classic.ISPforum.cz

Ahojte,
neřešil někdo omezení provozu FASP (https://en.wikipedia.org/wiki/Fast_and_Secure_Protocol)?
Máme připojené kino, které má linku 50Mbit.
Když stahují film pravděpodobně tímto protokolem (port UDP 33001), na řídící router přitéká datový tok 100Mbit, z něj odtéká 50Mbit.
Evidentně si to nijak nevyjednává rychlost linky a zbytečně zahlcuje vstupní linku.
Děkuji za nápady.

Ahoj,

znamej fakt. Program se jmenuje Aspera
Bojujeme s tim dnes a denne. A distributori stale trvaji na tom, ze jedina cesta stahnout film je pres tohle. Vzdy nam to zarvalo 1Gbit linku na VPN koncentratoru.
Ja to poresil na paternim FortiGatu na L7, mozna by to umel i MK, ale netusim. Zkusim mrnout na ten pattern.

A to jim to blokuješ úplně?
Tady https://www.theregister.co.uk/2015/10/01/aspera/ píšou, že by mělo stačit zablokovat ty UDP porty kolem 33001 a pak to přejde na TCP přenos.
Ale aktuálně jsem to zkusil a spojení se už nenaváže.

Nene, pouze to omezuju na aplikacni vrstve. Nejak to funguje. Nerikam, ze ten narust na WAN strane neni, ale paradoxne je jen neco okolo 20% a ne treba 80% jak bez toho shapingu.
Nicmene, uplne nej moznost je naucit je, sit u Asperu nastavit. Primo v nastaveni jde zadat max rychlost WAN linky a to funguje 100%.

Ty filmy by měly mít okolo 120 GB. Když se Aspeře (patří pod IBM) nepodaří navázat FASP na UDP/TCP 33001, tak udělá fallback na HTTP a cucá těch 120 GB kultivovaně.

https://www.ibm.com/support/pages/fasp- ... ine-or-sdk

zdenek.svarc píše:Ty filmy by měly mít okolo 120 GB. Když se Aspeře (patří pod IBM) nepodaří navázat FASP na UDP/TCP 33001, tak udělá fallback na HTTP a cucá těch 120 GB kultivovaně.

https://www.ibm.com/support/pages/fasp- ... ine-or-sdk

Bohuzel to neni tak uplne pravda..resp. podari se to tak jednou z deseti pokusu. Jinak konci timeoutem.

sub_zero píše:Bohuzel to neni tak uplne pravda..resp. podari se to tak jednou z deseti pokusu. Jinak konci timeoutem.

Ale timeoutem na HTTP nebo? Osobně bych fallback pro 120 GB soubory nedělal do HTTP, ale na decentralizovanej soukromej torrent.

zdenek.svarc píše:

sub_zero píše:Bohuzel to neni tak uplne pravda..resp. podari se to tak jednou z deseti pokusu. Jinak konci timeoutem.

Ale timeoutem na HTTP nebo? Osobně bych fallback pro 120 GB soubory nedělal do HTTP, ale na decentralizovanej soukromej torrent.

jj, na HTTP. Asi nedostane reply od jejich serveru. V logu nic konkretniho, jen pokusy na par jejich IP TCP/80 - timeout.

Mimochodem, vypadá to že na na UDP 33001 to startuje a otevírá další vlákna na dalších portech. Co mu třeba jen zkusit ustřihnout porty >33001?

FASP's control port is TCP port 22 – the same port that SSH uses. For data transfer, it begins at UDP port 33001, which increments with each additional connection thread.

Jen podotýkám, že vedeme čistě akademickou diskuzi (síťová neutralita).

zdenek.svarc píše:Jen podotýkám, že vedeme čistě akademickou diskuzi (síťová neutralita).

Něco jako síťová neutralita v korporátu přece nefunguje - běžný user nepotřebuje nic jinýho než HTTP/HTTPS, DNS, ICMP, AD, poštu + vybraní uživatelé mají povolenej i ten port pro Asperu + FTP na vybraný sajty.
SSH neexistuje, nepotřebují. Nicméně, zkusím ty PC přesunout do izolované VLANy a zkusit jim povolit vše.
Díky za tip.

V korporátu samozřejmě síťová neutralita není, protože sekurita. Měl jsme za to, že se celou dobu bavíme o operátorské přístupové síti.

Ano, v mém případě se jedná o operátorskou síť.
Odstřihnutí portu 33001 při probíhajícím přenosu vede k ukončení spojení, na TCP se to v tomto případě nepřepne. Nevím, jak by se to zachovalo, kdyby to tyto porty nemělo dostupné při začátku stahování.
Zkusím se s dotyčným domluvit na korektním nastavení z jeho strany.
Děkuji všem za informace.

MKey3 píše:Ano, v mém případě se jedná o operátorskou síť.
Odstřihnutí portu 33001 při probíhajícím přenosu vede k ukončení spojení, na TCP se to v tomto případě nepřepne. Nevím, jak by se to zachovalo, kdyby to tyto porty nemělo dostupné při začátku stahování.
Zkusím se s dotyčným domluvit na korektním nastavení z jeho strany.
Děkuji všem za informace.

Jasně, zaříznutí 33001 může shodit celou komunikace, protože fallback to má implementováno třeba jen u inicializace downloadu, nikoliv v průběhu. Proto bych nechal 33001 funkční, aby FASP fungoval, ale zařízl bych UDP/TCP nad 33001, tzn. 33002 a případně i vyšší porty. Což by mělo způsobit, že FASP nebude spouštět další vlákna na vyšších portech než 33001 a nepojede do plných.