URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21267
[ Назад ]

Исходное сообщение
"Помогите решить проблему с закачкой ........"

Отправлено meps , 06-Июл-10 14:28 
Всем привет!
Ситуация такая: есть роутер 2811 , на нем висят в инете человек 15-20, настроен NAT, канал 10Мбит. Так вот с некоторых сайтов не происходит закачка, вернее закачивает к примеру 1.5-2 метра и все... скорость падает к нулю.Причем с некорых тазиков  закачивает нормально - с других не качает. Что может быть.... куда рыть. Какие дебаги включить чтоб причину найти. Подключал инет напрямую к тазику - все летает... короче в тупике.Помогите
Спасибо!
P.S
Проверял загрузку роутера - все в норме проц на 10 загружен. Да и канал свободен.

Содержание

Сообщения в этом обсуждении
"Помогите решить проблему с закачкой ........"
Отправлено Дмитрий , 06-Июл-10 16:18 
>[оверквотинг удален]
>15-20, настроен NAT, канал 10Мбит. Так вот с некоторых сайтов не
>происходит закачка, вернее закачивает к примеру 1.5-2 метра и все... скорость
>падает к нулю.Причем с некорых тазиков  закачивает нормально - с
>других не качает. Что может быть.... куда рыть. Какие дебаги включить
>чтоб причину найти. Подключал инет напрямую к тазику - все летает...
>короче в тупике.Помогите
>Спасибо!
>P.S
>Проверял загрузку роутера - все в норме проц на 10 загружен. Да
>и канал свободен.

Скорее всего на Cisco есть настроеные фильтры на UPD порты. Например ограничение на пиринговые сети или что нибудь подобное.


"Помогите решить проблему с закачкой ........"
Отправлено fisher , 06-Июл-10 16:26 
>[оверквотинг удален]
>>других не качает. Что может быть.... куда рыть. Какие дебаги включить
>>чтоб причину найти. Подключал инет напрямую к тазику - все летает...
>>короче в тупике.Помогите
>>Спасибо!
>>P.S
>>Проверял загрузку роутера - все в норме проц на 10 загружен. Да
>>и канал свободен.
>
>Скорее всего на Cisco есть настроеные фильтры на UPD порты. Например ограничение
>на пиринговые сети или что нибудь подобное.

udp - прикрыты. Разрешены только для dns и ipsec.Но я не говорю про пиринговые сети где используется udp. Например не могу скачать с www.openoffice.org инсталяху. Тут то ни при чем udp.
А.... еще на роутере есть еще один провайдер - через него все работает в норме


"Помогите решить проблему с закачкой ........"
Отправлено fisher , 06-Июл-10 16:37 
>[оверквотинг удален]
>>>и канал свободен.
>>
>>Скорее всего на Cisco есть настроеные фильтры на UPD порты. Например ограничение
>>на пиринговые сети или что нибудь подобное.
>
>udp - прикрыты. Разрешены только для dns и ipsec.Но я не говорю
>про пиринговые сети где используется udp. Например не могу скачать с
>www.openoffice.org инсталяху. Тут то ни при чем udp.
>А.... еще на роутере есть еще один провайдер - через него все
>работает в нор

а.. еще вот в консоли выловил
IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/0: the fragment table has reached its maximum threshold 16
выставлял ip virtual-reassembly max-reassemblies 100
не помогло.....


"Помогите решить проблему с закачкой ........"
Отправлено Andrey , 06-Июл-10 17:16 
>[оверквотинг удален]
>>udp - прикрыты. Разрешены только для dns и ipsec.Но я не говорю
>>про пиринговые сети где используется udp. Например не могу скачать с
>>www.openoffice.org инсталяху. Тут то ни при чем udp.
>>А.... еще на роутере есть еще один провайдер - через него все
>>работает в нор
>
>а.. еще вот в консоли выловил
>IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/0: the fragment table has reached its maximum threshold 16
>выставлял ip virtual-reassembly max-reassemblies 100
>не помогло.....

Какой смысл фрагментировать пакеты в таком количестве? Вместо того, чтобы фрагментировать пакеты попробуйте поставить ip tcp adjust-mss ххх на интерфейсе.
Может быть поможет.


"Помогите решить проблему с закачкой ........"
Отправлено fisher , 06-Июл-10 18:56 
>[оверквотинг удален]
>>>работает в нор
>>
>>а.. еще вот в консоли выловил
>>IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/0: the fragment table has reached its maximum threshold 16
>>выставлял ip virtual-reassembly max-reassemblies 100
>>не помогло.....
>
>Какой смысл фрагментировать пакеты в таком количестве? Вместо того, чтобы фрагментировать пакеты
>попробуйте поставить ip tcp adjust-mss ххх на интерфейсе.
>Может быть поможет.

ip tcp adjust-mss - это не помогает тож.... еще варианты


"Помогите решить проблему с закачкой ........"
Отправлено Николай , 06-Июл-10 21:40 
>[оверквотинг удален]
>>>а.. еще вот в консоли выловил
>>>IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/0: the fragment table has reached its maximum threshold 16
>>>выставлял ip virtual-reassembly max-reassemblies 100
>>>не помогло.....
>>
>>Какой смысл фрагментировать пакеты в таком количестве? Вместо того, чтобы фрагментировать пакеты
>>попробуйте поставить ip tcp adjust-mss ххх на интерфейсе.
>>Может быть поможет.
>
>ip tcp adjust-mss - это не помогает тож.... еще варианты

ну так отключи на GigabitEthernet0/0 no ip virtual-reassembly странно что у тебя еще ipsec не поотваливался.


"Помогите решить проблему с закачкой ........"
Отправлено fisher , 07-Июл-10 10:09 
>[оверквотинг удален]
>>>>не помогло.....
>>>
>>>Какой смысл фрагментировать пакеты в таком количестве? Вместо того, чтобы фрагментировать пакеты
>>>попробуйте поставить ip tcp adjust-mss ххх на интерфейсе.
>>>Может быть поможет.
>>
>>ip tcp adjust-mss - это не помогает тож.... еще варианты
>
>ну так отключи на GigabitEthernet0/0 no ip virtual-reassembly странно что у тебя
>еще ipsec не поотваливался.

no ip virtual-reassembly - отключал (не помогает)
Что интересно когда никого нет в офисе (вечером) то все летает на ура. Такое ощущение что какая-то тварь завелась внутри сети. И еще.... периодически, просматривая списки списки трансляций вижу много "херовых" udp запросов на порт выше 1024
0.16.1.74:20374      71.195.138.93:18470   71.195.138.93:18470
udp 89.252.56.204:20374   10.16.1.74:20374      71.224.113.214:62665  71.224.113.214:62665
udp 89.252.56.204:20374   10.16.1.74:20374      72.68.198.202:59275   72.68.198.202:59275
udp 89.252.56.204:20374   10.16.1.74:20374      72.193.213.221:64289  72.193.213.221:64289
udp 89.252.56.204:20374   10.16.1.74:20374      75.15.202.133:23824   75.15.202.133:23824
udp 89.252.56.204:20374   10.16.1.74:20374      76.11.37.1:26217      76.11.37.1:26217
udp 89.252.56.204:20374   10.16.1.74:20374      76.98.16.186:63947    76.98.16.186:63947
udp 89.252.56.204:20374   10.16.1.74:20374      76.173.27.254:44512   76.173.27.254:44512
udp 89.252.56.204:20374   10.16.1.74:20374      77.47.180.32:60099    77.47.180.32:60099
udp 89.252.56.204:20374   10.16.1.74:20374      78.23.162.207:53328   78.23.162.207:53328
udp 89.252.56.204:20374   10.16.1.74:20374      78.30.236.137:44237   78.30.236.137:44237
это только кусочек - "шлейф" намного длиннее

мое подозрение что это скайп, он вроде как по udp работает ,  на клиентах установлен касперский  - вирусов нет (проверял). Может ли быт из-за таких запросов тормозить инет , даже когда канал не загружен.Роутер (cpu) при этом загружен на процентов 20-30.



"Помогите решить проблему с закачкой ........"
Отправлено vigl , 06-Июл-10 21:42 
>[оверквотинг удален]
>>>а.. еще вот в консоли выловил
>>>IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/0: the fragment table has reached its maximum threshold 16
>>>выставлял ip virtual-reassembly max-reassemblies 100
>>>не помогло.....
>>
>>Какой смысл фрагментировать пакеты в таком количестве? Вместо того, чтобы фрагментировать пакеты
>>попробуйте поставить ip tcp adjust-mss ххх на интерфейсе.
>>Может быть поможет.
>
>ip tcp adjust-mss - это не помогает тож.... еще варианты

по какой схеме организовано подключение?


"Помогите решить проблему с закачкой ........"
Отправлено Дмитрий , 07-Июл-10 12:49 
>udp - прикрыты. Разрешены только для dns и ipsec.Но я не говорю
>про пиринговые сети где используется udp. Например не могу скачать с
>www.openoffice.org инсталяху. Тут то ни при чем udp.
>А.... еще на роутере есть еще один провайдер - через него все
>работает в норме

Если при работе FTP используется пассивный режим, то UDP порты выделяются динамически, и
как следствие при имеющихся фильтрах на UDP вы в конце концов получаете обрыв. Очень советую на время разрешить все соединения по udp и проверить.



"Помогите решить проблему с закачкой ........"
Отправлено fisher , 08-Июл-10 12:36 
>[оверквотинг удален]
>>про пиринговые сети где используется udp. Например не могу скачать с
>>www.openoffice.org инсталяху. Тут то ни при чем udp.
>>А.... еще на роутере есть еще один провайдер - через него все
>>работает в норме
>
>Если при работе FTP используется пассивный режим, то UDP порты выделяются динамически,

>как следствие при имеющихся фильтрах на UDP вы в конце концов получаете
>обрыв. Очень советую на время разрешить все соединения по udp и
>проверить.

Включил я UDP - не помогло. После этого я циску выключил, подсоединил linksys - все летает. Видать проблемы с mtu. Я включил дебаг, но ошибок на фрагментацию пакетов не видел. Игрался со значением adjust-mss - без результатов.
Что посоветуете.


"Помогите решить проблему с закачкой ........"
Отправлено sigbat , 08-Июл-10 13:09 
show interface внешний в студию
прокси я полагаю нет

"Помогите решить проблему с закачкой ........"
Отправлено fisher , 08-Июл-10 14:12 
>show interface внешний в студию
>прокси я полагаю нет

прокси нет


GigabitEthernet0/0 is up, line protocol is up
  Hardware is MV96340 Ethernet, address is 001e.f767.2000 (bia 001e.f767.2000)
  Internet address is 89.252.56.104/24
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 7/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, media type is T
  output flow-control is XON, input flow-control is XON
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/118/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 2758000 bits/sec, 355 packets/sec
  5 minute output rate 363000 bits/sec, 223 packets/sec
     40704179 packets input, 1545048992 bytes, 2 no buffer
     Received 1355001 broadcasts, 0 runts, 0 giants, 0 throttles
     7 input errors, 0 CRC, 0 frame, 0 overrun, 7 ignored
     0 watchdog, 0 multicast, 0 pause input
     0 input packets with dribble condition detected
     28259259 packets output, 1931410550 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     11124 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 11 pause output
     0 output buffer failures, 0 output buffers swapped out


"Помогите решить проблему с закачкой ........"
Отправлено fisher , 08-Июл-10 14:55 
>[оверквотинг удален]
>
>     0 output errors, 0 collisions, 0 interface
>resets
>     11124 unknown protocol drops
>     0 babbles, 0 late collision, 0 deferred
>
>     0 lost carrier, 0 no carrier, 11
>pause output
>     0 output buffer failures, 0 output buffers
>swapped out

включил дебаг icmp
и вот подтверждение по ходу на mtu


8 13:54:50.831 PCTime: ICMP: echo reply sent, src 82.144.206.154, dst 82.144.198.191                
002498: *Jul  8 13:54:51.247 PCTime: ICMP: dst (10.16.3.1) port unreachable rcv from 10.16.3.3                    
002499: *Jul  8 13:54:52.247 PCTime: ICMP: dst (10.16.3.1) port unreachable rcv from 10.16.3.3      

13:55:04.775 PCTime: ICMP: dst (10.16.1.3) frag. needed and DF set unreachable sent to 10.16.3.51
002507: *Jul  8 13:55:06.247 PCTime: ICMP: dst (10.16.3.1) port unreachable rcv from 10.16.3.3                    


13:55:42.539 PCTime: ICMP: dst (89.252.56.104) host unreachable rcv from 95.25.192.5              
002549: *Jul  8 13:55:42.539 PCTime: ICMP: dst (89.252.56.104) host unreachable rcv from 95.25.192.5              
002550: *Jul  8 13:55:42.539 PCTime: ICMP: dst (89.252.56.104) host unreachable rcv from 95.25.192.5  


"Помогите решить проблему с закачкой ........"
Отправлено sigbat , 08-Июл-10 16:21 
пинговать с looking glass большими пакетами ?
если выявится, то предьявлять провам

"Помогите решить проблему с закачкой ........"
Отправлено meps , 14-Июл-10 12:54 
>пинговать с looking glass большими пакетами ?
>если выявится, то предьявлять провам

Нашол причину...... Короче говоря, когда отключаю ip inspect на интерфейсе (фильтрация по урлам) - все летает. Единственное не понятно: сайтов с которых идут "тормоза" нет в списке, да и если бы были - было бы сообщение Forbidden, а не падала скорость....
Что можете сказать по этому поводу?