ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx SSL offload в highload проекте



23 августа 2012 г., 13:44 пользователь Alexey V. Karagodov <kav@xxxxxxxxxxxxxx> написал:
что то мы заоффтопились ... 

On 23.08.2012, at 11:31, Илья Шипицин <chipitsine@xxxxxxxxx> wrote:



23 августа 2012 г., 13:24 пользователь Alexey V. Karagodov <kav@xxxxxxxxxxxxxx> написал:
> и еще один момент вылетел из головы.
> на системах Windows исходящие https соединения идут с включенным битом DF, соответственно вы в полный рост увидите (мы у себя видим) криво настроенные MTU и заблокированные "icmp dest unreach frag required" в транзите.
>
> как бороться с этим мы не придумали и тупо понизили на своей стороне MSS. уменьшение на 40 байтов должно хватить для закрытия типичных проблем с кривыми MTU в транзите.
mtu=1500
mss=mtu-40

всегда везде работало
 
на сотнях тысячах пользователей попадаются несколько десятков с криво настроенным mtu (в основном на pppoe тунелях, почему-то), там достаточно отнять еще раз по 40 байт.
 
mtu = 1460
mss = mtu-40
 
и это закроет проблемных pppoe-клиентов.
кроме этого пару раз видели проблемы с mtu другой природы, когда "минус 40 байтов" не помогло.
для пппое на клиентском железе (пппое-клиент) надо делать ещё -8 
для всяких там pptp/l2tp, гори они в аду, надо ещё минус несколько десятков 

pmtu вам в помощь короче говоря 
 
 
про pmtu я в курсе. но, если я контролирую только серверную часть (и не блокирую исходящие от меня icmp), какие у меня есть возможности в плане pmtu ?
 
кроме "понизить mss до безопасного уровня, чтобы везде пролазило", что я могу сделать ?
 
 
к примеру на Juniper SRX работает отлично просто, а Cisco ISR - шлак 


 

это только с вендрой? со всеми версиями?
 
да. да.
 
P.S. на маршрутизаторе можно DF бит снять
 
ммм, а смысл ?
будет больше мест, где оно пролезет, ну хотя бы по частям 
 
 
надо будет поизучать этот вопрос.
 
 

 

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.