Назад | Перейти на главную страницу

Медленная передача данных по сети через виртуальную машину межсетевого экрана Linux

У нас есть виртуальная машина RedHat 5.8, работающая на ESX поверх Cisco UCS, которая действует как межсетевой экран с использованием iptables. Коробка имеет несколько сетевых адаптеров, одна из которых служит шлюзом в нашу сеть, а остальные подключены к отдельной VLAN / сети. Проблема, которую я вижу, заключается в том, что выполнение теста iperf с хоста непосредственно на виртуальную машину брандмауэра дает скорость 800+ Мбит / с, но при попытке выполнить тест iperf с хоста за пределами брандмауэра на хост внутри брандмауэра (вызывая прохождение трафика через брандмауэр) обеспечивает скорость около 30 Мбит / с или меньше.

Детали:

Я не уверен, какой выпуск или версии ESX или UCS мы используем, но могу выяснить, важно ли это. Наш системный администратор постоянно обновляет данные, поэтому они, скорее всего, находятся в пределах пары последних обновлений.
Я знаю, что мы используем драйвер VMXNET 3 для сетевых адаптеров.
Все соединения проверены на скорость 1 Гбит / с.

Что я пробовал:

Из того, что я прочитал, драйвер e1000 дает лучшие результаты, поэтому мы добавили пару сетевых адаптеров, использующих этот драйвер, и iperf, протестированный через эти интерфейсы, с теми же результатами.
Проверил, что на тестируемых интерфейсах LRO отключен. Когда я запустил «ethtool -K ethX lro off», он сообщает «не изменены настройки разгрузки», что, как я предполагаю, означает, что он уже отключен.
Также отключил TSO на тестируемых интерфейсах.
Когда я проводил тесты скорости, я обычно тестировал с физического устройства на виртуальное через брандмауэр в том же кластере. Я также пробовал тестировать виртуальное устройство на виртуальное устройство через брандмауэр и получил те же результаты.
Отключил iptables и запустил тесты скорости, получив те же результаты.
Ни один из вышеперечисленных пунктов ничего не изменил, кроме, возможно, замедления работы (в какой-то момент я получил <10 Мбит / с).

Поскольку я могу получить 800+ Мбит / с на самом брандмауэре, это наводит меня на мысль, что нет ничего плохого в конфигурации самих сетевых адаптеров. Мне кажется, что это проблема с пересылкой в самой ОС, поскольку она проявляется только тогда, когда трафик проходит через брандмауэр. Также должен отметить, что никаких скачков ЦП во время этого процесса я не наблюдал.

Я уверен, что опускаю некоторые подробности, поэтому, если возникнут дополнительные вопросы, дайте мне знать. Я ценю любую помощь!

Мы нашли решение. Нам пришлось отключить LRO на уровне лезвия в UCS (как показано здесь -> http://docwiki.cisco.com/wiki/Disable_LRO). Как только мы это сделали, скорость поднялась до 700+ МБ / с, ограничиваясь только процессором и обработкой iptables.