Откуда потери внутри ipsec, если в сети есть L2-свитч?

Question

[Ивор Барханский]

Камрады, подскажите в чем может быть проблема, когда если между конечным пользователем и L3 свитчом, который держит ipsec-туннель засунуть L2 свитч, коннект по туннелю становится дико нестабильным с частыми разрывами. Проверяли подставляя другие L2 свитчи и тупые свитчи. На тупых — всё бодро работает. На любых L2 — проблемы. При этом при пинговании локальной сети через те же L2 — никаких проблем не наблюдается.

Гуглёж особо не приносит успеха, нутро чует, что нужна какая-то опция, которая без ipsec не релевантна. Но ступор.

Comments

[Vladimir Zhurkin]

Я бы попросил схему для лучшего понимания.

Так как любые тупые свитчи, это те же L2, только без управление, возможно меньше буфер и кол-во mac адресов.
Ipsec это уже L3 уровень.

UPD. Запустить снифер и посмотреть, что происходит.

[Ивор Барханский]

Vladimir Zhurkin:
(L3 c выходом в ipsec) --- ((сеть)) --- (тупой свитч) --- комп — в сети хорошо, в туннеле хорошо.
(L3 c выходом в ipsec) --- ((сеть)) --- (смарт-свитч) --- комп — в сети хорошо, в туннеле адские потери.

тестировали разные направления. чуть где в сети мелькнёт смарт-свитч — в туннеле вылезают потери.

[Владимир Дубровин]

тут может быть все, что угодно - плохо обжатый кабель, loop в сети, неправильный MTU привоодящий к jumbo frame'ам, коллизия в hash-таблицах свича, ограничение на ARP в коммутаторе / port security.

[Vladimir Zhurkin]

Игорь Б: Может проблема в smart switch или его настройках ?
Посмотрите значение MTU в одном случаи и другом
Хотя бы элементарно ping -f -l 1472 ya.ru.

[Ивор Барханский]

Vladimir Zhurkin: «Требуется фрагментация пакета, но установлен запрещающий флаг». На всех возможных комбинациях. Разрешённый потолок на всех комбинациях: 1410.

[Vladimir Zhurkin]

Игорь Б: На L2 посмотрите есть ли RST/STP и отключите его.
как вариант отключать все, что может влиять на интеллект.
Запустить снифер Wareshark и попробовать посмотреть что происходит до и после.

[Ивор Барханский]

Vladimir Zhurkin: хм. он у меня был выключен, я его наоборот включил для профилактики. сегодня уже в ночи нашли одну крайне идиотскую петлю, доставшуюся от предшественников, там где никто бы не догадался искать. Возможно её отсутствие решит проблему. Завтра покажет.

[Vladimir Zhurkin]

Игорь Б: Тут сложно из далека советовать. Я бы сделал дамп снифером да и после и сравнивал. Нудно конечно, но думаю это может дать ответ на вопрос потери пакетов.

Answer 1

[Валентин]

Предположу, что косяк скорее всего в mtu (системном и на интерфейсе) и в каких-нибудь опциях фильтрации трафика и обработки фрагментированных пакетов. Ещё можно проверить стандартные политики обработки qos.