faq обучение настройка
Текущее время: Пн июл 28, 2025 12:54

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
СообщениеДобавлено: Пт фев 26, 2010 23:01 
Не в сети

Зарегистрирован: Ср окт 03, 2007 20:14
Сообщений: 57
Привет.
Имеется два DFl-1600. Между ними поднят IPSec.
Локальные сети в обоих офисах 100 Mbt.
Наблюдается следующая картина:
Скорость исходящего трафика с компьютеров с сетевыми картами 1Gb на аналогичные - 20 кб\с
Скорость исходящего трафика с компьютера с сетевой картой 100 Mbt - 300-500 кб\с
Отмечу, что разговор идет про копирование в шару, т.е. netbios over tcp\ip. Через FTP скорость нормальная.

Замечено, что если на гигабитной сетевой отключить аппаратное сегментирование пакетов (Task offload\send offload), то скорость возрастает до максимальной пропускной.

Прыгание со снифером не показало никаких патологий. Разве что при включенном аппаратном сегментировании отправляется больше пакетов размером близким к MTU (1450 Bt), с софтверным сегментированием больше пакетов мелких и средних размеров. Никаких флагов URG, PSH ... и т.д. нет

На свичах в мониторах портов Rx\TX ошибок нет.

Скорость по локлаьной сети 11 Мб\с, проблем нет.

Ради эксперемента поставил вместо одной из DFL - Cisco с теми же параметрами шифрации и MTU - проблем со скоростью нет. Т.е. проблема проявляется в связке двух DFL.

В саппорт писал, но проблемы не решили. Тогда я удовлетворился выключением на серверах Send offload.

Может кто то встречался с этим?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб фев 27, 2010 12:46 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Не встречался с такой проблемой. Весьма загадочно.

dreem2001 писал(а):
.. если на гигабитной сетевой отключить аппаратное сегментирование пакетов (Task offload\send offload),
Я всегда считал это разгрузкой CPU от задач обработки сетевых пакетов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб фев 27, 2010 16:33 
Не в сети

Зарегистрирован: Пт июн 06, 2008 13:41
Сообщений: 33
Откуда: Ryazan
1) На туннеле поставьте МТУ поменьше. У Вас сейчас сколько стоит?
2) Посмотрите логи, может что-то не нравиться с шифрованием и туннель постоянно переустанавливается
3) Попробуйте IPERF погонять пакеты с разной длиной по туннелю. Посмотрите, какие пакеты с какой скоростью ходят. Когда мы тестировали, скорость была около 9-9,7 мегабайта/с по туннелю с 3ДЕС.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Сб фев 27, 2010 18:51 
Не в сети

Зарегистрирован: Ср окт 03, 2007 20:14
Сообщений: 57
YuriAM писал(а):
Не встречался с такой проблемой. Весьма загадочно.

dreem2001 писал(а):
.. если на гигабитной сетевой отключить аппаратное сегментирование пакетов (Task offload\send offload),
Я всегда считал это разгрузкой CPU от задач обработки сетевых пакетов.


Я ведь так и сказал. Аппаратное - чип на сетевушке, софтверное - CPU.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб фев 27, 2010 18:56 
Не в сети

Зарегистрирован: Ср окт 03, 2007 20:14
Сообщений: 57
vkropotov писал(а):
1) На туннеле поставьте МТУ поменьше. У Вас сейчас сколько стоит?
2) Посмотрите логи, может что-то не нравиться с шифрованием и туннель постоянно переустанавливается
3) Попробуйте IPERF погонять пакеты с разной длиной по туннелю. Посмотрите, какие пакеты с какой скоростью ходят. Когда мы тестировали, скорость была около 9-9,7 мегабайта/с по туннелю с 3ДЕС.


О чем я думал...
Поумолчанию стоит 1420 MTU. Игрался с MTU на своей стороне - результатов не давало. Вы мне напомнили, я поставил MTU поменьше на удаленной стороне. Скорость взлетела до максимума. Спасибо за идею!

Смотрю в снифер - размеры пакеты в тех же пропорциях.
Собственно в чем была проблема? У провайдера удаленного офиса такая особенность?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 01, 2010 10:52 
Не в сети

Зарегистрирован: Пт июн 06, 2008 13:41
Сообщений: 33
Откуда: Ryazan
Эту тайну Вам никто не скажет. У нас в определенный момент на белом статическом IP перестал подниматься туннель до Москвы. Причем на 2 провайдере поднимается, а на этом нет. Пока NAT Traversal не поставили, не поднимался. Потом опять перестал пока NAT Traversal не убрали. Теперь все работает без него. ))


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 01, 2010 15:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
vkropotov писал(а):
Эту тайну Вам никто не скажет. У нас в определенный момент на белом статическом IP перестал подниматься туннель до Москвы. Причем на 2 провайдере поднимается, а на этом нет. Пока NAT Traversal не поставили, не поднимался. Потом опять перестал пока NAT Traversal не убрали. Теперь все работает без него. ))



Скажите спасибо провайдеру

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 01, 2010 16:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
dreem2001 писал(а):
vkropotov писал(а):
1) На туннеле поставьте МТУ поменьше. У Вас сейчас сколько стоит?
2) Посмотрите логи, может что-то не нравиться с шифрованием и туннель постоянно переустанавливается
3) Попробуйте IPERF погонять пакеты с разной длиной по туннелю. Посмотрите, какие пакеты с какой скоростью ходят. Когда мы тестировали, скорость была около 9-9,7 мегабайта/с по туннелю с 3ДЕС.


О чем я думал...
Поумолчанию стоит 1420 MTU. Игрался с MTU на своей стороне - результатов не давало. Вы мне напомнили, я поставил MTU поменьше на удаленной стороне. Скорость взлетела до максимума. Спасибо за идею!

Смотрю в снифер - размеры пакеты в тех же пропорциях.
Собственно в чем была проблема? У провайдера удаленного офиса такая особенность?


Пакеты стали правилнее фрагменироваться.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 08:52 
Не в сети

Зарегистрирован: Ср окт 03, 2007 20:14
Сообщений: 57
Как это не прискорбно отмечать, но эффект был временный. Возможно эксперемент был не чистым, так как проверял уже вечером да в пятницу, когда канал исключительно свободен.

Исследуя дальше, я решил откреститься от IPSec и сопуствующих потенциальных проблем, заменил GRE канал. Проблема осталась и вполне воспроизводима.

Пойду изучать дальше.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 11:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Уменьшите MTU на клиенте и на сервере.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб мар 13, 2010 12:59 
Не в сети

Зарегистрирован: Ср окт 03, 2007 20:14
Сообщений: 57
Все же проблема была в MTU на IPSec канале. Уменьшение значения решает проблему с низкой скоростью прохождения пакетов через IPSec с включенным LSO или Task offload или, как ни назовут производители.

Вторая проблема была с провайдерским оборуованием, которое осложняло понимание проблемы. Время от времени какая то железка сильно сажала канал как раз по направлению между офисами, при том что остальной интернет отдавался нормально.
К удивлению сознались и починили.

Спасибо всем кто участвовал в треде.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 250


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB