ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx SSL offload в highload проекте


On 23.08.2012, at 11:49, Илья Шипицин <chipitsine@xxxxxxxxx> wrote:

23 августа 2012 г., 13:44 пользователь Alexey V. Karagodov <kav@xxxxxxxxxxxxxx> написал:
что то мы заоффтопились ... 

On 23.08.2012, at 11:31, Илья Шипицин <chipitsine@xxxxxxxxx> wrote:



23 августа 2012 г., 13:24 пользователь Alexey V. Karagodov <kav@xxxxxxxxxxxxxx> написал:
> и еще один момент вылетел из головы.
> на системах Windows исходящие https соединения идут с включенным битом DF, соответственно вы в полный рост увидите (мы у себя видим) криво настроенные MTU и заблокированные "icmp dest unreach frag required" в транзите.
>
> как бороться с этим мы не придумали и тупо понизили на своей стороне MSS. уменьшение на 40 байтов должно хватить для закрытия типичных проблем с кривыми MTU в транзите.
mtu=1500
mss=mtu-40

всегда везде работало
 
на сотнях тысячах пользователей попадаются несколько десятков с криво настроенным mtu (в основном на pppoe тунелях, почему-то), там достаточно отнять еще раз по 40 байт.
 
mtu = 1460
mss = mtu-40
 
и это закроет проблемных pppoe-клиентов.
кроме этого пару раз видели проблемы с mtu другой природы, когда "минус 40 байтов" не помогло.
для пппое на клиентском железе (пппое-клиент) надо делать ещё -8 
для всяких там pptp/l2tp, гори они в аду, надо ещё минус несколько десятков 

pmtu вам в помощь короче говоря 
 
 
про pmtu я в курсе. но, если я контролирую только серверную часть (и не блокирую исходящие от меня icmp), какие у меня есть возможности в плане pmtu ?
 
кроме "понизить mss до безопасного уровня, чтобы везде пролазило", что я могу сделать ?
Some implementations of PMTUD attempt to prevent this problem by inferring that large payload packets have been dropped due to MTU rather than because of link congestion. 
найти "правильную" реализацию pmtud ... 



 
 
к примеру на Juniper SRX работает отлично просто, а Cisco ISR - шлак 


 

это только с вендрой? со всеми версиями?
 
да. да.
 
P.S. на маршрутизаторе можно DF бит снять
 
ммм, а смысл ?
будет больше мест, где оно пролезет, ну хотя бы по частям 
 
 
надо будет поизучать этот вопрос.
 
 

 

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

 



Copyright © Lexa Software, 1996-2009.