Поиск причины повторной передачи TCP в локальной сети

25

Привет жителям сервера Fault

У меня раздражающая проблема с локальной сетью из примерно 100 компьютеров, 2 серверов домена Windows и 12 телефонов VoIP. С момента их установки около года назад, каждую неделю или около того, мы замечаем, что телефон VoIP перезагружается сам - иногда во время разговора. Одновременно часто появляются признаки временной потери соединения на компьютерах: зависание в проводнике при доступе к сетевым ресурсам, ошибки в нашем программном обеспечении для администрирования из-за потери соединения с сервером базы данных.

Я проводил мониторинг Wireshark на соединении между УАТС VoIP и остальной частью сети. Wireshark обнаруживает группу повторно переданных TCP-пакетов в то время, когда мы записываем перезапуски телефона. Журнал Wireshark показывает около 2 кластеров повторных передач в день, от 5 пакетов до сотен. Они в каждом кластере находятся в основном между УАТС и некоторым набором телефонов VoIP, но не всегда один и тот же набор. Часто повторные передачи одновременно осуществляются на телефоны, подключенные к одному и тому же коммутатору, но иногда повторные передачи происходят вместе на телефоны на противоположных концах сети. Обычно при передаче TCP-трафика происходят некоторые повторные передачи, например, между клиентскими компьютерами и файловыми серверами.

Пики в повторных передачах и перезагрузках телефона плохо коррелируют с тем, когда сеть сильно загружена. Кажется, что они случаются немного чаще в течение дня, но чаще вечером, когда движение должно уменьшиться. Они происходят достаточно часто поздно ночью, когда большинство компьютеров выключено и трафик должен быть наименьшим.

У вас есть идеи, которые могут помочь диагностировать причину подобных проблем? Одна вещь, которую я еще не попробовал, но должен был, это обновить прошивку всех коммутаторов.

networking tcp voip

— сюрреалистичный
источник

1

Какая модель переключается? Как выглядит статистика процессора, памяти и т. Д.? Вы находитесь на одном широковещательном домене? Как близко к максимальной пропускной способности вы видите в сети?

— Зайфер

Какой протокол VoIP вы используете? Кроме того, используя UDP или TCP?

— Крис С

Все коммутаторы 3Com: базовая линия 2924 - PWR Plus (3CBLSG24PWR) x 2, 4200 (3C17304A) x 3, 4200 (3C17304) x 2, 2824-SPF Plus (3C16487), 2250 плюс (3C16476CS). Я не думаю, что они дают статистику по процессору или памяти, но я был бы очень рад узнать иначе. Да, мы находимся на одном вещательном домене. Я не знаю о пропускной способности, я буду смотреть на ее измерение.

— Сюрреалистический

17

Повторные передачи TCP обычно происходят из-за перегрузки сети. Ищите большое количество широковещательных пакетов во время возникновения проблемы. Если процент трафика широковещания в вашем захвате превышает примерно 3% от общего захваченного трафика, то вы определенно испытываете заторы. Посмотрите на широковещательные рассылки как физического уровня (ARP), так и сетевого уровня (разрешение имен) в сети. Если вы обнаружите большой объем широковещательного трафика, вы можете отследить его до источника по данным захвата.

— joeqwerty
источник

9

Кроме того, повторные передачи TCP не являются причиной вашей проблемы, они являются симптомом проблемы.

— Joeqwerty

Я должен был упомянуть, что я посмотрел на широковещательные рассылки UDP, и они не коррелировали с повторными передачами. Некоторые события повторной передачи совпадают с пиками в широковещательных рассылках UDP, но большинство - нет. Я посмотрел еще раз и обнаружил, что широковещательные рассылки UDP не превышают 1,5% трафика (около 350 пакетов) в любом 10-минутном временном сегменте, и достижение этого уровня происходит редко. Однако я не смотрел эфирные передачи. Сейчас я запускаю скрипт для фильтрации всех моих логов Wireshark. Эмпирическое правило 3% для UDP-трансляций и Ethernet-трансляций индивидуально или в сочетании?

— Сюрреалистический

1

3% на самом деле не эмпирическое правило. Это то, что мне сказали, и то, что я видел в моем собственном окружении. Я слышал цифры от 10 до 20%, но обнаружил, что если оно превышает 3–5%, это обычно вызывает проблемы. Вы должны смотреть на весь широковещательный трафик: Ethernet, сеть и многоадресные широковещательные рассылки, поскольку все они могут вызвать перегрузку. По сути, любой трафик, который транслируется на все порты коммутатора, является трафиком, который необходимо проанализировать и уменьшить или устранить.

— Joeqwerty

У меня до сих пор нет симпатичного графика, чтобы проверить хорошую корреляцию в течение длительного периода, но трансляции Ethernet выглядят довольно многообещающе. Один журнал, где произошла ретрансляция, имел чуть более 3% широковещательных рассылок, другой - около 6%. По крайней мере, я обнаружил одну проблему: старый сервер выпускает постоянный поток бесплатных ARP-пакетов.

— Сюрреалистический

1

Я обнаружил чрезмерные записи ARP с помощью фильтра Wireshark arp- и только для просмотра широковещательных записей - с использованием фильтраeth.addr==ff:ff:ff:ff:ff:ff

— mlhDev

2

Сбор статистики трафика для ваших коммутаторов может показать, что у вас есть периоды, когда вы работаете с максимальной пропускной способностью. Это может привести к повторным попыткам, когда ответы не возвращаются в течение начального тайм-аута (часто 3 секунды). Это на мгновение увеличивает заторы, пока не сработают механизмы уменьшения заторов.

Ищите людей, использующих потоковое мультимедиа, так как они могут быстро впитываться.

Вы можете решить проблему с телефонами путем ограничения трафика. Это просто перенесет проблему на других пользователей.

— BillThor
источник

2

Для меня это звучит как петля связующего дерева или широковещательный шторм, особенно если повторные передачи и проблемы локализованы для одного и того же коммутатора (который отличается). Когда это происходит, каковы состояния порта на вашем устройстве L2? Возможно плохой коммутатор или плохие приоритеты корневого моста? Интересная проблема.

— McJeff
источник

Спасибо, что побудили меня прочитать о покрывающих деревьях, о которых я смущенно ничего не знаю. Однако я не думаю, что это может быть цикл связующего дерева, потому что у нас нет никаких избыточных ссылок в нашей сети (возможно, проблема сама по себе). Под "состояниями портов на вашем устройстве L2" я прав, вы имеете в виду, какие порты были включены коммутаторами в результате алгоритма связующего дерева? Мы не настраивали корневой мост вручную, было бы неплохо сделать это?

— Сюрреалистический

Знакомство с STP - хорошая идея, но если вы уверены, что у вас нет лишних ссылок, то STP не будет проблемой.

— Joeqwerty

Да, если у вас нет избыточных ссылок, это не будет проблемой. Под состояниями порта, я имею в виду, что вперед / заблокировано / обучение.

— МакДжефф

2

Вы, вероятно, решили эту проблему, так как это было так долго, но по сути вам нужно включить «быстрый порт» на портах, которые имеют конечные точки (VoIP-телефоны, рабочие станции, серверы). Телефон может отправлять PDU, поэтому, если этот парень перезагружается, это вызывает сближение STP, в результате чего таблица FDB сбрасывается и все устройства проходят через 4/5 шагов STP. Помещая порты с конечной точкой в «быстрый порт», они пропускают ожидание и переходят прямо в режим пересылки.

— Барак с.
источник

1

Надеюсь, ваши телефоны находятся в другой подсети и VLAN от других компьютеров?

— Грег Аскью
источник

Нет, они находятся в одной и той же IP-подсети, и я почти уверен в том же VLAN. Это серьезная проблема? Это, конечно, звучит так, как будто это хорошая идея. Я вижу, что это разделило бы широковещательные домены для телефонов и всего остального. Будет ли у него какие-то другие преимущества?

— Сюрреалистический

Да, я бы определенно поставил телефоны на выделенную VLAN.

— Грег Аскью

1

Это также может быть неисправное оборудование, например, неисправный выключатель. Ретрансляции соотносятся с телефонами / компьютерами на одном конкретном коммутаторе или части сети?

Просто чтобы немного расширить мой ответ. Не все переключатели созданы равными, даже если они имеют одинаковые характеристики. Некоторые способны справиться с гораздо более высокой нагрузкой, чем другие, потому что у них внутри более быстрые процессоры. Может случиться так, что ваши переключатели не совсем подходят.

Я бы начал с того, что поставил некоторые из ваших самых проблемных VOIP-телефонов на их физический коммутатор и посмотрел, продолжаются ли их перезагрузки. Если он уйдет, значит, вы на пути к его решению очень скоро.

— Matt
источник

Я хотел бы, чтобы они сделали. Похоже, что наибольшие проблемы возникают с устройствами, подключенными к двум коммутаторам, которые находятся на противоположных концах сети. Тем не менее, есть значительные повторные передачи на телефоны в других частях сети.

— Сюрреалистический