Auteur Sujet: Indisponibilité de plusieurs sites OVH avec Wibox, uniquement le soir (21h-23h) (Lu 15780 fois)

vivien · « **Réponse #24 le:** 20 juin 2017 à 22:31:32 »

Pendant ce temps, j'ai vérifié les autres sites web qui posent problème : ils sont bien avec un champ DSCP (Type of Service) 6.
A priori, OVH distingue les classe de trafic en fonction du DSCP et le champ DSCP n'est pas supprimé avant l'envoi sur Internet.
Le trafic prioritaire semble être en DSCP 0, le marquage habituel sur Internet.

j'ai donc enfin trouvé la cause des sites inaccessibles le soir / week-end :

- A l'origine il y a une saturation de la collecte Wibox pour l'Ain, c'est le cas en 2015 comme en 2017.

- Ensuite, il y a le fait que Lasotel garde les champ DSCP des flux qui rentre sur son réseau par Internet et plusieurs opérateurs utilisent de manière différente ces champ DSCP (Type of Service), le but étant de prioriser certains trafics en cas de saturation.

Le réseau de Lasotel interprète le DSCP 6 d'OVH comme une demande de dé-priorisation en cas de saturation (Autre formulaion équivalente :
Lasotel met une stricte priorité du trafic DSCP 0 vs DSCP 6).

Les flux des serveurs OVH concernés sont donc tout simplement supprimés au niveau du routeur qui a un lien de collecte saturé avec l'Ain.
Dés que un lien sature, tout le trafic DSCP 6 part à la poubelle.
C'est ce qu'il se passe le soir et le week-end, bloquant totalement les sites en question.

Hugues · « **Réponse #25 le:** 20 juin 2017 à 22:34:09 »

Et avec https://daevel.fr ? C'est hébergé sur les serveurs les plus hauts de gamme OVH + Vrack, donc niveau priorité ça change p-e ?

koff · « **Réponse #26 le:** 20 juin 2017 à 22:36:08 »

le site se charge très rapidement
www.xeester.com se charge rapidement aussi, l'horaire...

vivien · « **Réponse #27 le:** 20 juin 2017 à 22:39:33 »

Avec un serveur moyen de gamme un peu ancien, je découvre que le trafic tagué DSCP 6.

Donc seul le haut de gamme aurait droit à DSCP 0 chez OVH ?

koff · « **Réponse #28 le:** 20 juin 2017 à 22:44:13 »

rebelote www.xeester.com rame à nouveau

Hugues · « **Réponse #29 le:** 20 juin 2017 à 22:49:08 »

Citation de: vivien le 20 juin 2017 à 22:39:33

Avec un serveur moyen de gamme un peu ancien, je découvre que le trafic tagué DSCP 6.

Donc seul le haut de gamme aurait droit à DSCP 0 chez OVH ?

j'ai plein de gammes de serveurs sous le coude si tu veux tester

vivien · « **Réponse #30 le:** 21 juin 2017 à 06:47:13 »

Avec plaisir !

koff · « **Réponse #31 le:** 22 juin 2017 à 21:10:13 »

toujours des indispos, Wibox compte répondre un jour ?

vivien · « **Réponse #32 le:** 22 juin 2017 à 21:58:22 »

Sylvain Charron‏, le boss de LASOTEL a fait une réponse sur Twitter :

Il y a une différence entre BLOQUER, RESPECTER et TRANSPORTER un champ DSCP.
Pas de traitement coté @lasotel. Conflit avec mapping QoS SIEA.

Sa réponse dit que c'est un conflit entre l'interprétation du champ DSCP, positionné par OVH et l'interprétation que le SIEA en fait. Selon lui LASOTEL ne fait que transporter sans toucher le flux et celui qui supprime les paquets DSCP 6 est le SIEA.

Mon interprétation est différente : Les paquets sont supprimés sur le routeur ou switch qui est le premier point de contention rencontré. Or où est le point de contention ? Cette fois ci nous ne savons pas, mais il y a deux ans, la saturation était sur la porte de collecte.

Source Wibox :

Pour le trafic descendant, c'est donc le dernier équipement actif avant le SIEA qui fait le drop des paquets quand la porte de collecte sature et c'est donc un routeur/switch LASOTEL ou Wibox (on peut laisser la porte ouverte au fait que Wibox a des équipements)

Bref, l'équipement qui drop le trafic me semble sous responsabilité LASOTEL et non SIEA.

Il y a 3 solutions possibles pour que les sites soient de nouveau joignables :
- Augmenter la capacité du lien qui sature (la dernière fois c'était la collecte, cela peut être la même chose ou différent)
- Mettre tous les flux a DSCP 0 en entrée du réseau, sur les routeurs de peering, comme presque tous les FAI, cela évite qu'une attaque DDOS se tague en flux strictement prioritaire, pouvant entraîner des dommages supérieurs.
- Changement le comportement des équipements pour qu'ils ne priorisent ni ne dé-priorisent plus les flux en fonction du tag DSCP. C'est a mon avis la moins bonne solution, car il est important de prioriser certains flux comme les flux TV, VoIP et éventuellement DNS.

Cela n’empêche pas qu'il me semble indispensable d’avoir une politique de QoS compatible avec les différents RIP, même si là je pense que c'est en amont que les paquets sont droppés : en cas de congestion, cela permet de limiter les dégradations pour les clients. Il y a notamment un point qui sature régulièrement : le port 100 Mb/s d'un client : quand il lance un gros téléchargement. Sans priorisation des flux IPTv, la TV ne sera pas regardable pendant un téléchargement au débit maximum.

vivien · « **Réponse #33 le:** 22 juin 2017 à 22:08:59 »

Concernant la cause primaire, la saturation, elle est relativement faible, les buffers se remplissent mais n'exposent pas (il n'y a pas de pertes de paquets)

Sans problème de QoS, elle passerait relativement inaperçue.

Voici l'impact de la saturation (hors pb de dé-priorisation) :
- Le débit n'est plus a 100 Mb/s le soir, mais reste bien supérieur à une bonne ligne ADSL.
- Les pages web se chargent 10 à 20% plus lentement donc cela se remarque à peine.

Voici le graphe SmokePing de koff :

koff · « **Réponse #34 le:** 22 juin 2017 à 22:11:09 »

Merci Vivien, réponse très clair, il devrait t'embaucher lasotel et wibox ^^.

Oui ca se charge mais pour les 3 sites en question c nada, ca bloque ce qui est très ennuyeux.

Pour moi j'ai pas 36 solutions à part me désabonner en gros

vivien · « **Réponse #35 le:** 22 juin 2017 à 22:17:32 »

Ce n'est pas 3 sites en question : C'est l'intégralité des serveurs dédiés OVH qui sont en DSCP 6 pour les flux TCP.
Les serveurs mutualisés sont par contre en DSCP 0.

J'ai également vu d'autres hébergeurs qui ont des flux DSCP non positionné sur 0, l'impact est donc pas négligeable.

La résolution du problème est assez simple, j'ai évoqué 3 solutions et les 3 sont relativement simple et pas hors de prix.
=> J'ai bon espoir que ce problème soit enfin traité.