ObSimRef
  • Company
  • Services
  • Ventures
  • Papers
    • Het web op het hakblok
    • Windows 2000 IP filtering
    • NetCache C230 Evaluation
      • Deliverable
      • Part I: Executive Summary
      • Part II: NetCache C230 testreport
      • Part III: Appendices
        • Links to used tools
        • NetCache statistics
        • Test results
        • Sample E-mail notification
        • Interim reports to SURFnet
        • Part IV
    • This page in:
      • English
      • Nederlands
    home | contact
    ObSimRef BV
    Renbaanstraat 2
    7523 ZW Enschede
    tel:+31-53-4280105
    fax:+31-53-4280109
    info@obsimref.com

    Interim reports to SURFnet

    Statusrapportage april testen NetApp C230

    Inleidend

    Op 24 april is de NetApp C230 geleverd en geplaatst. In het bijzijn van de mensen van NetApp is hij van zijn eerste configuratie voorzien. We merkten direkt op dat het apparaat in zijn huidige configuratie waarschijnlijk niet volldig getest kan worden; de enorme diskcapaciteit van 28 gigabyte (!) kan problemen gaan geven bij het testen van het apparaat terwijl hij informatie aan het expiren is. We zullen dan ook proberen of we de diskcapaciteit van de NetApp terug kunnen schroeven tot 'aardse' waarden.

    Configuratie en Installatie

    De eerste instellingen werden via de seriƫle poort gedaan. Vervolgens kan met een webinterface verder geconfigureerd worden. De NetApp is neergezet in de serverruimte van het CIV, en is met 100 mbit full duplex aangesloten op een van de centrale switches. Verder is de seriele poort aangesloten op een seriele poort van de huidige proxy, om in geval van calamiteit toch bij het apparaat te kunnen zonder fysiek toegang te hebben tot de serverruimte.

    Bugs en Features

    • Setupprogramma checkt DNS voordat DNS-server is ingevuld. Hierdoor moet elke keer bij de setup gewacht worden op de DNS timeout.
    • Error pagina's gebruiken geen FQDN hostname voor sommige URL's, waardoor deze soms niet werken.
    • NetManage IP-restricten werkt niet zoals gedocumenteerd: De entries in de NetManage IP-lijst worden niet automatisch toegevoegd in de Proxy Access lijst. Ook als IP-adressen al toegang hebben doordat ze in een subdomain vallen, moeten ze wel expliciet worden neergezet in de lijst.
    • Auto-supportmail is default niet goed / raar geconfigureerd.
    • Configuratie wordt soms niet gecommit (waarschijnlijk browserprobleem van IE3)
    • Op de foutpagina's die door de NetApp gegenereerd worden ontbreekt een plaatje. Deze fout is inmiddeld bekend bij NetApp (bug 7811) en wordt bij een volgende release verholpen.
    • De NetApp gaat bijzonder slordig om met zijn logs. Alle logs zijn binnen 72 uur verwijderd, en in geval van een reboot worden de logs ook geschoond.
    • restricten van domains die via een neighbor/parent gequeried mogen worden wordt niet altijd goed verwerkt lijkt het. Je kan bv. niet zeggen dat !.hsij.nl door de neighbor HSIJ niet mag worden behandeld. Dit kan alleen met !.nl (alleen TLD's).

    Beveiliging

    Wat ons tegenvalt is de mate waarin de NetApp beveiligd is. Voor configuratie kunnen alleen onveilige protocollen (telnet, HTTP zonder SSL) gebruikt worden. Het gebruikmaken van dergelijke protocollen om toegang te krijgen tot een server valt buiten het security-beleid van SNT, en kan dus alleen gedaan worden via 'veilige' netwerken.

    Eerste Tests

    De NetApp is met tcpbanger, een programma dat zo snel mogelijk URLs opvraagt, zonder problemen op 70000 URLs/uur geklokt. Terwijl tcpbanger bij de NetApp URLs opvroeg zijn er bekende DoS attacks op de NetApp losgelaten. (PoD, Teardrop2, Nestea2, syndrop) De NetApp had er geen waarneembare problemen mee. Alle door het CERT vermelde DoS attacks zijn getest.

    Huidige werkdruk

    De proxy is in de SURFnet-mesh gehangen en heeft alle gebruikers van de huidige proxyserver overgenomen. Om tot een hogere belasting te komen zal begin mei de proxy beschikbaar worden gesteld voor de hele universiteit, natuurlijk voorafgegaan door de nodige publiciteit.

    Inmiddels (15 mei) is dit gebeurd. We zitten op ondertussen 275 gebruikers. Er worden er elke dag meer geteld. Er wordt nog gewerkt aan de diverse PC-zalen.

    Statistieken op Internet

    MRTG statistics available upon requests. http://www.student.utwente.nl/~mark/proxy/netapp

    Statusrapportage mei testen NetApp C230

    Inleidend

    Sinds de laatste rapportage is een stuk intensiever getest, waarbij een aantal interessante puntjes gevonden zijn. Met name de maximale belasting van het toestel is van belang.

    • Als de gevraagde urls allemaal uit cache komen kun je inderdaad het door NetApp genoemde resultaat van 100 urls p/s halen. In de echte wereld kom je daar echter nooit aan. in de praktijk blijf je op de 60 tot 70 steken.

    • Het lijkt erop dat de C230 niet meer dan een 6Mb throughput haalt. ?

    • Het rebooten van de C230 kost een hoop tijd. Voordat het OS weer functioneel is staat een tijd van ca. een minuut, maar daarna begint de C230 o.a. zijn cleanlog te herschrijven, een operatie die diverse minuten duurt en gedurende welke de cache niet of nauwelijks bruikbaar is. voor de 16 Gb aan cache bij ons spreek je dan over een kleine 15 minuten.

    • De toegangsafscherming heeft een rare 'feature'. Iedere host die toegang moet hebben tot het admin-deel moet expliciet genoemd zijn in de 'reguliere' access control. In de handleiding staat omschreven dat dit automatisch zou moeten gebeuren, maar dat is niet het geval.

    • De mogelijkheden om de server te beheren zijn in onze ogen nog wat beperkt. Een secure-shell toegang of een ander 'secure' protocol zou geen overbodige luxe zijn. Een IP-adres is op een lokaal ethernet eenvoudig genoeg gespoofd.

    • Het aantal bewaarde logfiles is ooit teruggebracht van 10 naar 2. Dit is in onze ogen te weinig, omdat je meestal per dag cyclet. Dit zou een instelbare waarde moeten zijn, of in ieder geval meer dan 2 logs.

    • Calamaris (een analysetool voor squid logfiles) gaat de mist in omdat het logformaat iets afwijkt. Hiervoor is een patch geschreven.

    • De via SNMP uit te lezen statistieken zijn voornamelijk van toepassing op de F230 Filer, niet zozeer op de C230 proxycache. Jammer.

    • Mailsupport bevat standaard een ongeldig mailadres (geen domain part) en het invoerveld is (HTML) te kort; de supportroutine geeft hierover echter geen melding.

    • De logfiles bevatten op sommige punten onlogische informatie; wij zouden rebootmeldingen niet in de cachelog verwachten, maar in de systemlog of desnoods messages. Hetzelfde geldt voor de statd uitvoer en nog enkele andere kleinigheden.