URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12250
[ Назад ]

Исходное сообщение
"глючит WCCP"
Отправлено virt , 14-Дек-06 12:11

На Сisco 2821 (advipserv 12.4.10) настроен WCCP со squid на FreeBSD.
Связка работает,большинство сайтов работает без проблем, но бывают проблемы с рядом сайтов.
Эти сайты перестают открываться. Причем такое ощущение, что проблема с DNS, так как по IP адресу все сразу открывается.
Если проделать шаманские телодвижения в виде открытия сайта по ip адресу, а также пустить ping на этот ip, то сайт начинает откликаться и по имени.
В частности "проблемные" сайты это google.com mobile-review.com.
В чем может быть загвоздка?

Содержание

глючит WCCP,scrappy, 12:49 , 14-Дек-06
- глючит WCCP,virt, 15:03 , 14-Дек-06
- глючит WCCP,virt, 15:28 , 15-Дек-06

Сообщения в этом обсуждении

"глючит WCCP"
Отправлено scrappy , 14-Дек-06 12:49

>На Сisco 2821 (advipserv 12.4.10) настроен WCCP со squid на FreeBSD.
>Связка работает,большинство сайтов работает без проблем, но бывают проблемы с рядом
>сайтов.
>Эти сайты перестают открываться. Причем такое ощущение, что проблема с DNS, так
>как по IP адресу все сразу открывается.
>Если проделать шаманские телодвижения в виде открытия сайта по ip адресу, а
>также пустить ping на этот ip, то сайт начинает откликаться и
>по имени.
>В частности "проблемные" сайты это google.com mobile-review.com.
>В чем может быть загвоздка?

Попробуйте ping длиннымы пакетами по имени с неким индервалом. Например
ping -l 1000 www.google.com -t

"глючит WCCP"
Отправлено virt , 14-Дек-06 15:03

Пинг проходит нормально и идет постоянно.
Если выключить wccp и ходить в инет напрямую (через NAT)то проблем с сайтами нет.
Если в браузере прописать явно прокси сервер сквидовый, то проблем с открытием сайтов тоже нет.

"глючит WCCP"
Отправлено virt , 15-Дек-06 15:28

Я предполагаю, что проблема моя решается путем,
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_tec...
но не могу подобрать эти mtu и mss
C:\Documents and Settings\alex.d>ping google.com -f -l 1273 -t
Обмен пакетами с google.com [64.233.187.99] по 1273 байт:
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.

C:\Documents and Settings\alex.d>ping google.com -f -l 1272 -t
Обмен пакетами с google.com [64.233.187.99] по 1272 байт:
Ответ от 64.233.187.99: число байт=56 (отправка 1272) время=193мс TTL=237
Ответ от 64.233.187.99: число байт=56 (отправка 1272) время=193мс TTL=237
Ответ от 64.233.187.99: число байт=56 (отправка 1272) время=193мс TTL=237

То есть получается mtu 1272 мне нужно прописать на интерфейсе смотрящем в локальную сеть?
Прописывал, не помогло.
Может быть дело в том что на этом физическом интерфейсе, сделаны сабинтерфейсы: один в локальную сеть, второй внешний, через который squid выходит в интернет.
Сейчас такая картина:

interface GigabitEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/0.100
description interface DMZ$FW_OUTSIDE$
encapsulation dot1Q 100
ip address 217.x.x.97 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip virtual-reassembly
ip tcp adjust-mss 1360
no cdp enable
!
interface GigabitEthernet0/0.150
description interface to LAN
encapsulation dot1Q 150
ip address 192.168.1.248 255.255.255.0
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
no cdp enable
!
interface GigabitEthernet0/1
description WAN
ip address 89.x.x.226 255.255.255.224
ip access-group 104 in
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
duplex full
speed 100
no mop enabled
crypto map vpnmap