Détection problème trafic

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

Détection problème trafic

Frédéric Ferrère
Bonjour,

je rencontre un petit problème avec mon installation OpenBSD + Carp + Pf.

J'ai 2 serveurs physiques OpenBSD connecté sur un switch HP Procurve en
Trunk LACP.

Par moment, le serveur maître a du mal à répondre, un peu comme si ces
interfaces réseaux étaient saturées.
Pourtant d'après les stats issues de pfstat, le débit ne dépasse jamais
500 Mb/s.

J'ai fait des tests de bande passante avec iperf et il est capable
d'encaisser un débit proche du gigabit,
lorsque tout va bien.

La commande netstat me renvoie des paquets en erreurs,
en entrée sur les interfaces CARP et 2 des 4 interfaces physiques et en
sortie sur l'interface Trunk.
Visiblement ces erreurs apparaissent principalement lors des problèmes.

Je me demande si PF n'est pas en cause et passerait trop de temps à
manipuler les paquets,
comment puis-je le vérifier ?

Si vous avez des suggestions, n'hésitez pas :)

Merci.

Cordialement,
--
Frédéric

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Détection problème trafic

ostrasker
Bonsoir

Il me semble avoir lu que LACP n'était pas trop copain avec les switchs
.... . D'où le choix des hébergeurs vers failover.

Cordialement

Le 29 novembre 2011 17:59, FERRERE FREDERIC <[hidden email]
> a écrit :

> Bonjour,
>
> je rencontre un petit problème avec mon installation OpenBSD + Carp + Pf.
>
> J'ai 2 serveurs physiques OpenBSD connecté sur un switch HP Procurve en
> Trunk LACP.
>
> Par moment, le serveur maître a du mal à répondre, un peu comme si ces
> interfaces réseaux étaient saturées.
> Pourtant d'après les stats issues de pfstat, le débit ne dépasse jamais
> 500 Mb/s.
>
> J'ai fait des tests de bande passante avec iperf et il est capable
> d'encaisser un débit proche du gigabit,
> lorsque tout va bien.
>
> La commande netstat me renvoie des paquets en erreurs,
> en entrée sur les interfaces CARP et 2 des 4 interfaces physiques et en
> sortie sur l'interface Trunk.
> Visiblement ces erreurs apparaissent principalement lors des problèmes.
>
> Je me demande si PF n'est pas en cause et passerait trop de temps à
> manipuler les paquets,
> comment puis-je le vérifier ?
>
> Si vous avez des suggestions, n'hésitez pas :)
>
> Merci.
>
> Cordialement,
> --
> Frédéric
>
> ______________________________**__
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/**communaute.php<http://www.openbsd-france.org/communaute.php>
>
>
Reply | Threaded
Open this post in threaded view
|

Re: Détection problème trafic

Gabriel Linder
In reply to this post by Frédéric Ferrère
On 11/29/11 17:59, FERRERE FREDERIC wrote:

> Bonjour,
>
> je rencontre un petit problème avec mon installation OpenBSD + Carp + Pf.
>
> J'ai 2 serveurs physiques OpenBSD connecté sur un switch HP Procurve
> en Trunk LACP.
>
> Par moment, le serveur maître a du mal à répondre, un peu comme si ces
> interfaces réseaux étaient saturées.
> Pourtant d'après les stats issues de pfstat, le débit ne dépasse
> jamais 500 Mb/s.
>
> J'ai fait des tests de bande passante avec iperf et il est capable
> d'encaisser un débit proche du gigabit,
> lorsque tout va bien.
>
> La commande netstat me renvoie des paquets en erreurs,
> en entrée sur les interfaces CARP et 2 des 4 interfaces physiques et
> en sortie sur l'interface Trunk.
> Visiblement ces erreurs apparaissent principalement lors des problèmes.
>
> Je me demande si PF n'est pas en cause et passerait trop de temps à
> manipuler les paquets,
> comment puis-je le vérifier ?
>
> Si vous avez des suggestions, n'hésitez pas :)
>
> Merci.

Salut,

C'est possible si ton installation est mal configurée, pfctl -vsi et
netstat -m t'aideront peut être à y voir plus clair.
Possible aussi que ça vienne du trunk/cartes réseau, la sortie de dmesg
ainsi qu'une description de qui est relié à quoi aiderait à creuser ça.

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Détection problème trafic

Frédéric Ferrère
Le 30/11/11 09:39, Gabriel Linder a écrit :

>
> Salut,
>
> C'est possible si ton installation est mal configurée, pfctl -vsi et
> netstat -m t'aideront peut être à y voir plus clair.
> Possible aussi que ça vienne du trunk/cartes réseau, la sortie de
> dmesg ainsi qu'une description de qui est relié à quoi aiderait à
> creuser ça.
>
>
Bonjour, voilà ce que me donne netstat et pfctl -vsi

# netstat -m
157 mbufs in use:
         140 mbufs allocated to data
         3 mbufs allocated to packet headers
         5 mbufs allocated to socket names and addresses
         9 mbufs allocated to socket options
125/560/6144 mbuf 2048 byte clusters in use (current/peak/max)
0/8/6144 mbuf 4096 byte clusters in use (current/peak/max)
0/8/6144 mbuf 8192 byte clusters in use (current/peak/max)
0/8/6144 mbuf 9216 byte clusters in use (current/peak/max)
0/8/6144 mbuf 12288 byte clusters in use (current/peak/max)
0/8/6144 mbuf 16384 byte clusters in use (current/peak/max)
0/8/6144 mbuf 65536 byte clusters in use (current/peak/max)
1544 Kbytes allocated to network (18% in use)
0 requests for memory denied
0 requests for memory delayed
0 calls to protocol drain routines


#pfctl -vsi
Status: Enabled for 0 days 21:47:03              Debug: err

Hostid:   0x01b0c052
Checksum: 0x6b63c74d6dc9c1ac4739d68f98cf5424

State Table                          Total             Rate
   current entries                     9362
   searches                       443772960         5658.7/s
   inserts                          3913623           49.9/s
   removals                         3904261           49.8/s
Source Tracking Table
   current entries                        1
   searches                             206            0.0/s
   inserts                               61            0.0/s
   removals                              60            0.0/s
Counters
   match                            5965765           76.1/s
   bad-offset                             0            0.0/s
   fragment                           17204            0.2/s
   short                            2041545           26.0/s
   normalize                              5            0.0/s
   memory                             52083            0.7/s
   bad-timestamp                          0            0.0/s
   congestion                             0            0.0/s
   ip-option                              0            0.0/s
   proto-cksum                            0            0.0/s
   state-mismatch                      2969            0.0/s
   state-insert                           0            0.0/s
   state-limit                            0            0.0/s
   src-limit                              3            0.0/s
   synproxy                               0            0.0/s
Limit Counters
   max states per rule                    0            0.0/s
   max-src-states                         0            0.0/s
   max-src-nodes                          0            0.0/s
   max-src-conn                           3            0.0/s
   max-src-conn-rate                      0            0.0/s
   overload table insertion               3            0.0/s
   overload flush states                  3            0.0/s


J'avoue que tous ces chiffres ne m'inspirent pas vraiment je
ne sais pas trop à quoi les comparer pour savoir si les valeurs
sont élevées ou pas, notamment pour la ligne searches.


Les deux Firewall/Carps/OpenBSD sont des serveurs DELL, 4 cartes réseaux
(2 interfaces broadcom, 2 interfaces Intel Pro 1000).
3 interfaces de chaque machine sont reliées à un même switch HP en mode
Trunk-LACP,
La 4ème interface sert à la synchro des états PF (câble croisé
directement connecté entre les 2 serveurs).







________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Détection problème trafic

Eric Jacquot-2

FERRERE FREDERIC <[hidden email]> a écrit :

Le 30/11/11 09:39, Gabriel Linder a écrit :

>
> Salut,
>
> C'est possible si ton installation est mal configurée, pfctl -vsi et
> netstat -m t'aideront peut être à y voir plus clair.
> Possible aussi que ça vienne du trunk/cartes réseau, la sortie de
> dmesg ainsi qu'une description de qui est relié à quoi aiderait à
> creuser ça.
>
>
Bonjour, voilà ce que me donne netstat et pfctl -vsi

# netstat -m
157 mbufs in use:
140 mbufs allocated to data
3 mbufs allocated to packet headers
5 mbufs allocated to socket names and addresses
9 mbufs allocated to socket options
125/560/6144 mbuf 2048 byte clusters in use (current/peak/max)
0/8/6144 mbuf 4096 byte clusters in use (current/peak/max)
0/8/6144 mbuf 8192 byte clusters in use (current/peak/max)
0/8/6144 mbuf 9216 byte clusters in use (current/peak/max)
0/8/6144 mbuf 12288 byte clusters in use (current/peak/max)
0/8/6144 mbuf 16384 byte clusters in use (current/peak/max)
0/8/6144 mbuf 65536 byte clusters in use (current/peak/max)
1544 Kbytes allocated to network (18% in use)
0 requests for memory denied
0 requests for memory delayed
0 calls to protocol drain routines


#pfctl -vsi
Status: Enabled for 0 days 21:47:03 Debug: err

Hostid: 0x01b0c052
Checksum: 0x6b63c74d6dc9c1ac4739d68f98cf5424

State Table Total Rate
current entries 9362
searches 443772960 5658.7/s
inserts 3913623 49.9/s
removals 3904261 49.8/s
Source Tracking Table
current entries 1
searches 206 0.0/s
inserts 61 0.0/s
removals 60 0.0/s
Counters
match 5965765 76.1/s
bad-offset 0 0.0/s
fragment 17204 0.2/s
short 2041545 26.0/s
normalize 5 0.0/s
memory 52083 0.7/s
bad-timestamp 0 0.0/s
congestion 0 0.0/s
ip-option 0 0.0/s
proto-cksum 0 0.0/s
state-mismatch 2969 0.0/s
state-insert 0 0.0/s
state-limit 0 0.0/s
src-limit 3 0.0/s
synproxy 0 0.0/s
Limit Counters
max states per rule 0 0.0/s
max-src-states 0 0.0/s
max-src-nodes 0 0.0/s
max-src-conn 3 0.0/s
max-src-conn-rate 0 0.0/s
overload table insertion 3 0.0/s
overload flush states 3 0.0/s


J'avoue que tous ces chiffres ne m'inspirent pas vraiment je
ne sais pas trop à quoi les comparer pour savoir si les valeurs
sont élevées ou pas, notamment pour la ligne searches.


Les deux Firewall/Carps/OpenBSD sont des serveurs DELL, 4 cartes réseaux
(2 interfaces broadcom, 2 interfaces Intel Pro 1000).
3 interfaces de chaque machine sont reliées à un même switch HP en mode
Trunk-LACP,
La 4ème interface sert à la synchro des états PF (câble croisé
directement connecté entre les 2 serveurs).







_____________________________________________

French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Bonjour,

Une question me brûle les lèvres...
Que est l intérêt au niveau résilience de passer par un joli spof, aka ton unique switch ? A moins qu il s'agisse d un stack de deux switch mini procurve ...
Quand à 802.3ad , tu le gères comment sur tes environnements ?
Utilises tu du lacp dynamique ? Es tu dans un vlan autre que default_vlan?
Quel modèle procurve ? Type de carte reseau sur tes babasses (média, mode, etc)

Que donnent sur ton/tes switch un sh lacp et un sh log lacp ?

Bref, un semblant de config posté ici et de désignation des matériels pourraient éviter toutes supputations sur le sujet...

Au plaisir de te lire,

--
Éric Jacquot

Reply | Threaded
Open this post in threaded view
|

Re: Détection problème trafic

Frédéric Ferrère
Le 30/11/11 16:30, Éric Jacquot a écrit :

>
>
> Bonjour,
>
> Une question me brûle les lèvres...
> Que est l intérêt au niveau résilience de passer par un joli spof, aka ton unique switch ? A moins qu il s'agisse d un stack de deux switch mini procurve ...
> Quand à 802.3ad , tu le gères comment sur tes environnements ?
> Utilises tu du lacp dynamique ? Es tu dans un vlan autre que default_vlan?
> Quel modèle procurve ? Type de carte reseau sur tes babasses (média, mode, etc)
>
> Que donnent sur ton/tes switch un sh lacp et un sh log lacp ?
>
> Bref, un semblant de config posté ici et de désignation des matériels pourraient éviter toutes supputations sur le sujet...
>
> Au plaisir de te lire,
>

Pour le spof on est bien d'accord, il est prévu d'améliorer cela.

Pour le LACP il n'y a que les 2 machines OpenBSD qui sont concernées.

Sur chaque OpenBSD
Donc 3 interfaces physiques pour l'agrégation de liens.
Dessus une interface trunk0 (trunkproto lacp).
Par dessus 4 vlans
Et enfin 4 interfaces carp

ça donne à peu près ça :

em0: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST>
mtu 1500
         lladdr xxxxx
         priority: 0
         trunk: trunkdev trunk0
         media: Ethernet autoselect (1000baseT full-duplex,rxpause,txpause)
         status: active
         inet6 fe80::215:17ff:fe29:b5d1%em0 prefixlen 64 scopeid 0x1

trunk0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
         lladdr xxxxx
         priority: 0
         trunk: trunkproto lacp
         trunk id: [(8000,00:18:8b:f8:57:3d,403C,0000,0000),
                  (C160,00:18:71:46:c1:60,0032,0000,0000)]
                 trunkport em0 active,collecting,distributing
                 trunkport bge1 active,collecting,distributing
                 trunkport bge0 active,collecting,distributing
         groups: trunk
         media: Ethernet autoselect
         status: active
         inet6 fe80::215:17ff:fe29:b5d0%trunk0 prefixlen 64 scopeid 0x7

vlan309: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
         lladdr xxxxx
         priority: 0
         vlan: 309 priority: 0 parent interface: trunk0
         groups: vlan
         status: active
         inet6 fe80::218:8bff:fef8:573d%vlan309 prefixlen 64 scopeid 0x8
         inet xxxxx netmask 0xffffff00 broadcast xxxxx

carp309: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
         lladdr xxxxx
         priority: 0
         carp: MASTER carpdev vlan309 vhid 9 advbase 1 advskew 10
         groups: carp
         status: master
         inet6 fe80::200:5eff:fe00:109%carp309 prefixlen 64 scopeid 0xc
         inet xxxxx netmask 0xffffff00 broadcast xxxxx



ProCurve Switch 2810-24G# sh log lacp
  Keys:   W=Warning   I=Information
          M=Major     D=Debug
----  Event Log listing: Events Since Boot  ----
I 11/30/11 17:42:41 ports: port 3 is Blocked by LACP
I 11/30/11 17:42:41 ports: port 4 is Blocked by LACP
I 11/30/11 17:42:41 ports: port 5 is Blocked by LACP
I 11/30/11 17:42:41 ports: port 6 is Blocked by LACP
I 11/30/11 17:42:41 ports: port 7 is Blocked by LACP
I 11/30/11 17:42:42 ports: port 8 is Blocked by LACP
I 11/30/11 17:42:42 ports: port 15 is Blocked by LACP
I 11/30/11 17:42:42 ports: port 16 is Blocked by LACP
I 11/30/11 17:42:42 ports: port 17 is Blocked by LACP
----  Bottom of Log : Events Listed = 9  ----


ProCurve Switch 2810-24G# sh lacp

                            LACP

    PORT   LACP      TRUNK     PORT      LACP      LACP
    NUMB   ENABLED   GROUP     STATUS    PARTNER   STATUS
    ----   -------   -------   -------   -------   -------
    3      Active    Trk1      Up        Yes       Success
    4      Active    Trk1      Up        Yes       Success
    5      Active    Trk1      Up        Yes       Success
    6      Active    Trk2      Up        Yes       Success
    7      Active    Trk2      Up        Yes       Success
    8      Active    Trk2      Up        Yes       Success
    15     Passive   15        Up        No        Success
    16     Passive   16        Up        No        Success
    17     Passive   17        Up        No        Success


Voilà pour le moment, en espérant ne pas en avoir oublier, ni trop mis.

Merci.

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Détection problème trafic

ostrasker
Le 30 novembre 2011 18:10, FERRERE FREDERIC <[hidden email]
> a écrit :

> Le 30/11/11 16:30, Éric Jacquot a écrit :
>
>>
>>
>> Bonjour,
>>
>> Une question me brûle les lèvres...
>> Que est l intérêt au niveau résilience de passer par un joli spof, aka
>> ton unique switch ? A moins qu il s'agisse d un stack de deux switch mini
>> procurve ...
>> Quand à 802.3ad , tu le gères comment sur tes environnements ?
>> Utilises tu du lacp dynamique ? Es tu dans un vlan autre que default_vlan?
>> Quel modèle procurve ? Type de carte reseau sur tes babasses (média,
>> mode, etc)
>>
>> Que donnent sur ton/tes switch un sh lacp et un sh log lacp ?
>>
>> Bref, un semblant de config posté ici et de désignation des matériels
>> pourraient éviter toutes supputations sur le sujet...
>>
>> Au plaisir de te lire,
>>
>>
> Pour le spof on est bien d'accord, il est prévu d'améliorer cela.
>
> Pour le LACP il n'y a que les 2 machines OpenBSD qui sont concernées.
>
> Sur chaque OpenBSD
> Donc 3 interfaces physiques pour l'agrégation de liens.
> Dessus une interface trunk0 (trunkproto lacp).
> Par dessus 4 vlans
> Et enfin 4 interfaces carp
>
> ça donne à peu près ça :
>
> em0: flags=8b43<UP,BROADCAST,**RUNNING,PROMISC,ALLMULTI,**SIMPLEX,MULTICAST>
> mtu 1500
>        lladdr xxxxx
>        priority: 0
>        trunk: trunkdev trunk0
>        media: Ethernet autoselect (1000baseT full-duplex,rxpause,txpause)
>        status: active
>        inet6 fe80::215:17ff:fe29:b5d1%em0 prefixlen 64 scopeid 0x1
>
> trunk0: flags=8943<UP,BROADCAST,**RUNNING,PROMISC,SIMPLEX,**MULTICAST>
> mtu 1500
>        lladdr xxxxx
>        priority: 0
>        trunk: trunkproto lacp
>        trunk id: [(8000,00:18:8b:f8:57:3d,403C,**0000,0000),
>                 (C160,00:18:71:46:c1:60,0032,**0000,0000)]
>                trunkport em0 active,collecting,distributing
>                trunkport bge1 active,collecting,distributing
>                trunkport bge0 active,collecting,distributing
>        groups: trunk
>        media: Ethernet autoselect
>        status: active
>        inet6 fe80::215:17ff:fe29:b5d0%**trunk0 prefixlen 64 scopeid 0x7
>
> vlan309: flags=8943<UP,BROADCAST,**RUNNING,PROMISC,SIMPLEX,**MULTICAST>
> mtu 1500
>        lladdr xxxxx
>        priority: 0
>        vlan: 309 priority: 0 parent interface: trunk0
>        groups: vlan
>        status: active
>        inet6 fe80::218:8bff:fef8:573d%**vlan309 prefixlen 64 scopeid 0x8
>        inet xxxxx netmask 0xffffff00 broadcast xxxxx
>
> carp309: flags=8843<UP,BROADCAST,**RUNNING,SIMPLEX,MULTICAST> mtu 1500
>        lladdr xxxxx
>        priority: 0
>        carp: MASTER carpdev vlan309 vhid 9 advbase 1 advskew 10
>        groups: carp
>        status: master
>        inet6 fe80::200:5eff:fe00:109%**carp309 prefixlen 64 scopeid 0xc
>        inet xxxxx netmask 0xffffff00 broadcast xxxxx
>
>
>
> ProCurve Switch 2810-24G# sh log lacp
>  Keys:   W=Warning   I=Information
>         M=Major     D=Debug
> ----  Event Log listing: Events Since Boot  ----
> I 11/30/11 17:42:41 ports: port 3 is Blocked by LACP
> I 11/30/11 17:42:41 ports: port 4 is Blocked by LACP
> I 11/30/11 17:42:41 ports: port 5 is Blocked by LACP
> I 11/30/11 17:42:41 ports: port 6 is Blocked by LACP
> I 11/30/11 17:42:41 ports: port 7 is Blocked by LACP
> I 11/30/11 17:42:42 ports: port 8 is Blocked by LACP
> I 11/30/11 17:42:42 ports: port 15 is Blocked by LACP
> I 11/30/11 17:42:42 ports: port 16 is Blocked by LACP
> I 11/30/11 17:42:42 ports: port 17 is Blocked by LACP
> ----  Bottom of Log : Events Listed = 9  ----
>
>
> ProCurve Switch 2810-24G# sh lacp
>
>                           LACP
>
>   PORT   LACP      TRUNK     PORT      LACP      LACP
>   NUMB   ENABLED   GROUP     STATUS    PARTNER   STATUS
>   ----   -------   -------   -------   -------   -------
>   3      Active    Trk1      Up        Yes       Success
>   4      Active    Trk1      Up        Yes       Success
>   5      Active    Trk1      Up        Yes       Success
>   6      Active    Trk2      Up        Yes       Success
>   7      Active    Trk2      Up        Yes       Success
>   8      Active    Trk2      Up        Yes       Success
>   15     Passive   15        Up        No        Success
>   16     Passive   16        Up        No        Success
>   17     Passive   17        Up        No        Success
>
>
> Voilà pour le moment, en espérant ne pas en avoir oublier, ni trop mis.
>
> Merci.
>
> ______________________________**__
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/**communaute.php<http://www.openbsd-france.org/communaute.php>
>
>
Bonsoir

Solution bête pour voir si ce sont bien les switchs qui pose probléme
tester sans en interne. Ainsi, tu compare les résultats avec et sans. Et
voir le résultat.

Cordialement