Problem s VPN tunely - zrejme fragmentace

Dan Lukes dan at obluda.cz
Wed Nov 18 08:51:25 CET 2009

Previous message: Problem s VPN tunely - zrejme fragmentace
Next message: Problem s VPN tunely - zrejme fragmentace
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Zbyněk Burget napsal/wrote, On 11/16/09 14:38:
>> vetsina TCP komunikace nastaveny "Don't fragment" flag. Na UDP zalezi 
>> na typu provozu. Beznych 512B DNS paketu by se fragmentovat nemelo, 
>> ale vetsi pakety se fragmentovat mohou.
> 
> Hmmm - takze kdyz mam sit s nekolika sty prevazne domacimi uzivateli, 
> kde se "telefonuje" Skypem a ICQ, telefonuje pomoci VoIP, pouzivaji 
> ruzne torrentove stahovace, tak tam ten UDP provoz je celkem cily... To 
> se pak asi opravdu bude spatne odhadovat, jestli je neco moc nebo malo.

Existuje celkem dobry duvod, proc fragmentaci zabranit, ledaze ti na 
doruceni paketu opravdu prilis nezalezi. A ten duvod plati pro TCP a UDP 
stejne, Rozdil je jen v tom, ze zatimco na TCP se ti o reseni postara 
sitovy stack, na UDP si to (stejne jako radu dalsich veci) musi resit 
aplikace. A rada jich se to nejak resit snazi (prinejmensim tak, ze 
posilaji pomerne male pakety a doufaji, ze "to uz staci").

Ale kdyz si zjistis jake pakety tvoji sit opousteji fragmentovane, 
identifikujes jim prislusnou aplikaci a odhadnes jeji tok, tak zjistis, 
co bys mel povazovat za "normalni" ve tve siti.

> ip:
>         2196194 packets reassembled ok

Tohle uz muze byt divny. Pakety se reassembluji pouze v cili (a pak to 
jest emuze byt duvosedk nekterych firewallovych pravidel). Na tom tvem 
stroji asi Skype, ICQ, torrenty a buhvicojeste nebezi. Ledaze pro 
vsechny tyhle veci dela preklad ...

> ...a pri prohlizeni dalsich parametru se mi jeste nelibi tyhlety - nebo 
> je to v poradku?
> 
>         5685 bad header checksums
>         2 with size smaller than minimum
>         149501 with data size < data length

To vsechno jsou pakety poskozene. Typicky vadne sitove karty (pripadne 
dobre karty v pretaktovanem pocitaci), nekdy vadna kabelaz pripadne 
elektromagneticke ruseni, ktere do kabelaze pronika.

>         76547 packets for unknown/unsupported protocol
>         21487 packets received for unknown multicast group

To nic moc neznamena - takove pakety skutecne nekdo poslat.

>         8813 output packets dropped due to no bufs, etc.

Tolik paketu bylo zahozeno, protoze se "neveslo do linky". Dokud ale 
nevis do ktere tak nemas co resit. A to cislo je male.

>         10 datagrams with bad address in header

Tohle vlastne nevim co je. Musel bych se podivad do zdrojaku ...

					Dan

Previous message: Problem s VPN tunely - zrejme fragmentace
Next message: Problem s VPN tunely - zrejme fragmentace
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list