<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:DengXian;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@DengXian";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-CA" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Thank you Han, I will check out this fix.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> Han Zhou &lt;zhouhan@gmail.com&gt;
<br>
<b>Sent:</b> Thursday, May 2, 2019 10:11 PM<br>
<b>To:</b> Zhang, Jing C. (Nokia - CA/Ottawa) &lt;jing.c.zhang@nokia.com&gt;<br>
<b>Cc:</b> ovs-discuss@openvswitch.org<br>
<b>Subject:</b> Re: [ovs-discuss] OVS 2.9.0 native firewall drops empty payload TCP packets continued<o:p></o:p></span></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<div>
<div>
<p class="MsoNormal"><br>
<br>
On Thu, May 2, 2019 at 6:04 PM Zhang, Jing C. (Nokia - CA/Ottawa) &lt;<a href="mailto:jing.c.zhang@nokia.com">jing.c.zhang@nokia.com</a>&gt; wrote:<br>
&gt;<br>
&gt; We (our VNFs) continue to observe the same empty payload TCP (ACK) packet drop with native firewall (see original post below) after upgrading to Centos 7.6. This packet drop results in unacceptable TCP performance, by that native firewall still can not be
 enabled in product.<br>
&gt; &nbsp;<br>
&gt; <a href="https://mail.openvswitch.org/pipermail/ovs-discuss/2018-August/047263.html">
https://mail.openvswitch.org/pipermail/ovs-discuss/2018-August/047263.html</a><br>
&gt; &nbsp;<br>
&gt; $ uname -a<br>
&gt; Linux overcloud-sriovperformancecompute-0 3.10.0-957.10.1.el7.x86_64 #1 SMP Mon Mar 18 15:06:45 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux<br>
&gt; &nbsp;<br>
&gt; $ ovs-vswitchd --version<br>
&gt; ovs-vswitchd (Open vSwitch) 2.9.0<br>
&gt; DPDK 17.11.0<br>
&gt; &nbsp;<br>
&gt; The scenario: OVS provider VLAN network is used<br>
&gt; &nbsp;<br>
&gt;<br>
&gt; in physical interface of ovs compute zero length tcp payload packet arrives as padded to 64 bytes (and vlan tag is included in ethernet header)<br>
&gt; same packet does not appear anymore in the tcpdump taken from tap-xyz interface (once vlan tag is removed and packet is cut by 4 bytes to 60 bytes)<br>
&gt;<br>
&gt; &nbsp;<br>
&gt; Tcpdump on physical port:<br>
&gt; &nbsp;<br>
&gt; 00:25:24.468423 fa:16:3e:d7:bb:2c &gt; fa:16:3e:ff:dd:29, ethertype 802.1Q (0x8100), length 2674: vlan 3837, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 6893, offset 0, flags [DF], proto TCP (6), length 2656)<br>
&gt; &nbsp; &nbsp; 192.168.10.52.80 &gt; 192.168.10.60.57576: Flags [P.], cksum 0xa013 (incorrect -&gt; 0x772d), seq 8961:11577, ack 78, win 210, length 2616: HTTP<br>
&gt; 00:25:24.468593 fa:16:3e:ff:dd:29 &gt; fa:16:3e:d7:bb:2c, ethertype 802.1Q (0x8100), length 60: vlan 3837, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 56318, offset 0, flags [DF], proto TCP (6), length 40)<br>
&gt; &nbsp; &nbsp; 192.168.10.60.57576 &gt; 192.168.10.52.80: Flags [.], cksum 0x1d34 (correct), seq 78, ack 11577, win 391, length 0<br>
&gt; 00:25:24.475848 fa:16:3e:ff:dd:29 &gt; fa:16:3e:d7:bb:2c, ethertype 802.1Q (0x8100), length 60: vlan 3837, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 56319, offset 0, flags [DF], proto TCP (6), length 40)<br>
&gt; &nbsp; &nbsp; 192.168.10.60.57576 &gt; 192.168.10.52.80: Flags [F.], cksum 0x1d33 (correct), seq 78, ack 11577, win 391, length 0<br>
&gt; 00:25:24.480337 fa:16:3e:d7:bb:2c &gt; fa:16:3e:ff:dd:29, ethertype 802.1Q (0x8100), length 2674: vlan 3837, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 6894, offset 0, flags [DF], proto TCP (6), length 2656)<br>
&gt; &nbsp; &nbsp; 192.168.10.52.80 &gt; 192.168.10.60.57576: Flags [P.], cksum 0xa013 (incorrect -&gt; 0x772d), seq 8961:11577, ack 78, win 210, length 2616: HTTP<br>
&gt; &nbsp;<br>
&gt; Tcpdump on vm tap interface:<br>
&gt; &nbsp;<br>
&gt; 00:25:24.468419 fa:16:3e:d7:bb:2c &gt; fa:16:3e:ff:dd:29, ethertype IPv4 (0x0800), length 2670: (tos 0x0, ttl 64, id 6893, offset 0, flags [DF], proto TCP (6), length 2656)<br>
&gt; &nbsp; &nbsp; 192.168.10.52.80 &gt; 192.168.10.60.57576: Flags [P.], cksum 0xa013 (incorrect -&gt; 0x772d), seq 8961:11577, ack 78, win 210, length 2616: HTTP<br>
&gt; 00:25:24.480331 fa:16:3e:d7:bb:2c &gt; fa:16:3e:ff:dd:29, ethertype IPv4 (0x0800), length 2670: (tos 0x0, ttl 64, id 6894, offset 0, flags [DF], proto TCP (6), length 2656)<br>
&gt; &nbsp; &nbsp; 192.168.10.52.80 &gt; 192.168.10.60.57576: Flags [P.], cksum 0xa013 (incorrect -&gt; 0x772d), seq 8961:11577, ack 78, win 210, length 2616: HTTP<br>
&gt; &nbsp;<br>
&gt; Very straightforward to see the issue:<br>
&gt; &nbsp;<br>
&gt;<br>
&gt; Configure neutron OVS agent to use native firewall<br>
&gt; Create a pair of VMs on separate computes on provider vLAN<br>
&gt; Disable TCP timestamp inside the VMs<br>
&gt; Exchange TCP traffic between the VMs, e.g. http download.<br>
&gt; Tcpdump on the physical and vm port, and compare.<br>
&gt;<br>
&gt; &nbsp;<br>
&gt; I wonder why such obvious issue is not widely discussed?<br>
&gt; &nbsp;<br>
&gt; Jing<br>
&gt; <o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
</div>
<p class="MsoNormal">Maybe it's fixed by: <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="https://github.com/openvswitch/ovs/commit/9171c63532ee9cbc63bb8cfae364ab071f44389b">https://github.com/openvswitch/ovs/commit/9171c63532ee9cbc63bb8cfae364ab071f44389b</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
</div>
</div>
</div>
</body>
</html>