества пакетов и загрузки маршрутизатора ушло.

[myth]

53 порт закрыт извне? И для коробки, и для сервера?

[gorbunkul2]

53 порт закрыт извне? И для коробки, и для сервера?

коробка за NAT-ом, на сервере никто 53 порт не слушает.

[myth]

Число соединений может ей порезать?

 

С conntrack как?

[gorbunkul2]

Число соединений может ей порезать?

 

С conntrack как?

пишу же, что проблема ушла с переводом фильтрации на новый сервер. не знаю, то ли squid так работал, то ли что.

в скором времени попробую старый снова ввести в строй, обновить там всё и посмотреть, как что будет.

[stalker86]

ради интереса пособирайте трафик, вылетающий со сквида трафик и посмотрите в том же wireshark что там внутри