Пропадают пакеты

Для начала физику проверь.

как?

Ну, банально кабель/конектор на целесность(визуально осмотреть), переобжать. В иделе тыкнуть вместо дебиан что то другое и проверить будет ли так же или нет.

88 до 155 ms - это с соседней машины или из интернетов ?

Для гигабит-езернета это полный 3.14.

Можно посмотреть «ethtool -S ethX | grep error».

Потом смотрим что происходит на коммутаторе, к которому поключен компутер.

PS 1% потерь для tcp практически незаметен.

Нет, через 14 узлов. Какой 3.14, пингую с удаленного компа, пишет время=88мс

ethtool -S enp4s0 | grep error
     rx_errors: 86
     tx_errors: 0
     rx_length_errors: 86
     rx_over_errors: 0
     rx_crc_errors: 0
     rx_frame_errors: 0
     rx_missed_errors: 564127789
     tx_aborted_errors: 0
     tx_carrier_errors: 0
     tx_fifo_errors: 0
     tx_heartbeat_errors: 0
     tx_window_errors: 0
     rx_long_length_errors: 0
     rx_short_length_errors: 86
     rx_align_errors: 0
     rx_csum_offload_errors: 4461
     uncorr_ecc_errors: 0
     corr_ecc_errors: 0

Говорю же, физику проверяй.

Написал в супорт... но там ответа ждать два дня, к тому же проблема эта появляется периодически, не всегда

Нет, через 14 узлов.

Проверяй поочерёдно до каждого узла. ping, traceroute, mtr

Здесь что угодно может быть. Соответсвенно и суппорт тебе ничего не ответит.

А что проверять? Запустил MTR, на моей машине 3% потерь, на промежуточных по 1

% Sent Recv
..
1 3225 3222
...
1 3233 3232
...
3 2916 2835 моя машина

tcpdump -n port not 22
163076193 packets captured
167887506 packets received by filter
4811183 packets dropped by kernel
3163893 packets dropped by interface

Нет, через 14 узлов. Какой 3.14, пингую с удаленного компа, пишет время=88мс

гм. на 14 хопах может быть все что угодно...

rx_missed_errors - это дропы входящих пакетов из-за нехватки буферов. Нужно тюнить систему, как минимум RPS.

а что говорит grep enp4s0 /proc/interrupts ?

tcpdump -n port not 22
163076193 packets captured
167887506 packets received by filter
4811183 packets dropped by kernel
3163893 packets dropped by interface

Это за какое время ?

А трафик там сколько мегабит/с ?

tcpdump с выводом на консоль на таких скоростях вреден.

grep enp4s0 /proc/interrupts
 28:      25885       3397       2441        840      22499       7443 1853878386       1292   PCI-MSI 2097152-edge      enp4s0-rx-0
 29:      22690       3526       2495 3662786534      18611       7034       2615       1553   PCI-MSI 2097153-edge      enp4s0-tx-0
 30:          1          0          0          0          0     353228          1          0   PCI-MSI 2097154-edge      enp4s0

Время не засекал, ну может час. Потом по ctrl+c убил

Вот точный вывод:

tcpdump -w capture -c 1000000 port not 22
tcpdump: listening on enp4s0, link-type EN10MB (Ethernet), capture size 262144 bytes
1000000 packets captured
1002757 packets received by filter
2718 packets dropped by kernel
3205 packets dropped by interface

Нужно тюнить систему, как минимум RPS

Это в /etc/sysctl? Можно пример того что тюнить?

Это в /etc/sysctl? Можно пример того что тюнить?

Что-то типа 'echo F0 >/sys/class/net/XXXX/queues/rx-0/rps_cpus'

Но, возможно и «ethtool -G» поможет.

100-200Мбит/с это не очень много. Вопрос в pps.

свитч, роутер и т.д. ...пакеты не теряют?

Если какие то лимиты и были превышены, но в логах ничего нет, это нормально? Как вообще понять что превышено?

ethtool -G enp4s0
no ring parameters changed, aborting

не знаю, написал в супорт. Да вряд ли, провайдер крупный в Германии. К тому же на моем сервере они теряются судя по MTR

man ethtool на тему "-G"

Посмотри на текущие настройки через «ethtool -g enp4s0»

Увеличь число буферов для приема.

пфф. так бы и написал, что это впска

Это не VPS

А точно ли в буферах дело? Или тупо увеличить и посмотреть как будет?.. Трафик то не сильно большой, бывало и 500mbsp на этом же сервере. Или может быть флуд какой нибудь, как определить причину точную из-за чего дропаются пакеты? Видел тулзу dropwatch, которая якобы мониторит дропы на уровне ядра, но там с установкой заиуты какие то, нужно ядро перекомпилировать чтобы включить этот мониторинг... и вообще не знаю нужна ли мне эта прога или не туда копаю )

ethtool -g enp4s0
Ring parameters for enp4s0:
Pre-set maximums:
RX:             4096
RX Mini:        0
RX Jumbo:       0
TX:             4096
Current hardware settings:
RX:             256
RX Mini:        0
RX Jumbo:       0
TX:             256

Мониторинг числа ошибок, загрузки канала (bps и pps) и время отклика шлюза по-умолчанию может дать ответ на вопрос являются ли эти потери результатом перегрузки интерфейса или это проблемы инфраструктуры.

Видел тулзу dropwatch, которая якобы мониторит дропы на уровне ядра, но там с установкой заиуты какие то, нужно ядро перекомпилировать чтобы включить этот мониторинг

Все что отбросила карта есть в статистике карты, а то, что отбрасывает ядро есть в счетчиках /proc/net/{snmp,snmp6,dev}

Еще iptables/conntrack может дропать.

Кстати в iptables 9000 правил. Может из-за этого? Хотя на другом сервере тоже столько же, но там скорость на порядок меньше идет

Забил в zabbix pps, максимальное значение было 145\68kpps(out\in). Ещё заметил что исходящий трафик не поднимается выше 200mbps(хотя раньше было 500 и пики до 1gbps). Колбасить ping начинает именно когда скорость приближается к 200mbps...

С третьей машины попингуй и потрассеруй эти обе машины. На какую то одну валятся пакеты или на обе?

Скачал тестовый файл 24гига с сервера,скорость поднялась до 500mbps, но стало все отваливаться, задержки увеличились, потери пакетов

ifconfig показывает какие то огромные потери

ifconfig
enp4s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        RX packets 4787066868  bytes 1428217381646 (1.2 TiB)
        RX errors 89  dropped 566139463  overruns 0  frame 89
        TX packets 7637664932  bytes 8713377703001 (7.9 TiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 16  memory 0xdf200000-df220000

9000 правил - это много!

Запускаем «mpstat -P 6 5», где 6 - ядро которое обрабатывает прерывание rx-0 (28irq) и смотрим колонку %soft. Если там появляется что-то > 90%, значит нужно раскидывать обработку входящих пакетов на несколько ядер (rps должен помогать).

Если есть куча однотипных правил, то нужно попытаться переписать с использованием ipset. Обновление таблицы правил iptables - это очень тяжелая операция.

Это много. Проблема не в физике.

Начни с включения rps echo 'F0' >/sys/class/net/enp4s0/queues/rx-0/rps_cpus

Убедись, что нагрузка %soft упала на ядре 6 и появилась на ядрах 4,5,7 через «mpstat -P ALL 5»

Если на карте не включен offload ( ethtool -S enp4s0 | grep offload будет нулевой), то можно попробовать включить всякие offload на сетевой карте

«ethtool -K enp4s0 sg on tso on gso on gro on»

softirq сильно увеличился(в среднем сейчас 15%) на серверах где много правил iptables

mpstat -P 6 5
CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest  %gnice   %idle
Average:       6    0.50    0.00    1.28    3.45    0.00    5.84    0.00    0.00    0.00   88.94

5.84% это вообще смешно.

Linux 4.4.142 (ls-gw-r2)        19.09.2018      _x86_64_        (8 CPU)

20:04:09     CPU    %usr   %nice    %sys %iowait    %irq   %soft  %steal  %guest   %idle
20:04:14       4    0.00    0.00    0.00    0.00    0.60   44.20    0.00    0.00   55.20
20:04:19       4    0.00    0.00    0.00    0.00    0.80   43.29    0.00    0.00   55.91

А если ДоС, то те 9000 правил - не они ли становятся проблемой? Точнее то, как эти 9000 правил добавляются ?

Другой момент - ты написал что трафик 145\68kpps(out\in), а это уже повод задуматься над более тонкой настройке сетевого стека.

Интересно, что у тебя говорит «mpstat -I SUM 5» ? Из него нужно вычитать частоту таймера*число_ядер

Сделай простой тест - добавление 9000 однотипных правил в цепочку и замерь время.

Запусти iptables -N X ; time for i in `seq 1 90`; do for j in `seq 1 100`; do iptables -A X -s 10.1.$i.$j; done; echo -n

это более 30 секунд!

Отключал файрвол, не помогало. Разве 145\68kpps это много? Всегда скорость была 500-700mbps и нормально все работало, проблемы эти начались 3 дня назад только

10:28:10 PM  CPU    intr/s
10:28:15 PM  all   2249.80
10:28:20 PM  all   2243.00
10:28:25 PM  all   2203.00
10:28:30 PM  all   2240.00
10:28:35 PM  all   2281.20
10:28:40 PM  all   2267.80
10:28:45 PM  all   2237.80
10:28:50 PM  all   2114.40
10:28:55 PM  all   2112.20
10:29:00 PM  all   2332.60
10:29:05 PM  all   2204.60
10:29:10 PM  all   2333.60
10:29:15 PM  all   2377.40

Не в этом дело, правила уже давно не обновляются на этом сервере. А вообще да, удаляются и добавляются довольно долго, если их много... Но проц сейчас не нагружен, где то на 10-20%

На старых ядрах этот процесс очень тяжелый с кучей локов.

Если проблемы начались недавно, то тогда это похоже на дос/ддос, а при нем conntrack обычно разростается и может давать побочные эффекты. Есть смысл мониторить «sysctl net.netfilter.nf_conntrack_count»

Для проверки можно временно отключть iptables и conntrack

iptables -t raw -I PREROUTING -j CT --notrack
iptables -t raw -I OUTPUT -j CT --notrack
conntrack -F

А еще совсем недавно (летом) был найден в ядре баг tcp-шный. Если не ошибаюсь, то для минимизации его воздействия рекомендовали

sysctl -w net.ipv4.ipfrag_low_thresh=196608
sysctl -w net.ipv4.ipfrag_high_thresh=262144

Ну или апгрейд ядра.

сделал

iptables -t raw -I PREROUTING -j CT --notrack
iptables -t raw -I OUTPUT -j CT --notrack

conntrack -F
conntrack: command not found

iperf -c x.x.x.x  -t 200000 -P 65 -w 1MB -b 5000000 -u

MTR показывает что пакеты пропадают на конечном узле (50%), пингую с сервера шлюз, там тоже около 38% потерь

Установил netutils-linux, запустил network-top, вроде ничего красного нет

Скрин
http://prntscr.com/kwjtu5

И это дает rx_missed_errors ?

IMHO iperf > 20 потоков начинает давать странные данные.

rx_missed: 0

ethtool -S enp2s0
NIC statistics:
     tx_packets: 3536356
     rx_packets: 269164
     tx_errors: 0
     rx_errors: 0
     rx_missed: 0
     align_errors: 0
     tx_single_collisions: 0
     tx_multi_collisions: 0
     unicast: 127658
     broadcast: 141503
     multicast: 3
     tx_aborted: 0
     tx_underrun: 0

iperf -P 10 -b 35000000 -w 1MB -u -t 700000

ethtool -G enp2s0 rx 4096
Cannot get device ring settings: Operation not supported