20 Мбіт / с WAN обмежений 10 Мбіт / с через тунель IPSec


11

Нещодавно ми модернізували віддалений сайт з волокна 10/10 Мбіт / с до волокна 20/20 Мбіт / с (це волокно до підвалу, потім VDSL від підвалу до офісу, приблизно 30 метрів). Існують регулярні великі копії файлів (багато гігів) між цим сайтом та центральним сайтом, тому теорія полягала в тому, що збільшення посилання на 20/20 повинно вдвічі зменшити час передачі.

Для переказів для копіювання файлів (наприклад, robocopyдля копіювання файлів у будь-якому напрямку чи реплікації Veeam Backup та Recovery) вони обмежуються в 10 Мбіт / с.

Перед оновленням:

введіть тут опис зображення

Після оновлення ( robocopy):

введіть тут опис зображення

Майже однакові (ігноруйте різницю в тривалості часу передачі).

Передача здійснюється через тунель IPSec між Cisco ASA5520 та Mikrotik RB2011UiAS-RM .

Перші думки:

  • QoS - немає. Існують правила QoS, але жодне не повинно впливати на цей потік. Я відключив усі правила на кілька хвилин, щоб перевірити все одно, і жодних змін
  • Програмно-визначені ліміти. Більшу частину цього трафіку здійснює резервне копіювання та відновлення Veeam за межами сайту, але там немає визначених обмежень. Крім того, я просто зробив прямий robocopyі побачив абсолютно таку ж статистику.
  • Обладнання не здатне. Ну, опубліковані 5520 показники продуктивності - це 225 Мбіт / с даних 3DES, а Mikrotik не публікує номери, але це було б набагато більше 10 Мбіт / с. Mikrotik використовує приблизно 25% -33% процесора при виконанні цих тестів на передачу. (Крім того, передача HTTP через тунель IPSec дійсно наближається до 20 Мбіт / с)
  • Затримка в поєднанні з розміром вікна TCP? Добре це затримка між сайтами 15 мс, тому навіть найгірший розмір вікна 32 КБ 32*0.015становить максимум 2,1 Мб / сек. Крім того, кілька одночасних передач все ще просто складають до 10 Мбіт / с, що не підтримує цю теорію
  • Можливо, джерело та місце призначення - це лайно? Добре, джерело може підштовхувати 1,6 Гб / сек послідовних послідовних зчитувань, тож це не все. Пункт призначення може робити послідовне записування, що підтримується 200 Мб / сек, так що це теж не так.

Це дуже дивна ситуація. Я ніколи раніше не бачив нічого такого, що проявилося б таким чином.

Де ще я можу подивитися?


Під час подальшого дослідження я впевнений, що вказав на тунель IPSec як проблему. Я зробив надуманий приклад і зробив кілька тестів безпосередньо між двома загальнодоступними IP-адресами на сайтах, а потім зробив точно такий же тест, використовуючи внутрішні IP-адреси, і мені вдалося повторити 20 Мбіт / с через незашифрований Інтернет, і лише 10 Мбіт / с на IPSec сторона.


У попередній версії була червона оселедець про HTTP. Забудьте про це, це був несправний механізм тестування.

Згідно з пропозицією Xeon та відголосом мого провайдера, коли я попросив їх підтримку, я встановив правило mangle, щоб скинути MSS для даних IPSec до 1422 - на основі цього розрахунку :

 1422   +  20 + 4 +  4 +   16  +   0     +      1    +     1     +   12
PAYLOAD  IPSEC SPI ESP  ESP-AES ESP (Pad)  Pad Length Next Header ESP-SHA

Щоб поміститися всередині MTU 1480 MTU. Але, на жаль, це не мало жодної ефективної зміни.


Порівнюючи захоплення проводів, сеанс TCP узгоджує MSS 1380 з обох кінців зараз (після налаштування кількох речей та додавання буфера на випадок, якщо моя математика смокче. Підказка: це, мабуть, так). 1380 - це так само MSS за замовчуванням MSA у будь-якому випадку, тому, можливо, він вев переговори про це все одно.


Я бачу деякі дивні дані в інструменті всередині Mikrotik, який я використовував для вимірювання трафіку. Це може бути нічого. Я раніше цього не помічав, коли використовував відфільтрований запит, і це бачив лише тоді, коли видалив фільтр.


Як виглядає MTU?
xeon

Влучне зауваження. Це 9000 обох комутаторів на будь-якому кінці, 1500 на сервері та самих клієнтах та 1480 на частині VDSL посилання. Це єдині частини посилань, якими я керую.
Марк Хендерсон

ping -t -f -l 1500 (зменшитись на 20 після відмови) пункт призначення, коли ви близько 1300, я думаю, що це спрацює, це повинно вказувати на необхідність налаштування MTU в тунелях ASA / Mikrotik IPsec або ви, можливо, зможете його встановити щоб не скидати фрагменти на великі.
xeon

1394це найбільший MTU, який мені вдалося пройти.
Марк Хендерсон

Ваші дані фрагментарно, тому зменшення MTU в тунелі до 1350-1380 повинно сприяти збільшенню пропускної здатності. Накладні витрати IPsec становлять близько 84 байт (залежно від інкапсуляції тощо), тому 1480 - 84 = 1396, що ближче до вашого максимуму, який ви бачили.
xeon

Відповіді:


3

Навіть незважаючи на те, що процесор був третім, що я перевірив, і я написав це:

Mikrotik використовує приблизно 25% -33% процесора при виконанні цих тестів на передачу

Що підтверджено графіком процесора

введіть тут опис зображення

У мене це підтверджувалося зовнішніми ресурсами (тобто, купою інших форумів та блогів підтримки ), що більшість маршрутизаторів Mikrotik просто не можуть підштовхнути більше 11 Мбіт / с IPSec трафіку ні за допомогою 3DES, ні AES-шифрування, якщо ви не отримаєте модель, яка забезпечує завантаження апаратного шифрування. .

Так виглядає, що це лише апаратне обмеження. Я мав би це спіймати набагато раніше, але чомусь Mikrotik не вказував мені, що він пов'язаний з процесором.

По магазинах я йду.


Мені буде цікаво знати специфічне обмеження, яке накладає ця стеля для трафіку IPSec. Чи пояснив це хтось із ваших зовнішніх джерел?
чорне світло

На жаль ні. Я знайшов деякі теми на форумах Mikrotik, де 11Mbps було обкинуто як максимум для цього маршрутизатора (і, здається, я тут це підтвердив). Блог, з яким я пов’язаний із хлопцем, провів свої тести і отримав близько 1 Мбіт / с трафіку, але на багато, набагато меншому маршрутизаторі. Міна повинна бути на 6-10 разів потужнішою, і я, здається, отримую 6-10 разів кількість трафіку IPSec, який відповідає всім. Це не схоже на проблему, пов'язану з процесором, або з пов'язаною з IRQ проблемою, або з проблемою, пов'язаною з пам'яттю. Я поняття не маю, що насправді відбувається тут.
Марк Хендерсон

2

Я можу підтвердити, що винуватцем є процесор. Тут я оцінив Mikrotik RB750GL і виміряв 12 Мбіт / с трафіком AES-128 (і лише 6,0 Мб / с при 3DES).

Ваш результат здається абсолютно відповідним тому, що я записав.


Схоже, додаткові 200 МГц у швидкості між 750 та 2011 роком не змінили швидкості IPSec. Я б хотів, щоб Mikrotik десь опублікував ці цифри.
Марк Хендерсон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.