Hallo,
Ich hab heute auf einem Mailserver, der sich per NAT hinter einem Lancom 1711 befindet einen Newsletter verschickt. Nichts aussergewöhnliches, grade mal ca. 1500 Subskribenten.
Dabei ging dem Lancom offenbar nach ca. 300 Mails jedes mal die Puste aus. Die CPU-Last des Geräts stieg lt. Monitor auf über 47%, Verbindungen von anderen Rechnern nach draussen wurden gleich zurückgewiesen (Browser meldete beim Versuch, eine Seite aufzurufen sofort "Connection refused". Da half nur ein Kaltstart - und nach den nächsten 300 Mails war wieder das selbe.
Nun habe ich für SMTP eine Bandbreitenbegrenzung auf 128 kbit/s Global eingestellt. Kann das etwas damit zu tun haben? Bzw. was mir eben aufgefallen ist: Ich hab bei dieser Regel SNMP als Maßnahme angehakt. Kann es sein, dass ihn das senden der SNMP Nachrichten so grestreßt hat?
Lancom 1711: Zu hohe Last
Moderator: Lancom-Systems Moderatoren
Lancom 1711: Zu hohe Last
Liebe Grüße,
michael
michael
Hi tbc233
TCP: 300 Sekunden
UDP: 20 Sekunden
ICMP: 10 Sekunden.
Gerade der UDP-Timeout ist kritisch, da für jede DNS-Anfrage ein Eintrag erstellt werden muß - ggf. kann man den Timeout auch noch auf 10 Sekunden reduzieren...
Aber es ist trotzdem keine gute Idee, da dies dazu führt, daß jedesmal beim Überschreiten des Limits ein SNMP-Trap erzeugt wird...
@COMCARGRU:
In der 5.00 ist da mal wieder etwas gemacht worden und der "SNMP request handling timeout" auf den du anspielst, taucht nicht mehr auf...
Gruß
Backslash
das klingt nach einer übergelaufenen Maskierungstabelle. Wie hast Du die Timeouts eingestellt. Sie sollten tunlichst bei den Default-Einsrtellungen bleiben, alsoDabei ging dem Lancom offenbar nach ca. 300 Mails jedes mal die Puste aus. Die CPU-Last des Geräts stieg lt. Monitor auf über 47%, Verbindungen von anderen Rechnern nach draussen wurden gleich zurückgewiesen (Browser meldete beim Versuch, eine Seite aufzurufen sofort "Connection refused". Da half nur ein Kaltstart - und nach den nächsten 300 Mails war wieder das selbe
TCP: 300 Sekunden
UDP: 20 Sekunden
ICMP: 10 Sekunden.
Gerade der UDP-Timeout ist kritisch, da für jede DNS-Anfrage ein Eintrag erstellt werden muß - ggf. kann man den Timeout auch noch auf 10 Sekunden reduzieren...
Da die Last bei 47% lag, hat das LANCOM eigentlich noch genügend Luft...Nun habe ich für SMTP eine Bandbreitenbegrenzung auf 128 kbit/s Global eingestellt. Kann das etwas damit zu tun haben? Bzw. was mir eben aufgefallen ist: Ich hab bei dieser Regel SNMP als Maßnahme angehakt. Kann es sein, dass ihn das senden der SNMP Nachrichten so grestreßt hat
Aber es ist trotzdem keine gute Idee, da dies dazu führt, daß jedesmal beim Überschreiten des Limits ein SNMP-Trap erzeugt wird...
@COMCARGRU:
In der 5.00 ist da mal wieder etwas gemacht worden und der "SNMP request handling timeout" auf den du anspielst, taucht nicht mehr auf...
Gruß
Backslash
Herr Ohn hatte mir da im Februar noch wenig Hoffnung gemacht...Das stimmt - hier habe ich *wesentlich* höhere Werte eingetragen. Das hat einen Grund - wir arbeiten hier mit IMAP Mailboxen und hatten ständig das Problem, dass wenn einige Zeit nicht mit dem Mailprogramm gearbeitet wurde, es Probleme gab, Nachrichten auf den Server zu kopieren (zb. wenn man eine Nachricht schreibt und diese dann beim Versenden in den Ordner SENT kopiert werden soll). Ich habe bemerkt, dass dies offenbar daran liegt, dass die Verbindung von der Maskierungstabelle aufgrund Inaktivität zugemacht wird und in der Tat war es mit einem saftigen Hochstellen des TCP-Timeouts erledigt, da somit die TCP Verbindungen zum IMAP Server immer schön offen bleiben.das klingt nach einer übergelaufenen Maskierungstabelle. Wie hast Du die Timeouts eingestellt. Sie sollten tunlichst bei den Default-Einsrtellungen bleiben, also
TCP: 300 Sekunden
UDP: 20 Sekunden
ICMP: 10 Sekunden.
Gerade der UDP-Timeout ist kritisch, da für jede DNS-Anfrage ein Eintrag erstellt werden muß - ggf. kann man den Timeout auch noch auf 10 Sekunden reduzieren...
Gibts den eine bessere Lösung für dieses Problem?
Liebe Grüße,
michael
michael
Hallo,
Oben zitierter Vorfall ist zwar jetzt bald ein Jahr her (und auch nicht mehr vorgekommen), dennoch ist in den letzten Tagen hier bei mir eine Diskussion mit einem Kollegen entbrandt - und zwar darüber, wieviele gleichzeitige maskierte Verbindungen die verschiedenen Lancom-Geräte vertragen, die ich gerne klären würde.
Szenario: Kleinbetrieb mit 10 Mitarbeiter - also sagen wir 10 Stationen, ein Server - Internet Zugang über DSL mit 1711. ICQ und Skype (jetzt mal so als beispiel) sind erlaubt.
Soweit ich weiß, hat die Verbindungsliste Platz für 128 Einträge.
Gehen wir davon aus, dass um 8 Uhr alle im Büro eintreffen und Ihre Rechner anwerfen. Wenn das ICQ einen guten Tag hat, baut es beim Start bis zu 30 Verbindungen auf. Wenn wir das mal so überschlagen - wären das schon knapp 300 maskierte Verbindung. Damit wären die 128 Einträge mehr als verbraucht und es müsste zum selben Effekt kommen wir bei mir oben beschrieben - nichts geht mehr, bis wieder einige Verbindungen aus der Liste herausaltern.
Dieser Impact verstärkt sich noch, wenn der Admin das TCP-Aging ein wenig aufgedreht hat, um zb. Timeouts bei IMAP Verbindungen (o.ä.) zu vermeiden.
Sehe ich diese Problematik richtig? Falls ja, wieviele maskierte Verbindungen vertragen andere Lancom-Geräte? Falls nein, wie ist es wirklich?
Oben zitierter Vorfall ist zwar jetzt bald ein Jahr her (und auch nicht mehr vorgekommen), dennoch ist in den letzten Tagen hier bei mir eine Diskussion mit einem Kollegen entbrandt - und zwar darüber, wieviele gleichzeitige maskierte Verbindungen die verschiedenen Lancom-Geräte vertragen, die ich gerne klären würde.
Szenario: Kleinbetrieb mit 10 Mitarbeiter - also sagen wir 10 Stationen, ein Server - Internet Zugang über DSL mit 1711. ICQ und Skype (jetzt mal so als beispiel) sind erlaubt.
Soweit ich weiß, hat die Verbindungsliste Platz für 128 Einträge.
Gehen wir davon aus, dass um 8 Uhr alle im Büro eintreffen und Ihre Rechner anwerfen. Wenn das ICQ einen guten Tag hat, baut es beim Start bis zu 30 Verbindungen auf. Wenn wir das mal so überschlagen - wären das schon knapp 300 maskierte Verbindung. Damit wären die 128 Einträge mehr als verbraucht und es müsste zum selben Effekt kommen wir bei mir oben beschrieben - nichts geht mehr, bis wieder einige Verbindungen aus der Liste herausaltern.
Dieser Impact verstärkt sich noch, wenn der Admin das TCP-Aging ein wenig aufgedreht hat, um zb. Timeouts bei IMAP Verbindungen (o.ä.) zu vermeiden.
Sehe ich diese Problematik richtig? Falls ja, wieviele maskierte Verbindungen vertragen andere Lancom-Geräte? Falls nein, wie ist es wirklich?
Liebe Grüße,
michael
michael
-
betatester
- Beiträge: 29
- Registriert: 01 Jun 2006, 12:46
Hi tbc233
@betatester
Gruß
Backslash
das ist die Liste in der die Firewall die offenen Verbindungen nachhält - maskierte und unmaskierte. Diese Liste wird halbdynamisch vergrößert und verkleinert (jeweils an 128er Grenzen) und ist letztendlich nur durch den Speicherplatz beschränkt. Sie hat aber rein gar nichts mit der Maskierungs-Tabelle zu tun.Ich kam darauf, weil im Webinterface sich bei der Verbindungsliste
128 x [Quell-Adresse,Ziel-Adresse,Prot.,Quell-Port,Ziel-Port,..]
@betatester
Der Wert ist in allen LANCOMs gleich und hat sich bisher auch immer als ausreichend erwiesenjetzt im ernst:
gelten die 2048 eintraege auch fuer einen 7111er?
Gruß
Backslash
Also ich hab hier eine 8011, die auch nur 2048 Einträge hat und ein Netzwerk mit 200 Clients. Probleme aufgrund der Größe der Maskierungstabelle wären mir nicht bekannt. 2048 Einträge ist im Vergleich zum Mitbewerb auch eher viel. Die meisten Router ham ja nur 512 Einträge. Ich hab auch bislang nur von einem Hersteller gehört, der 4096 hat (War das Bintec oder Draytek?).
Was anderes sind Boxen ala Astaro, die geben schonmal gigantisch hohe Werte an - meinen aber vermutlich was anderes - zumindest wenn man bedenkt wie diese Technik bei Lancom arbeitet...
Gruß
COMCARGRU
Was anderes sind Boxen ala Astaro, die geben schonmal gigantisch hohe Werte an - meinen aber vermutlich was anderes - zumindest wenn man bedenkt wie diese Technik bei Lancom arbeitet...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
2000 sind zu wenig - vergleiche Netscreen
Nur mal kurz zum Vergleich - die kleinsten Firewall-Appliances von Netscreen haben schon 2000 Sessioneinträge möglich, werden aber nur für KLEINE Netzwerke angeboten/empfohlen. Hier sollte von Lancom unbedingt mehr geboten werden, insbesondere bei Systemen, die ausreichend Speicher haben wie die 71xx, 81xx und 1722 ! Die beschriebenen Probleme sind sonst schnell da, denn ein einzelner Amoklaufender Peer2Peer-Client frisst ggf. schon reichlich von den Resourcen für sich allein ...
Ja nur wie arbeitet Netscreen beim NAT?
Beim LC werden die 2048 Einträge auf einen Teil der Portrange abgebildet. Es gibt Netscreens, da stehen dann 200.000 Sessions als möglich im Datenblatt. Dies würde mit LCs gar nicht klappen, weil die Portrange ja nunmal max. 65.535 Einträge fast. - Und ein paar Ports werden ja auch benötigt
Das ist übriegens der Grund, warum ein LC nicht mehr arbeitet, wenn man plumb alle Ports in der Maskierung weiterleitet - wie das so mancher ja schon tun wollte.
Also als erstes würde ich dann schon wissen wollen, wie realisiert Netscreen 200.000 Sessions? Die müssen das ja wohl auch irgendwie auf die Portrange abbilden und 200.000 Ports gibt es nicht!
Gruß
COMCARGRU
Beim LC werden die 2048 Einträge auf einen Teil der Portrange abgebildet. Es gibt Netscreens, da stehen dann 200.000 Sessions als möglich im Datenblatt. Dies würde mit LCs gar nicht klappen, weil die Portrange ja nunmal max. 65.535 Einträge fast. - Und ein paar Ports werden ja auch benötigt
Das ist übriegens der Grund, warum ein LC nicht mehr arbeitet, wenn man plumb alle Ports in der Maskierung weiterleitet - wie das so mancher ja schon tun wollte.
Also als erstes würde ich dann schon wissen wollen, wie realisiert Netscreen 200.000 Sessions? Die müssen das ja wohl auch irgendwie auf die Portrange abbilden und 200.000 Ports gibt es nicht!
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Hallo zusammen,
Vielen Dank und viele Grüße
C.
mal ungeachtet der 2048er Debatte, kann man den "Befüllungsstand" dieser Maskierungstabelle irgendwo einsehen (ich war auch immer der Meinung, dass das mit der Verbindungsliste abgedeckt ist, aber dem scheint ja nicht so zu sein).backslash hat geschrieben: nein, die Maskierungs-Tabelle hat 2048 Einträge. Wenn die vollläuft, dann geht gar nichts mehr, bis irgendwann ein Eintrag herausaltert oder Sessions geschlossen werden...
Vielen Dank und viele Grüße
C.
Lancom DSL/I-10+, LCOS 8, QDSL 2.560 & 16.000