Общие проблемы
Проблема: Потери трафика при подключении через GRE / IPIP-туннель.
Решение: Уменьшите значение MTU и MSS, которые отправляются через туннель. Также можно установить запрет фрагментации трафика на туннельных интерфейсах.
При использовании туннельного соединения заголовок IP-пакета увеличивается на размер дополнительного заголовка протокола инкапсуляции. Объем полезных данных внутри пакета уменьшается при сохранении максимального размера блока данных одного пакета (MTU). Для корректной передачи IP-пакеты фрагментируются. В большинстве случаев на интерфейсе установлен бит DF (don’t fragment), запрещающий фрагментацию. По этой причине, при передаче через туннель, где значение MTU меньше, чем в обычном Ethernet-канале, маршрутизатор будет отбрасывать данные пакеты.
Чтобы решить эту проблему, нужно установить значения MTU не более 1476, а MSS — не более 1436 (рекомендуем 1400) на туннельном интерфейсе. Значение MTU необходимо изменить для формирования меньших по размеру пакетов, которые не потребуют фрагментацию при отправке через туннель. MSS для исходящего TCP-трафика настраивается на интерфейсах пограничного маршрутизатора, через которые отправляется исходящий трафик.
При использовании асимметричной схемы фильтрации исходящий трафик может проходить не только через туннель. С учетом этого, значение MSS нужно изменить также на интерфейсе с провайдером, через сеть которого будет идти исходящий трафик. Значение MSS должно быть не более 1436 (рекомендуем 1400).
Полезные ссылки
Настройка MSS на устройствах Juniper
Настройка MSS на устройствах Cisco
Настройка MSS на устройствах Mikrotik
Проблемы при Асимметричной фильтрации
Проблема: При подключении защиты (переключении на защищенный канал) в течение 1 минуты наблюдаются потери легитимного трафика.
Решение: Такая проблема встречается при асимметричной схеме фильтрации. Это необходимо для обучения фильтров.
Проблема: При использовании асимметричной схемы фильтрации наблюдаются проблемы с исходящим трафиком.
Решение: Причиной может быть применение механизма RPF check у вашего интернет-провайдера, через которого вы пытаетесь отправлять исходящий трафик. Потеря трафика у провайдера связана с установленным strict режимом uRPF. В таком режиме трафик будет считаться невалидным без анонсирования защищаемых префиксов вашему провайдеру и будет отброшен. Для решения проблемы обратитесь к вашему провайдеру с просьбой изменить режим работы uRPF со strict на loose. В таком случае трафик будет передаваться корректно и не будет отброшен.
Подробнее о технологии uRPF читайте в этом документе
Проблема: Сайты недоступны при включении перехвата веб-трафика на асимметричной схеме.
Решение: Если у вас установлена BGP-сессия с DDoS-Guard, необходимо проверить, что в настройках вашего оборудования разрешен прием этих и более специфичных анонсов (/24 - /32):
77.220.207.0/24 - /32
45.10.240.0/24 - /32
45.10.241.0/24 - /32
45.10.242.0/24 - /32
186.2.160.0/24 - /32
186.2.164.0/24 - /32
186.2.167.0/24 - /32
186.2.168.0/24 - /32
185.178.209.197/32
190.115.30.44/32
Указанные сети используются для проксирования перехваченного веб-трафика — с IP-адресов этих сетей устанавливаются соединения между фильтрами DDoS-Guard и защищаемыми веб-серверами.