PrAW Опубликовано 19 Апреля 2018 Жалоба Поделиться Опубликовано 19 Апреля 2018 Наблюдается некоторая мистика с доступностью сети. У нас удаленный филиал, получаем доступ к координатору через довольно длинный сегмент интернета, время полёта пакетов примерно 90 мс. Но в случае фрагментации пакетов пинги резко увеличиваются в 20-30 раз при доступе к ресурсам защищенной сети за координатором. Проверяю канал пингом с указываемым размером пакета, опцию "не фрагментировать" не ставлю. Кто сталкивался с похожей ситуацией? Приложена схема со сценариями. Сценарий 1 - пинг из защищенной сети до внешнего IP координатора. Размер пакетов до 1307 байт (ping -l 1307 99.99.99.99) - пинг 95 мс Размер пакетов 1308 - 1407 - пинг резко увеличивается - первый пакет пролетает примерно за 1000 мс, второй почти ровно 2000 мс, остальные по 2000. Обмен пакетами с 99.99.99.99 по с 1308 байтами данных: Ответ от 99.99.99.99: число байт=1308 время=1097мс TTL=46 Ответ от 99.99.99.99: число байт=1308 время=1998мс TTL=46 Размер пакетов более 1408 байт - пинг вырастает до 3300+ мс, четные пакеты не успевают возвращаться: Ответ от 99.99.99.99: число байт=1408 время=3444мс TTL=46Превышен интервал ожидания для запроса. Ответ от 99.99.99.99: число байт=1408 время=3324мс TTL=46 Превышен интервал ожидания для запроса. Сценарий 2 - пинг ресурса в защищенной сети за координатором - поведение аналогичное сценарию 1. Сценарий 3 - пинг внешнего IP координатора с другого компа из открытой сети, рядом с компьютерами из из защищенной сети - канал интернет тот же самый. Пинг 95+ мс при размере пакета 1500. По заверениям провайдера MTU у нас 1500, что вполне похоже на правду. При установке флага "не фрагментировать" успешно пролезает 1472 байта за те же миллисекунды, что вполне вписывается в норму канала до тех мест, где стоит координатор. Что уже попробовали - в настройках клиента "Максимальный размер сегмента MSS" уменьшали на 200 байт, явного эффекта нет, только порог резкого увеличения времени пинга сдвинулся. В настройках Windows крутили максимальный MTU, явного эффекта нет - когда начинается фрагментация пакетов - пинг все-равно увеличивается в 10-30 раз. Очень сильно подозреваю, что на координаторе достаточно выставить какой-то чекбокс или таймаут, касающийся фрагментации пакетов и всё резко станет хорошо. VipNet Client версии 4.3 (проблема наблюдалась и на 3.2) Координатор версии 4.1(4.10171) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 19 Апреля 2018 Жалоба Поделиться Опубликовано 19 Апреля 2018 Настройте пропуск пакетов ICMP так, чтобы работал Path MTU Discovery и не клюйте себе мозг странными хотелками. P.S. "... а я до сих пор поезда под откос пускаю". Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
PrAW Опубликовано 19 Апреля 2018 Автор Жалоба Поделиться Опубликовано 19 Апреля 2018 26 минут назад, basid сказал: Настройте пропуск пакетов ICMP так, чтобы работал Path MTU Discovery и не клюйте себе мозг странными хотелками. P.S. "... а я до сих пор поезда под откос пускаю". И это всё внезапно вылечит? В каком месте пропуск пакетов нужен? На стороне клиента - в защищенную сеть, в открытую сеть? На стороне координатора? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 19 Апреля 2018 Жалоба Поделиться Опубликовано 19 Апреля 2018 1 час назад, PrAW сказал: "Максимальный размер сегмента MSS" уменьшали на 200 байт И эта настройка замечательно влияет исключительно на TCP, icmp и udp она не трогает. 1 час назад, PrAW сказал: Очень сильно подозреваю, что на координаторе достаточно выставить какой-то чекбокс или таймаут, касающийся фрагментации пакетов и всё резко станет хорошо. Нет там такого чекбокса. И лучше не допускать фрагментации, так как это очень затратная операция для любого маршрутизатора, а у Вас еще и шифрование накладывается. И получается, что Вы запускаете свои 1500 байт, полный кадр, а координатору нужно это все инкапсулировать в udp, добавив сверху от 20 до 80 байт и сделать вывод, что в mtu этот пакет не проходит, значит нужно резать, а на обратной стороне собирать. На этой операции Вы и теряете свои пинги. Но если mss выставлен в 200 (и на клиентах и на координаторе) и Ваш продуктивный трафик это tcp, то проблем с его прохождением быть не должно. Или Вам принципиально пускать только пинг по 1500? Для этого сеть собиралась? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 19 Апреля 2018 Жалоба Поделиться Опубликовано 19 Апреля 2018 44 минуты назад, PrAW сказал: И это всё внезапно вылечит? Path MTU Discovery. 44 минуты назад, PrAW сказал: В каком месте пропуск пакетов нужен? ICMP Type 3 — Destination Unreachable (Code 4). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.