网络中的超大帧(原创求精)

ctop17

我的网络上的一台服务器出现了超大帧
大家帮我推断下为什么？

ps:
我把数据包过滤下来了 172.16.4.55 是当时抓包的机器同时也是台服务器。具体是什么服务器就不太清楚了，好像是补丁服务器。


ps:
其ip包头的分段位为一，是不可分片的。可以经过jumpo frame 那这种帧怎么经过路由？
很多数据是出外网的数据！

ps:
谢谢大家对本贴的重视，谢谢各位对小弟的一些提示，此现象已经基本有了合理的解释了。为此我已经把文档做出来了，欢迎大家参阅和指教。
在此感谢 孤独的意尹者 的提示和指导。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2008.08.13
我们已经重新将此文档整理、规范，附件更新了，请大家下载新附件

鉴于此帖得到了大家较多的关注，此贴发现的问题具有一定的代表性，解决问题时大家都积极发言，各显神通，最后，整理成文档时也有一定的技术含量，特将此帖加为精华！

[ 本帖最后由 孤独的意尹者 于 2008-8-13 18:08 编辑 ]

徐徐渐进

楼主可以导几个数据包发上来看看。

[ 本帖最后由 徐徐渐进 于 2008-8-6 09:22 编辑 ]

孤独的意尹者

关于Jumbo Frame的说明
网上找了点相关资料，希望能够给楼主带来一点启发。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
---- 这是一种厂商标准的超长帧格式，专门为千兆以太网而设计，目前还没有获得IEEE标准委员会的认可。以太网标准的最大帧长度为1518字节，而Jumbo Frame的长度各厂商有所不同，从9000字节～64000字节不等。采用Jumbo Frame能够令千兆以太网性能充分发挥，使数据传输效率提高50%～100%。在网络存储的应用环境中，Jumbo Frame更具有非同寻常的意义。

----Jumbo Frame需要在相互通讯的2个通讯端口(交换机端口或网卡端口)上同时支持，而且与以前的以太网产品不兼容，因此主要会应用于千兆主干的端口之间以及服务器端口接入到网络主干的链路。交换机把Jumbo Frame格式的数据转发向不兼容Jumbo Frame的端口时应进行帧格式的转换，即把Jumbo Frame帧格式的数据转换成标准以太网的帧格式，从而保证其正常工作。相反，从不兼容Jumbo Frame的端口向支持Jumbo Frame的端口转发数据时，交换机可以把多个标准以太网帧合并成超长Jumbo Frame帧，从而提高传输效率。  ---- 由于Jumbo Frame没有成为国际标准，目前只有部分厂商支持这种帧格式。不过随着以太网向千兆、万兆的发展，必然要诞生1种超长帧格式，因而Jumbo Frame从厂商标准转变为国际标准的可能性非常大。

oldjiang

根据端口找出进程，也许有点线索

robur

这这这。。。我想想。。。
交换机也能传递这个包？？坏了规矩了吧～

问题一较真，还真说不清了，哪位朋友给说说以太网限制帧大小，是从哪层限制的？
我觉得是数据链路层，物理层只决定电气性能能，不大可能决定通信的制式。
（就像是天线，别管我的信号是数字的还是模拟的，只要符合一定的电气性能——谐振于电波频率，就可以用。）

oldjiang

数据链路层，Cisco Certified Network Associate Study Guide Fourth Edition，第一章

孤独的意尹者

原帖由 oldjiang 于 2008-8-5 22:59 发表
根据端口找出进程，也许有点线索

关于超长帧的产生与进程是没有关系的，因为进程是应用层的。
关键一个基于tcp的应用，在连接建立的三次握手阶段会有一个MSS协商的过程（tcp option选项），这个mss值决定了双方在传输层传输的数据大小。因此，我们可以先查看这个连接建立的mss协商值是多少，但是楼主并未捕获下这个连接的建立过程，因此，超大帧是clinet、server双方协商的结果还是中间设备自己组装成超长帧后再将其转发的，现在还无法确定。

ctop17

谢谢各位大侠
收获不少。。。
本贴待续。。。
准备针对这个现象做次详细的分析。

oldjiang

观察有超大帧的会话，比如这个

从IP标志、序列号、额外字节数来看，大帧都重发了
估计调整一下服务器网卡的配置，大帧可能就不见了

从零开始

只要是大帧（大于1518字节），其ip与tcp校验和都是错误的，会不会与网卡有关系？

robur

原帖由 oldjiang 于 5/8/2008 23:27 发表
数据链路层，Cisco Certified Network Associate Study Guide Fourth Edition，第一章

学习了！

zcl

你们继续讨论……

孤独的意尹者

原帖由 oldjiang 于 2008-8-6 10:04 发表
观察有超大帧的会话，比如这个
9851
从IP标志、序列号、额外字节数来看，大帧都重发了
估计调整一下服务器网卡的配置，大帧可能就不见了

ip标识一样不是说明重传，而是说明是同一数据包。
关于这个数据流的疑问，答案已经找到，楼主将会将其整理出来共享给大家，期待楼主的总结。

ValorZ

原帖由 robur 于 2008-8-6 13:02 发表

学习了！

我个人理解，虽然是第2层封装的frame，但是，具体MTU还是物理层的物理特性所决定的。这就是为什么MTU在不同的网络是不一样的。例如ATM的MTU是4470字节。

ctop17

此问题基本得到了合适的解释，文档制作ing！
欢迎大家继续讨论！！

徐徐渐进

从IP标志、序列号、额外字节数来看，大帧都重发了
估计调整一下服务器网卡的配置，大帧可能就不见了

IPID唯一的标识了数据报或数据流，目的主机利用此ID对数据包重组，当收到对传输介质太大的数据时，就会分段，IP分配相同的ID给同一数据段。

超级版主

鉴于本帖得到了大家的关注和热烈讨论，现决定给参与讨论的所有ID：徐徐渐进，孤独的意尹者，oldjiang，robur，从零开始，ValorZ...各加1分。

期待楼主的终极文档哦！

ctop17

搞定了！
欢迎大家指教

徐徐渐进

楼主可否上传一个完整通讯的包。

robur

原帖由 ValorZ 于 7/8/2008 09:24 发表


我个人理解，虽然是第2层封装的frame，但是，具体MTU还是物理层的物理特性所决定的。这就是为什么MTU在不同的网络是不一样的。例如ATM的MTU是4470字节。

网络链路的物理特性对于网络的传输确实有一定的限制，有线网络主要局限在于电缆对信号的衰减以及电缆的抗干扰能力。所以不同标准的网络对于线缆的要求也不同。虽然可以把网络速度提升到很高，但是线缆成本太高或者线缆衰减太大，都不利于大规模的网络部署。
因此，在效率与成本上找出一个合适的点是正确的，就是你说的情况。

我这也是个人理解～

ctop17

原帖由 徐徐渐进 于 2008-8-7 14:47 发表
楼主可否上传一个完整通讯的包。

完整的包100多M，这是我过滤源为服务器的数据包。

孤独的意尹者

此贴总结文档已经更新，大家请到1楼下载。
附上文档中的图片一张。

菜鸟人飞

分析得好啊，精彩！

从最后的文中可以看出，楼主对网络数据流向似乎也挺有研究，

对于Jumbo Frame，个人觉得要流行起来，也是困难重重，就像ipv6一样。

rock8080

把上面的补充完毕：

Jumbo Frame巨帧
Tags: ISCSI

常常见到交换机和网卡说明中提到支持Jumbo Frame，但我一直对以太网的Jumbo Frame（巨帧）如何使用不太理解，今日在网上找到2则现摘录下来，相信看了以后大家会有收获。

这是一种厂商标准的超长帧格式，专门为千兆以太网而设计，目前还没有获得IEEE标准委员会的认可。以太网标准的最大帧长度为1518字节，而Jumbo Frame的长度各厂商有所不同，从9000字节～64000字节不等。采用Jumbo Frame能够令千兆以太网性能充分发挥，使数据传输效率提高50%～100%。在网络存储的应用环境中，Jumbo Frame更具有非同寻常的意义。

Jumbo Frame需要在相互通讯的2个通讯端口(交换机端口或网卡端口)上同时支持，而且与以前的以太网产品不兼容，因此主要会应用于千兆主干的端口之间以及服务器端口接入到网络主干的链路。交换机把Jumbo Frame格式的数据转发向不兼容Jumbo Frame的端口时应进行帧格式的转换，即把Jumbo Frame帧格式的数据转换成标准以太网的帧格式，从而保证其正常工作。相反，从不兼容Jumbo Frame的端口向支持Jumbo Frame的端口转发数据时，交换机可以把多个标准以太网帧合并成超长Jumbo Frame帧，从而提高传输效率。—-由于Jumbo Frame没有成为国际标准，目前只有部分厂商支持这种帧格式。不过随着以太网向千兆、万兆的发展，必然要诞生1种超长帧格式，因而Jumbo Frame从厂商标准转变为国际标准的可能性非常大。

通常人们都认为Jumbo Frame（巨型帧）是一个相对简单的技术，应该被广泛的应用在局域网中，但是情况并非如此。

应该说Jumbo帧在一些领域里是非常有用的，它是有意设计为加速大文件传输服务的。以太网标准定义的最大帧长度为1518字节，这样一个大的文件就需要被切碎成为若干块，放到多个以太网帧中。而每个数据块传输的时候都会引入帧头和尾的开销。倘若能够用一个大的帧完成文件的传输，则会减少很多帧的开销，提高网络的利用率和传输速率。通常人们认为，这一技术最大的应用瓶颈是在于至今没有标准化。

但是，有些人不这么看，许多人提出了超长帧的以下缺点：它们可能会成为融合网络的障碍。如果人们在网络上传送语音或其他对延迟敏感的内容，不需要有妨碍这些对延迟敏感数据的超长帧传输。有人举例说，超长帧会造成延迟，一旦一个‘大家伙’在线路上传送，它会较长时间占用线路，阻止其他人使用线路，从而造成延迟。

另一位读者提到超长帧可以在一条与其他网络隔离的网络中使用，因此它们不会妨碍其他传输流。存储区域网也许就是这样的一个例子。

但是首先，使用超长帧可能不再是一种优势。来自大学的两位用户说，为了了解超长帧是否能实际提高性能，他们测试了超长帧。一位用户谈道：“经过全面的测试后，我们得到的结论是：在使用现代的PC和千兆网卡时，性能提高得很少。超长帧在过去年代里的主要优势是减小高中断率对计算机的影响。但是，3-GHz CPU具有处理千兆流量的充足能力，网卡和驱动程序不再需要每一个数据包都中断一次。我们认为超长帧理论上看是一个不错的想法，但是在实际中它在千兆位时用处不大。10G以太网可能是另一个问题。

另一位用户谈道：“我们发现降低性能的原因不是协议处理开销，而是CPU与网卡缓冲区之间数据移动所产生的延迟和影响。由于DMA（直接存储器存取）尺寸越大，CPU花在设置DMA和其他东西的时间就越少，时延也减少了。随着CPU速度的增加，协议处理开销就变得越来越无足轻重。我们的结论是，如果标准的商品化网卡允许超长DMA传输，你就可以获得更大的性能增益。同时，你不必修改MTU（最大传输单元）大小，打破标准。”

最后，一位来自厂商的人提到了使用巨型帧的几个缺点。首先，帧越长意味着如果丢失一帧数据，则是一次更为严重的网络事件，而重新传送丢失的数据包成为更为耗费时间的工作。其次，网络中的每种东西都必须支持超长帧，超长帧才能使用。第三，Internet连接不支持超长帧：一个长度超过Internet连接所支持长度的帧将在发送前被分段，从而大大降低了Internet连接的性能和可靠性。这导致需要每一个工作站都必须知道哪个数据包传送到本地网络，哪个数据包传送到Internet。为了检测线路上的最大数据包长度，IP执行MTU路由发现算法，但是，这不是标准化的作法，并且，由于拒绝服务攻击，许多防火墙不允许与这种算法有关的ICMP数据包通过。因此，超长帧不能在与Internet连接的网络中使用。

国内关于Jumbo帧的讨论并不多，国内一些有识之士，对其应用持肯定态度，但对使用方法提出建议。

Fluke公司蔡昌信先生的看法非常有意思。他对Jumbo帧的看法有两点。首先是，他认为帧大小的选择，实际上体现的是数据通信过程中对链路可靠性的一种控制。如果说链路是非常干净的并且很少出现差错，那么这条链路上可以传输非常大的帧，而不必为此付出任何系统开销。但是问题是，人们是否认为他们的链路状况足够好，信任他们的链路状况。

另一方面是，在一条链路上究竟有什么样的数据在传输。如果在一个链路上同时有实时应用的数据和对延迟并不敏感的数据在传输，那么Jumbo帧的使用，会极大地影响到实时应用（蔡先生在此用到了“kill”这个词）。他认为Jumbo帧对于一些比较纯粹的大文件传输是非常有用的，比如说SAN这样的应用。但是如果在一个多种应用混合传输的环境中，并且没有端到端的QoS策略、带宽分配设置，广泛的使用Jumbo帧是非常不理智的事情。

另一位来自厂商的朋友也表达了自己的意见，他认为如果想享用Jumbo帧所带来的好处，就需要一个能够端到端支持Jumbo帧的环境，否则的话在一些地方需要重新切帧，同样会引入更多的开销。

另一方面，支持Jumbo帧需要新的硬件，但是这同样是一个令人非常头痛的事情。这也导致了今天Jumbo帧现在仅仅在一些特殊环境使用，比如在服务器场用于数据的传输。

他个人认为，从长远的角度看Jumbo帧是有好处的，而且不仅IP存储，很多应用都会从中获益。而且，新设备中支持Jumbo帧的越来越多，端到端支持是有希望的。他特别强调要端到端使用才有意义。

另外，他还表示，在1000米的距离上，我们计算传输9K字节长的帧的时间，在高速网络上，并不像一些人担心的那样，会引入巨大的延迟。

彼特曼

刚来乍到，长见识了！！

liangyc

支持顶！！！！！！！！

yuxuan623

谢谢下了看看

无风不成景

支持一下  谢谢  了

boot6688

谢谢下了支持一下看看

yinhao3441

谢谢了```兄弟``