У меня есть новый размещенный выделенный сервер базы данных за выделенным межсетевым экраном (Cisco ASA 5505 Sec +). План состоит в том, чтобы иметь один или два виртуальных (так называемых «облачных») веб-сервера на другой стороне межсетевого экрана, соединяющихся с внутренним сервером БД.
При настройке сервера производительность сети меня не впечатлила. Оказывается, хотя на двух серверах есть GigE - брандмауэр поддерживает только 100 Мбайт, - так что большинство проблем с производительностью, которые у меня были, можно адекватно объяснить этим.
Однако в рамках устранения неполадок я выполнил серию эхо-запросов к брандмауэру с выделенного сервера. Эти эхо-запросы вернулись с некоторыми интересными результатами - в частности, распределение 100 пингов было:
57% < 1ms
14% between 1ms and 2ms
12% between 2ms and 3ms
11% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/1/8 ms
Я ожидал, что время первого прыжка будет постоянно <1 мс (и не могу честно вспомнить какую-либо жестко подключенную среду, где этого не было). Последующие тесты были очень похожими и длились столько дней, так что это не похоже на единичный инцидент. Никаких повторных передач или отброшенных пакетов не наблюдалось. Пинг через брандмауэр показывает аналогичную производительность:
58% < 1ms
14% between 1ms and 2ms
8% between 2ms and 2ms
14% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/2/56 ms
Хостер проверил сервер, брандмауэр и промежуточные коммутаторы и не обнаружил никаких проблем. Они также отмечают, что «лишают приоритета» ICMP-трафик в сети. Они заметили недавнее переключение портов (вероятно, вызванное, как мне кажется, конфигурацией сервера) и будут «продолжать отслеживать» ситуацию. Число оборотов порта недостаточно велико или время достаточно коррелировано, чтобы объяснить время пинга, хотя возможно, что это (другой) симптом основной проблемы.
У меня нет прямого доступа к ASA, но хостер провел на нем некоторую статистику в рамках устранения неполадок:
# ping ***** (series of 5-packet pings from firewall to server, edited for brevity)
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
# show cpu usage
CPU utilization for 5 seconds = 13%; 1 minute: 11%; 5 minutes: 10%
# show mem
Free memory: 341383104 bytes (64%)
Used memory: 195487808 bytes (36%)
------------- ----------------
Total memory: 536870912 bytes (100%)
# show int eth0/1
Interface Ethernet0/1 "", is up, line protocol is up
Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
Available but not configured via nameif
MAC address *****, MTU not set
IP address unassigned
5068644 packets input, 5077178693 bytes, 0 no buffer
Received 4390 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
387883 switch ingress policy drops
3220647 packets output, 1648213382 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
0 input reset drops, 0 output reset drops
0 rate limit drops
0 switch egress policy drops
За исключением некоторой кажущейся высокой загрузки ЦП для брандмауэра с несколькими ACL и, возможно, только сеансом RDP, проходящим через него, я не вижу ничего тревожного в статистике ASA. ИМХО, конечно, это не кажется чрезмерным налогом.
Учитывая, что мы приближаемся к времени поиска диска, а производственный трафик на брандмауэре или сервере еще отсутствует - я все еще немного обеспокоен. Что, вы парни, думаете? Это проблема? Это нормально для больших центров обработки данных?
Во-первых, вы не говорите, какая у вас конкретная модель ASA или режим лицензирования. Опубликуйте, пожалуйста, вывод "sh ver" и "sh int Ethernet0 / 0".
При этом разные модели ASA имеют разные пределы пропускной способности. Например, ASA5510 имеет ограничение максимальной пропускной способности (одновременной) 300 Мбит / с. Видеть http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html для полного списка.
Что касается задержки, все продукты Cisco помещают трафик непосредственно на устройство в нижнюю очередь. Вот почему эхо ICMP против маршрутизатора или брандмауэра является плохой практикой, поскольку результаты никогда нельзя предсказать. У нас есть два ASA5510 (оба с гигабитными скоростями) и два коммутатора 3750-X, и все они увеличивают задержку эха ICMP до 300 мс при передаче большого объема трафика.
Это не означает, что перенаправленный / перенаправленный трафик медленный.
Если вы хотите проверить задержку, используйте эхо-запрос между устройствами через ASA. Это единственный надежный способ.