Удивительная ересь с Бордюром. Чтоб это могло так тормозить.

Обсуждение технических вопросов по продуктам Novell

Удивительная ересь с Бордюром. Чтоб это могло так тормозить.

Сообщение Андрей Добров » 13 фев 2005, 17:43

И так. Имели сервер HP E70(512Mb) с NW5.1(sp3) + BM 3.6(sp2) с программным RAID на двух SCSI(точнее зеркалирование разделов). Том для cache для BM был на NSS. И всё работало на ура и несколько лет почти без выключения.
И захотелось жить лучше установили HP DL 320(2Gb RAM) + RAID аппаратный. Установлен NW 6.0(SP5) + BM3.7(SP3 + всё что последнее предполагалось для устранения проблем выявленных специалистами Novell) + пожелания с caledonia.net по настройке бордюра(том для Cache на FAT только 8Gb + настройки в autoxec.ncf + рекомендуемый proxy.cfg).
И появилась засада - комфортная работа пользователей только 1-2 дня, а далее странные задержки, т.е. при работе дажее 1 человека открытие ЛЮБОГО сайта может доходить до нескольких минут или вообще отваливается с сообщение что сайт недоступен. Рестарт сервера - и Вы снова в порядке. Параметры все норме, от наличия правил это как то не очень зависит, да и правил раз-два и обчёлся. Имеется только несколько GenericProxy для работы программ в терминальном режиме. Причем пользователи работающие из внешнего мира сих проблем не замечают. Т.е. для них всё работает шустро(в меру загрузки канала).Что может быть за засада.
Если работать через NAT и используя другой сервер всё летает, т.е. канал свободный.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Очень похоже на проблему с динамическими фильтрами.

Сообщение Boris Morozov » 13 фев 2005, 23:22

Решается установкой последних патчей на бордюр (на 3.8 по моему bm38fp3c) или периодической выгрузкой IPFLT и FILTSRV. Проблема известна и описана как на форуме, так и у Новелла.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: Удивительная ересь с Бордюром. Чтоб это могло так тормоз

Сообщение Dimerson » 14 фев 2005, 05:56

Либо bm37fp4d.exe, либо переписать все exceptions на не-statefull.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Чудно и не понятно.

Сообщение Андрей Добров » 14 фев 2005, 12:05

Чудно и не понятно.
Проблма есть!
Все знаю!.
Все маются, как утверждается. И нет ни какого решения - как выгружать и загружать пару NLM-ников. Чтож это за засада.
Что-то это напоминает импортный унитаз - красивый, хороший и воду экономить может, а чтоб слив работал надо каждый второй день к сантехнику на поклон. А если не втерпёж!!! Так может у кого-то и клапаны сорвать.
Может имеется иное решение не с унитазам конечно.
Я что-то пробовал найти на support.novell.com аналогичные проблемы и не встречал. Сейчас как и установлен поледнее обновление от 06.01.2005(т.е. bm37fp4d.exe).
И вот имеется какая странность - было несколько фильтров не не-statefull на второй IP-адрес, так изменение их на statefull позволило оттянуть перезагрузку ещё на одинь день. Перегружаемся не каждый второй, а каждый третий день.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: Чудно и не понятно.

Сообщение Dimerson » 14 фев 2005, 12:39

Андрей - перепишите exceptions так :

Каждое statefull на 2 статик, причем для исходящeго все стандартно а для ответного - ASK Bit Filtering+ON.

после этого забудете ваши проблемы как дурной сон.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Небольшое уточнение.

Сообщение Андрей Добров » 14 фев 2005, 14:31

И так - проблема возникает именно в связке BorderManager + фильтрация???
Т.е. если вырубить Бордюр работать на NAT проблема снимется?
Или убрать фильтарцию оставить бордюр так же всё заработает на ура?
Пробую понять эту тонкую взаимосвязь. Пока не получается.
Пока только нашел странный TID 2947323.
И не совсем остаётся понятно - это болезнь стека IP конкретной платформы, т.е. имеется проблема на NW6.x или это болезнь бордюра - начиная с 3.7(+ фильтрация, она стек TCPIP) и так же в связке с определённой версией NW.
Пока вопросов больше чем ответов или возможного понимания что происходит.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Я чего-то не понимаю, патчи ведь уже есть.

Сообщение Boris Morozov » 14 фев 2005, 22:18

Скачать и поставить быстрее, чем дискуссию разводить. У меня тоже была такая фигня, поставил патчи и месяц уже работает. И фильтры у меня 90% Stateful.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

У меня не 3.8 а BM 3.7.

Сообщение Андрей Добров » 15 фев 2005, 00:53

У меня не 3.8 а BM 3.7. Всё что касается update-ов то скачено и установлено, т.е. последний на 06-01-2005 bm37fp4d.exe стоит. Была бы необходимость я б скачал всё что поддаётся скачиванию лишь приходя на утро не слышать как начальник транспортного отдела материться в адрес отдела ИТ и называет конкретные фамилии с нецензурными междометиями и с байками, что он не смог где-то в дебрях интренета в ночной смене получить информацию о том о чём я и знать не хочу, а ему по зарез нужно для прохождения фур, вагонов или иных транспотрных средств через таможню.

Борис если Вы сможете поделиться лицензиями на 3.8, то я и не буду париться с 3.7 и благодарности не будет предела. Правда, поделитесь пожалуйста. По мне так уж более современный вариант - и его обкатывать. А не ломать голову почему этот не работает и вскоре не будет и поддерживаться.

Заранее спасибо за понимание и помощь.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: У меня не 3.8 а BM 3.7.

Сообщение Dimerson » 15 фев 2005, 06:17

Андрей Добров писал(а):У меня не 3.8 а BM 3.7. Всё что касается update-ов то скачено и установлено, т.е. последний на 06-01-2005 bm37fp4d.exe стоит. Была бы необходимость я б скачал всё что поддаётся скачиванию лишь приходя на утро не слышать как начальник транспортного отдела материться в адрес отдела ИТ и называет конкретные фамилии с нецензурными междометиями и с байками, что он не смог где-то в дебрях интренета в ночной смене получить информацию о том о чём я и знать не хочу, а ему по зарез нужно для прохождения фур, вагонов или иных транспотрных средств через таможню.

Борис если Вы сможете поделиться лицензиями на 3.8, то я и не буду париться с 3.7 и благодарности не будет предела. Правда, поделитесь пожалуйста. По мне так уж более современный вариант - и его обкатывать. А не ломать голову почему этот не работает и вскоре не будет и поддерживаться.

Заранее спасибо за понимание и помощь.


К вашему сведению - ipflt31.nlm для BM37 и BM38 в данный момент тот же самый.

P.S. А вы уверены чтов вашей сети нет ни 1 рабочей станции с трояном - Craig Johnson помнится говорил что выловил зверя - он со всей дури шлет ICMP куда не попадя и забивает таблицу фильтров ...
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Обычно такое бывает с proxy, а не с фильтрами

Сообщение Павел Гарбар » 17 фев 2005, 17:59

и когда тома для кэша NSS (у меня, кстати, успешно 2 месяца работал на NSS и только потом тормозить стал).
Раз у тебя том традиционный, то смотри внимательно что у тебя с проксей происходит, нет ли какого-нибудь неубитого аудио или видео потока.

Ну и не забывай - сейчас рунет в полном отстое и сколько его так колбасить будет нам неведомо (см. другой форум)
Павел Гарбар
 
Сообщения: 709
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

И как это выглядит...

Сообщение Андрей Добров » 17 фев 2005, 19:31

И так вчера был третий день после перезагрузки сервера.
Вечер - в сети только два человека я диспечер.
Симтоматика проблем:
1. Увеличивается время открытия сайтов. Будь то rambler или mail.ru или что-то ещё общедоступное и ранее открываемое намного шустрее.
2. Некоторые сайты начинают отваливаться с сообщением о недоступности или перезагруженности.
3. И что раньше не замечал
- если организовать ping(с консоли сервера) на некоторые сайты, то вываливается с сообщением о netdb о его проблемах, т.е. нет возможности организовать соответствия между именем и адресом пингуемого объекта.
- но имеются сайты так например www.yandex.ru - пингуется и без проблем, а www.pochta.ru нет. Но зайти через прокси можно будет как yandex.ru и на pochta.ru. Да там кажется имеется файлик proxydns.cfg где иенно и перечесляются имена и адреса сайтом где бродили пользователи.
Так что же происходит.
Рестарт всё работать начинать ТИП-ТОП.
Имеется вообще возможность узнать что происходит с фильтрами или pktscan - это единственно доступный софт по мониторингу интерфейса.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: И как это выглядит...

Сообщение Dimerson » 17 фев 2005, 19:59

В моем случае это выглядело примерно так :

смотрим в remote manager на ipflt31.nlm - сколько ему система выделяет памяти.
Как только он сьедает мегабайт +/- то все - только uload/load помогает.

То есть утром почти ноль - поработали и к 16:00 примерно 1.MB

так что наблюдайте за модулями - где там memory leak.

В свое время я об этом тут писал ; так же был парметр [недокументированный - hidden ] - можно управлять временем жизни Stateful соединения - воспользуйтесь поиском pls - с ним поиграться можно.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

И тут Novell выпускает новый патч

Сообщение Андрей Добров » 21 фев 2005, 03:47

Ранее читал на форуме по засаде с stateful, но не более. А сейчас даже не могу найти прочитанное и главное недавно ж читал. Ни как не смог найти по недокументированным ключам для ipflt31.nlm. А поиск чего то, что может пролить свет на решение проблемы на novell.com выявил новый патч для 3.8.
И там появился новый патч(от 16 февраля 2005) и ipflt31.nlm и filtsrv так же обновились.
Что ж если утверждается, что они для 3.7 и 3.8 одинаковые то буду пробовать. Интересно какой результат будет на 23 февраля. Если вообще заработает!!!!!
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: И тут Novell выпускает новый патч

Сообщение Dimerson » 21 фев 2005, 12:46

Андрей Добров писал(а):Ранее читал на форуме по засаде с stateful, но не более. А сейчас даже не могу найти прочитанное и главное недавно ж читал. Ни как не смог найти по недокументированным ключам для ipflt31.nlm. А поиск чего то, что может пролить свет на решение проблемы на novell.com выявил новый патч для 3.8.
И там появился новый патч(от 16 февраля 2005) и ipflt31.nlm и filtsrv так же обновились.
Что ж если утверждается, что они для 3.7 и 3.8 одинаковые то буду пробовать. Интересно какой результат будет на 23 февраля. Если вообще заработает!!!!!


Андрей вы внимательно читали ?

Вы поняли что если заменить каждое Statefull exception на 2 static [ответный зафильтровать ASK BIT FILTERING=YES] то все работает замечательно ???
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

А если...

Сообщение Яцевич » 21 фев 2005, 17:37

Для разрешения этой проблемы я использовал для Stateful filters замечание из
http://nscsysop.hypermart.net/bmgrptch.html#nbm37

"...BM37FP4D.EXE
Post-BM37SP3 patch. Be sure to update proxy.cfg as well. See tip #63 here. If you make much use of stateful filters, and the server drops packets or seems slow, backrev IPFLT31.NLM to the version in BM37SP3.EXE..."

Т.е. заменил IPFLT31.NLM от 19.10.04. на IPFLT31.NLM от 04.09.03. из
BM37SP3.EXE.

Несколько часов "полет" нормальный.
Яцевич
 
Сообщения: 42
Зарегистрирован: 05 июл 2002, 11:00
Откуда: Минск

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 58