Anticisco
http://www.anticisco.ru/forum/

Падение скорости закачки
http://www.anticisco.ru/forum/viewtopic.php?f=9&t=1157
Страница 1 из 2

Автор:  Shurik [ 12 ноя 2010, 19:21 ]
Заголовок сообщения:  Падение скорости закачки

Встретился с удивительной проблемой.
При закачке файла с некоторых сайтов (одним из которых является download.microsoft.com) скорость скачивания сначала показывает порядка 400 КБ/с (что соответствует действительности), а затем закачка останавливается. Трафик идет через cisco 2851 с иосом с2800nm-advipservicesk9-mz.124-24.T4.bin, причем картина одинаковая, если трафик натится и если просто маршрутизится с белого ip адреса.
ума не приложу в чем дело и как можно диагностировать? Подскажите в чем может быть проблема?

Автор:  Fedia [ 12 ноя 2010, 22:52 ]
Заголовок сообщения:  Re: Падение скорости закачки

Инспектирования не делаете?

Автор:  Shurik [ 13 ноя 2010, 08:50 ]
Заголовок сообщения:  Re: Падение скорости закачки

Делаем. Работает ZBF. Но данная конфигурация на 2801 не вызывала проблем в работе.

Автор:  imperorr [ 13 ноя 2010, 10:30 ]
Заголовок сообщения:  Re: Падение скорости закачки

На всех сайтах? И даже в сети твоего провайдера? Или только америка?

Автор:  Shurik [ 13 ноя 2010, 10:37 ]
Заголовок сообщения:  Re: Падение скорости закачки

Сайты избранные. Причем выделить по какому-то признаку не могу (на текущий момент зафиксировал поблему с downlod.microsoft.com и mail.yandex.ru).
Провайдера менял проблема не исчезала.
Инспектирование трафика ZBF может так снизить скорость закачки?

Автор:  imperorr [ 13 ноя 2010, 10:50 ]
Заголовок сообщения:  Re: Падение скорости закачки

Мониторинг CPU Memory на Cisco ведется?

Автор:  Shurik [ 13 ноя 2010, 11:55 ]
Заголовок сообщения:  Re: Падение скорости закачки

Процессор больше 7 % не загружается. памяти достаточно (~200Mb из 512). Если я правильно понимаю, то если проблема заключалась в нехватке ресурсов, то проблемы были бы со всем трафиком, идущим через маршрутизатор. А у меня только с Http, ipsec например работает нормально.

Автор:  imperorr [ 13 ноя 2010, 12:29 ]
Заголовок сообщения:  Re: Падение скорости закачки

Надо протестировать передачу больших файлов.
У тебя есть возможность, со своего удаленного филиала, скачать через http?

Автор:  Shurik [ 13 ноя 2010, 12:36 ]
Заголовок сообщения:  Re: Падение скорости закачки

Большие файлы качаются нормально, 4.5 Гб закачалось без проблем.

Автор:  Ilya [ 13 ноя 2010, 12:37 ]
Заголовок сообщения:  Re: Падение скорости закачки

попробуйте убрать inspect http и inspect https

Автор:  Shurik [ 13 ноя 2010, 12:50 ]
Заголовок сообщения:  Re: Падение скорости закачки

Есть возможность без изменения конфигурации понять, что задерживает испектирование протокола?

Автор:  imperorr [ 13 ноя 2010, 13:52 ]
Заголовок сообщения:  Re: Падение скорости закачки

А что мешает менять конфу? Коннект не упадет.
Чтобы понять нужно весь механизм знать)

Автор:  Fedia [ 13 ноя 2010, 21:52 ]
Заголовок сообщения:  Re: Падение скорости закачки

ИМХО, это косяк инспектирования.

ВОзникает, когда в пакете передается то, что ZBF не любит (какой-нить заголовок нестандартный). МСЭ его рубит, а приложение отбрасывает пакет с измененным заголовком.

Автор:  Shurik [ 15 ноя 2010, 09:04 ]
Заголовок сообщения:  Re: Падение скорости закачки

Других способов, кроме как отключение инспектирования, нет?

Автор:  Ilya [ 15 ноя 2010, 09:47 ]
Заголовок сообщения:  Re: Падение скорости закачки

Shurik писал(а):
Других способов, кроме как отключение инспектирования, нет?

да попробуйте же Вы! вдруг вопрос не в этом, а мы тут гадаем. У Вас же не HTTP-server, а клиент. для него инспектирование не критично, кмк.

Автор:  Shurik [ 16 ноя 2010, 11:20 ]
Заголовок сообщения:  Re: Падение скорости закачки

Убирал инспектирование протоколов, политика работала на основе только acl - проблема не решилась.
Нашел подобную проблему на форуме viewtopic.php?f=2&t=706, там роблема решилась заменой действия с inspect на pass.
Есть какая то возможность определить, что не нравится брандмауэру и почему он снижает скорость закачки?

Автор:  Fedia [ 16 ноя 2010, 12:22 ]
Заголовок сообщения:  Re: Падение скорости закачки

Не важно, как вы включите инспектирование. Важно - какого протокола.

Ключевое слово pass означает ничего не разбирать глубже 4 уровня. Только не забыть обратный трафик тоже pass ануть

Автор:  Shurik [ 16 ноя 2010, 12:30 ]
Заголовок сообщения:  Re: Падение скорости закачки

А почему на 2801 такая настройка брандмауэра не приводила к подобным проблемам? У нее производительность ниже.

Автор:  imperorr [ 16 ноя 2010, 17:37 ]
Заголовок сообщения:  Re: Падение скорости закачки

Другая машинка :)

Автор:  Shurik [ 10 фев 2011, 12:21 ]
Заголовок сообщения:  Re: Падение скорости закачки

Снова возвращаюсь к данной теме, т.к. все чаще стала мешать спокойной жизни.

Проанализировал tcp сессию. Очень много повторных передач - пакет приходит (я его вижу на интерфейсе маршрутизатора), но до получателя не доходит, отправитель повторяет и таких потеряных пакетов достаточно много, через какое то время передача пакетов отправителем останавливается вовсе (как я понимаю ждет подтверждения), т.е. получается, что задержка в основном возникает из-за того, что сбивается окно.

Не могу понять, не ужели проблема больше ни у кого не возникала, у меня типичная конфигурация, тем более отработанная на более младшей модели 2801?

Может это как то можно лечить уменьшением размера окна tcp сессии или может смена иоса поможет решить проблему?

Автор:  591 [ 10 фев 2011, 13:28 ]
Заголовок сообщения:  Re: Падение скорости закачки

Цитата:
пакет приходит (я его вижу на интерфейсе маршрутизатора), но до получателя не доходит
99,7% это результат работы ZBF связанный с потерей/отбрасыванием пакетов, нарушением порядка следования или просто глюком (указано в поядке уменьшения вероятности).
Вы уверены, что у Вас действительно отключено инспектирование http?
Если да, снимите tcpdump до и после маршрутизатора для одной и той же сессии и сравните результат.

Автор:  Shurik [ 10 фев 2011, 14:08 ]
Заголовок сообщения:  Re: Падение скорости закачки

Инспектирование http когда анализировал tcp сессию было включено, но когда я убирал инспектирование http ситуация не изменялась.
Скажу, что отбрасывает пакеты циска, но вопрос почему? Это же нормальный пакет. Какая логика у ZBF, что отбрасываются пакеты?

Автор:  591 [ 10 фев 2011, 15:07 ]
Заголовок сообщения:  Re: Падение скорости закачки

ZBF буферизирует пакеты и восстанавливает их последовательность. Это необходимо для проверки протоколов верхних уровней. Если где-то по пути отбрасывается пакет, то ZBF его ждет и ничего не пропускает в сторону получателя. Из-за этого нарушается работа TCP, так как до получателя не доходят пакеты следующие за потеряным, а следовательно он не запрашивает повторную передачу потерянного пакета.

Это касается не только HTTP, а Application Inspection вообще. Например, при включенной проверке SMTP с некоторых серверов могут перестать приходить письма, превышающие некоторый размер.

Автор:  591 [ 10 фев 2011, 15:12 ]
Заголовок сообщения:  Re: Падение скорости закачки

Что Вы подразумеваете под "убирал инспектирование http"? Нужно явно указать инспектировать http как tcp. Иначе ZBF будет использовать инспектор http автоматически.

Автор:  Shurik [ 10 фев 2011, 15:31 ]
Заголовок сообщения:  Re: Падение скорости закачки

Под отключение инспектирования http я понимал, что надо удалить строчку из class-map

class-map type inspect match-any cm-prot
match protocol icmp
match protocol pop3
....
match protocol http (удалил)
match protocol https (удалил)
match protocol tcp

Правильно?

Страница 1 из 2 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/