Jump to content

Необъяснимые потери пакетов. Debian

lacost
 Share

Recommended Posts

lacost

lacost

Posted
Posted

Коллеги, столкнулись с необъяснимыми потерями пакетов на макете. Т.е. мы пока не смогли найти этому какое-либо внятное объяснение. Данная схема у нас годами работала, но на новой паре серверов видим странную картину.

 

Есть пара серверов, Debian на ядре 4.19.0-13-amd64. В каждом по паре сетевых карт Intel X520 (с последними драйверами)

Сервера между собой соединены гиговыми портами. 10Г линки - в коммутатор.

 

Два сервера. Задача 1-го - NAT клиентов которых не надо шейпить. Задача 2-го - NAT клиентов которых надо шейпить + непосредственно шейп.

 

Исходящий из сети трафик всегда заходит на сервер 1 интерфейс 1.1 на нем принимается решение (по src_ip) нужно ли этот трафик шейпить , и если нужно, трафик идет через интерфейс 1.3 на сервер 2 в интерфейс 2.4. При выходе с интерфейса 1.3 трафик шейпится. На сервере 2 происходит NAT и трафик через интерфейс 2.6 уходит в инет.

Вариант, где трафик не надо шейпить - работает нормально. Его не рассматриваем.

Входящий из инета приходит на сервер 2 интерфейс 2.6, проходит NAT и шейпясь, через 2.5 уходит во внутреннюю сеть.

 

NAT - iptables persistent, + часть клиентов с реальниками на картах с no_track

шейпинг tc qdisc htb

 

Далее последовательность действий которая приводит к 100% исходу.

 

тестовый клиент - ноут с реальным ip на сетевой карте. 

Если не включаем шейпинг - все ходит.

Включаем шейпинг на исходящий трафик (интерфейс 1.3) на уровне 6Мбит/сек и смотрим ролик с HD-видео.

Начинаем пинговать реальный интерфейс тестового ноута большими пакетами -s 3000 с граничного маршрутизатора.

Видео - ОК, пинги в норме.

Начинаем  наливать в эту связку (сервера 1 и 2) трафик от реальных пользователей на 3-5 ГБит/сек

 

Через некоторе время, не сразу (от 30 сек до нескольких минут) начинают теряться пинги. Потери идут пачками 10-15 пакетов потерялись, потом опять проходят.

 

Убрали tc c интерфейса 1.3 - потери пропали.

 

Теперь про потери. tcpdump на сервере 2 интерфейсах 2.5 и 2.6 смотрим icmp от хоста источника пингов и хост назначения пингов. Штатно вижу реквест пакет на 2.6 и реквест пакет на 2.5 и реплай пакет на 2.6  

Как начинаются потери - я все еще вижу реквест пакеты на интерфейс 2.6 но дальше - ничего. на 2.5 я их уже не вижу.

Добавляли -j LOG во все (raw, mangle, filter, nat ) цепочки iptables. Как только начинаются потери пингов - так и в логах прекращаются новые записи. Пакет просто растворяется. Я даже не представляю куда он пропадает.

 

У меня есть единственное объяснение данному эффекту: между сервером 1 и 2 есть какая-то связь, которая появилась в новых дистрибутивах/ядрах, которая при повышенной нагрузке как-то уведомляет соседей о перегрузке линка? Для меня вообще не понятна связь между установкой tc qdisc дисциплины на одном сервере, что влечет за собой сбой в маршрутизации пакетов на другом сервере.

 

Или я чего-то упускаю?

 

Что это может быть?

photo_2021-03-22 12.42.00.jpeg

lacost

lacost

Posted
  • Author
Posted
3 часа назад, Sacrament сказал:

А между 1.3 и 2.4 гигабитный интерфейс?

Да, но там только исходящий из 1.3 в 2.4 и нагрузка там 5-10% от входящего. Перегруза там нет. 

rm_

rm_

Posted
Posted
7 hours ago, lacost said:

между сервером 1 и 2 есть какая-то связь, которая появилась в новых дистрибутивах/ядрах, которая при повышенной нагрузке как-то уведомляет соседей о перегрузке линка?

Этого же самого линка? Ну этож широко известный Flow Control.

Советы разнятся от выключать везде, до включать везде. В качестве универсального можно применить "переключите на по-другому чем щас".

Другого линка, каких-то линков "вообще"? Нет такого.

dr Tr0jan

dr Tr0jan

Posted
Posted
40 minutes ago, rm_ said:

Советы разнятся от выключать везде, до включать везде.

Если это оно, то надо понимать, как оно работает. Иногда, это не оно.

Ivan_83

Ivan_83

Posted
Posted

По моему мнению Flow Control фича исключительно для клиентских портов, ибо просить "заткнутся не надолго" сервер/роутер, особенно со стороны клиента не очень умно.

lacost

lacost

Posted
  • Author
Posted

 

Про Flow Control понял. проверим.

 

 А вот здесь вообще не понял:

10 часов назад, rm_ сказал:

В качестве универсального можно применить "переключите на по-другому чем щас".

Другого линка, каких-то линков "вообще"? Нет такого.

 

rm_

rm_

Posted
Posted
2 hours ago, lacost said:

В качестве универсального можно применить "переключите на по-другому чем щас".

Это продолжение по Flow Control, о том что с ним сделать. :)

Обычно рекомендуют выключать, но здесь же на форуме помню какую-то проблему с потерями или низкой скоростью, которая решилась включением.

 

2 hours ago, lacost said:

Другого линка, каких-то линков "вообще"? Нет такого.

Речь о том, что помимо Flow Control других механизмов которыми сервер может сообщать другому о загрузке его интерфейсов - нет.

lacost

lacost

Posted
  • Author
Posted (edited)

Насильно отключаем Flow Control на всех интерфейсах 

ethtool -A eno1 autoneg off rx off tx off

 

Начинаем наливать трафик

 

Через некоторое время - опять потери.

 

смотрю по всем интерфейсам статистику по отправке  

#ethtool -S eno1 | grep flow
     rx_flow_control_xon: 0
     rx_flow_control_xoff: 0
     tx_flow_control_xon: 0
     tx_flow_control_xoff: 0

В tcpdump не вижу никакого служебного трафика, везде пустота.  

tcpdump -nni any ether proto 0x8808
tcpdump -nni any not ip and not arp

 

 

снимаем шейпер с исходящего (Сервер 1) - потери прекращаются.

 

ПС. Небольшое дополнение к схеме. Сейчас работаем с линком 1.3 - 2.4 в Bond'е 2х1Ge с каждой стороны.

 

Edited by lacost
lacost

lacost

Posted
  • Author
Posted

Сделали апгрейд соединения 1 .3 - 2.4 на 10GE

 

Вообще ничего не изменилось. Все так же. Включаем tc на Сервер 1 - начинаются потери на Сервер 2

 

До этого проверяли направление из интернета в локалку - после включения tc на "Сервер 1" - "Сервер 2" перестает форвардить эти ICMP.

 

Решили изменить направление теста. Тестируем из локалки в инет. Пакет пролетает через Сервер1, приходит на Сервер2 и там пропадает. 

 

Трафика между Сервер1 и Сервер2 кроме IPv4 и ARP в tcpdump не видно.

 

При этом, параллельно с запущенным пингованием длинными (3000) пакетами iperf работает и показывает заявленную (6 Мбит/сек) скорость. Т.е. эффект заметен только на фрагментированных пакетах. Пинг 1472 еще проходит, выше - нет.

 

Может быть при включении tc на Сервер1 начинают как-то маркироваться пакеты, и Сервер2 принимает решение прекратить маршрутизацию?

Или может быть Сервер 2 начинает собирать части в большой пакет и он не проходит?   

h3ll1

h3ll1

Posted
Posted (edited)
On 3/22/2021 at 12:38 PM, lacost said:

kоллеги, столкнулись с необъяснимыми потерями пакетов

Вот и понадобился админ. :)

16 hours ago, vurd said:

Замените tc на ipt_ratelimit

замените на nft (nftables)

Edited by h3ll1
lacost

lacost

Posted
  • Author
Posted
В 25.03.2021 в 08:32, vurd сказал:

Замените tc на ipt_ratelimit

Заменили. Волшебство в действии.

Вместо 2х серверов, те же задачи тащит один сервер.

Поставили в боевой тест.

 

@vurd - спасибо за наводку. 

 

vurd

vurd

Posted
Posted
В 30.03.2021 в 08:40, lacost сказал:

Заменили. Волшебство в действии.

Вместо 2х серверов, те же задачи тащит один сервер.

Поставили в боевой тест.

 

@vurd - спасибо за наводку. 

 

Пицот!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.