sol Опубликовано 10 октября, 2012 · Жалоба Ядра менялись. Сейчас - 3.5.6-1.fc17.i686 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mmv980 Опубликовано 11 октября, 2012 · Жалоба А если настройками BGP сделать так, чтобы весь трафик шел через один бордер, генерация арп запросов прекратится? Возможно, установлены какие-то опции ядра или ната, которые заставляют посылать ответ, в тот же интерфейс с которого пришел запрос. Например, если я правильно понимаю описание, icmp_errors_use_inbound_ifaddr <> 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 11 октября, 2012 · Жалоба Дык, можно и два дефолта написать с разными метриками. Да хоть-бы и с одной. Это затыкает фонтан. Хоть и роняет отказоустойчивость. Схема-то собиралась в целях резервирования бордеров... Тут вопрос: в чем причина такого поведения ? Возможно, установлены какие-то опции ядра или ната, которые заставляют посылать ответ, в тот же интерфейс с которого пришел запрос. Ничего такого, насколько я понимаю опции. [root@nat /]# sysctl -a | grep icmp_errors_use_inbound_ifaddr net.ipv4.icmp_errors_use_inbound_ifaddr = 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mmv980 Опубликовано 11 октября, 2012 · Жалоба Если у вас 2 бордера и сервер с нат соединены каждый с каждым то блокировка одного из линков с помощью манипуляций на уровне bgp не должна сказатся на отказоустойчивости, или я что-то недопонимаю? А как настроен нат? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 11 октября, 2012 · Жалоба Схема как схема... Она ДОЛЖНА работать. И надо решить проблему а не обойти ее. Если весь трафик пойдет через один бордер, то, да, это решит текущую проблему, но породит другие. Например, перегрузку 100 мбит линков на бордерах. Нат настроен обыкновенно. Как то так: iptables -t nat -L -n -v поскипано... 214 11586 SNAT all -- * * 10.173.0.0/24 0.0.0.0/0 to:195.54.177.224 3447K 284M SNAT all -- * * 10.173.1.0/24 0.0.0.0/0 to:195.54.177.224 132K 14M SNAT all -- * * 10.173.3.0/24 0.0.0.0/0 to:195.54.177.224 поскипано... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 12 октября, 2012 · Жалоба Если ядро скомпилено с tracers на функции можно повесить systemtap и посмотреть что твориться. Иначе сплошное гадание.. Возможно проблема даже не в том что оно не видит что route не direct connected. Есть возможность? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 13 октября, 2012 · Жалоба Трабл разрешился, за что огромное спасибо Алексею Кузнецову, одному из авторов сетевого стека в линуксе. Это баг ядра, патч создан и принят в -stable. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 13 октября, 2012 · Жалоба Оно? http://git.kernel.org/?p=linux/kernel/git/torvalds/linux.git;a=commitdiff;h=4c67525849e0b7f4bd4fab2487ec9e43ea52ef29 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 13 октября, 2012 · Жалоба оно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 15 октября, 2012 (изменено) · Жалоба о как... спасибо за инфу о проблеме - пригодится в очередной раз порадовался, что сижу на центосе, а нужные патчи перетягиваю сам :) Изменено 15 октября, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alkol Опубликовано 6 сентября, 2013 · Жалоба Странно.. прошел год, кусок кода из патча в ядре 3.10 есть. А проблема с ARP реквестами похоже не исчезла. Недавно решил опробовать Linux в качеств бордера и столкнулся с проблемой, описанной автором топика. Пробовал ядра 3.3.8 и 3.10. Есть ли другие идеи или лекарства? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 7 сентября, 2013 · Жалоба Не не не! Ядро 3.9.10 проблемы нет. Вот прямо сейчас нет. Это проявлялось только при ассиметричном роутинге. Стоило только убрать ассиметрию - всё тут-же прекращалось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alkol Опубликовано 7 сентября, 2013 · Жалоба Так вот я про то же , стоит убрать ассиметрю - все отлично. Как только поднимаю бгп сессию на второго провайдера - ARP запросы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 8 сентября, 2013 (изменено) · Жалоба Ядра менялись. Сейчас - 3.5.6-1.fc17.i686 Пробовал ядра 3.3.8 Вывод неутешителен. В 3.3.8 ещё нет этого патча. В 3.5.7.2 -stable вроде появился. Так что [root@nat ~]# uname -a Linux nat.deltelecom.ru 3.9.10-100.fc17.i686 #1 SMP Sun Jul 14 01:40:11 UTC 2013 i686 i686 i386 GNU/Linux Ворк Файн! Тут теперь новая напасть. GRE сломали... https://bugzilla.red...g.cgi?id=997949 Изменено 8 сентября, 2013 пользователем sol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alkol Опубликовано 8 сентября, 2013 (изменено) · Жалоба Похоже ядро теперь совсем не выбрать :) sol, подскажите. О том ли мы патче говорим http://git.kernel.org/?p=linux/kernel/git/torvalds/linux.git;a=commitdiff;h=4c67525849e0b7f4bd4fab2487ec9e43ea52ef29 (указан в сообщении #33) ? Открыв дебиановские сорцы ядра 3.2, вижу, что кусок из указанного патча уже там. Может не то ищу ?:) Изменено 8 сентября, 2013 пользователем alkol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 8 сентября, 2013 (изменено) · Жалоба Ну да, об том. Там даже я указан... As reported by Sergey Soloviev <sol at eqv.ru> Вообще, гавна была внесена вот этим патчем. After commit e2446eaa ("tcp_v4_send_reset: binding oif to iif in no sock case") Он есть во французских сырцах? А так - воспользуйтесь, как и я, приимуществами Open Source подхода. Багрепортите и будет вам счастье. Починят сравнительно быстро. Изменено 8 сентября, 2013 пользователем sol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 сентября, 2013 · Жалоба С арпом везде плохо, если хорошо присмотреться :) Может RP фильтр ещё влияет на проблемы с асимметрией... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alkol Опубликовано 9 сентября, 2013 · Жалоба Ох, извиняйте мою невнимательность. патч действительно помогает. Дело в том, что одна машина вроде как трудилась с одной БГП сессией, а на второй я проводил эксперименты с ядрами. Так вот, после патча ядра , подняв все сессии я видел арп реквесты с непатченной машины. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...