Re: nginx SSL offload в highload проекте
Alexey V. Karagodov
kav at karagodov.name
Thu Aug 23 08:12:05 UTC 2012
On 23.08.2012, at 11:49, Илья Шипицин <chipitsine at gmail.com> wrote:
> 23 августа 2012 г., 13:44 пользователь Alexey V. Karagodov <kav at karagodov.name> написал:
> что то мы заоффтопились ...
>
> On 23.08.2012, at 11:31, Илья Шипицин <chipitsine at gmail.com> wrote:
>
>>
>>
>> 23 августа 2012 г., 13:24 пользователь Alexey V. Karagodov <kav at karagodov.name> написал:
>> > и еще один момент вылетел из головы.
>> > на системах Windows исходящие https соединения идут с включенным битом DF, соответственно вы в полный рост увидите (мы у себя видим) криво настроенные MTU и заблокированные "icmp dest unreach frag required" в транзите.
>> >
>> > как бороться с этим мы не придумали и тупо понизили на своей стороне MSS. уменьшение на 40 байтов должно хватить для закрытия типичных проблем с кривыми MTU в транзите.
>> mtu=1500
>> mss=mtu-40
>>
>> всегда везде работало
>>
>> на сотнях тысячах пользователей попадаются несколько десятков с криво настроенным mtu (в основном на pppoe тунелях, почему-то), там достаточно отнять еще раз по 40 байт.
>>
>> mtu = 1460
>> mss = mtu-40
>>
>> и это закроет проблемных pppoe-клиентов.
>> кроме этого пару раз видели проблемы с mtu другой природы, когда "минус 40 байтов" не помогло.
> для пппое на клиентском железе (пппое-клиент) надо делать ещё -8
> для всяких там pptp/l2tp, гори они в аду, надо ещё минус несколько десятков
>
> pmtu вам в помощь короче говоря
>
>
> про pmtu я в курсе. но, если я контролирую только серверную часть (и не блокирую исходящие от меня icmp), какие у меня есть возможности в плане pmtu ?
>
> кроме "понизить mss до безопасного уровня, чтобы везде пролазило", что я могу сделать ?
http://en.wikipedia.org/wiki/Path_MTU_Discovery
Some implementations of PMTUD attempt to prevent this problem by inferring that large payload packets have been dropped due to MTU rather than because of link congestion.
найти "правильную" реализацию pmtud ...
http://juniper.ie/techpubs/en_US/junose12.3/information-products/topic-collections/swconfig-ip-ipv6/index.html?id-92450.html
>
>
> к примеру на Juniper SRX работает отлично просто, а Cisco ISR - шлак
>
>
>>
>>
>> это только с вендрой? со всеми версиями?
>>
>> да. да.
>>
>> P.S. на маршрутизаторе можно DF бит снять
>>
>> ммм, а смысл ?
> будет больше мест, где оно пролезет, ну хотя бы по частям
>
>
> надо будет поизучать этот вопрос.
>
>
>
>>
>>
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru at nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru at nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20120823/aace1d3c/attachment-0001.html>
Подробная информация о списке рассылки nginx-ru