WAN 20Mbps ถูก จำกัด ไว้ที่ 10Mbps ผ่าน IPSec Tunnel


11

เมื่อเร็ว ๆ นี้เราได้อัปเกรดไซต์ระยะไกลจากไฟเบอร์ 10 / 10Mbps เป็นลิงก์ไฟเบอร์ 20 / 20Mbps (เป็นไฟเบอร์ไปยังห้องใต้ดินจากนั้น VDSL จากห้องใต้ดินไปยังสำนักงานประมาณ 30 เมตร) มีสำเนาไฟล์ขนาดใหญ่ (หลายกิ๊ก) เป็นประจำระหว่างไซต์นี้และไซต์กลางดังนั้นทฤษฎีก็คือการเพิ่มลิงค์ไปยัง 20/20 ควรลดเวลาในการถ่ายโอนลงครึ่งหนึ่ง

สำหรับการถ่ายโอนสำหรับการคัดลอกไฟล์ (เช่นใช้robocopyเพื่อคัดลอกไฟล์ในทิศทางใดทิศทางหนึ่งหรือการจำลองแบบของ Veeam Backup and Recovery) จะถูก จำกัด ที่ 10Mbps

ก่อนอัพเกรด:

ป้อนคำอธิบายรูปภาพที่นี่

หลังจากอัปเกรด ( robocopy):

ป้อนคำอธิบายรูปภาพที่นี่

เกือบเหมือนกัน (เพิกเฉยต่อความแตกต่างในระยะเวลาของการถ่ายโอน)

การถ่ายโอนที่ถูกทำผ่านอุโมงค์ IPSec ระหว่างซิสโก้ ASA5520 และMikrotik RB2011UiAS-RM

ความคิดแรก:

  • QoS - ไม่ มีกฎ QoS แต่ไม่มีใครที่จะส่งผลกระทบต่อโฟลว์นี้ ฉันปิดการใช้งานกฎทั้งหมดเป็นเวลาสองสามนาทีเพื่อตรวจสอบต่อไปและไม่มีการเปลี่ยนแปลง
  • ข้อ จำกัด ที่กำหนดโดยซอฟต์แวร์ การรับส่งข้อมูลส่วนใหญ่นี้เป็นการสำรองข้อมูลและกู้คืนข้อมูลของ Veeam นอกสถานที่ แต่ไม่มีข้อ จำกัด ที่ระบุไว้ในนั้น นอกจากนี้ฉันเพิ่งทำตรงrobocopyและเห็นสถิติเดียวกันทุกประการ
  • ฮาร์ดแวร์ไม่สามารถใช้งานได้ ตัวเลขประสิทธิภาพที่ตีพิมพ์ของ 5520 คือข้อมูล 225Mbps ของ 3DES และ Mikrotik ไม่ได้เผยแพร่ตัวเลข แต่จะสูงกว่า 10Mbps Mikrotik ใช้งาน CPU ประมาณ 25% -33% เมื่อทำการทดสอบการถ่ายโอน (นอกจากนี้การถ่ายโอน HTTP ผ่านอุโมงค์ IPSec จะส่งผลกระทบใกล้ถึง 20Mbps)
  • ความหน่วงแฝงรวมกับขนาดหน้าต่าง TCP? มันมีความหน่วงแฝง 15ms ระหว่างไซต์ดังนั้นแม้ขนาดหน้าต่าง 32KB ที่แย่ที่สุด32*0.015คือสูงสุด 2.1MB / วินาที นอกจากนี้การถ่ายโอนหลายอย่างพร้อมกันยังคงเพิ่มขึ้นถึง 10Mbps ซึ่งไม่สนับสนุนทฤษฎีนี้
  • บางทีแหล่งที่มาและปลายทางนั้นทั้งสองอย่าง แหล่งที่มาสามารถผลักดันการอ่านตามลำดับอย่างยั่งยืน 1.6GB / วินาทีดังนั้นจึงไม่เป็นเช่นนั้น ปลายทางสามารถเขียนต่อเนื่องได้อย่างต่อเนื่อง 200MB / วินาทีดังนั้นจึงไม่เป็นเช่นนั้น

นี่เป็นสถานการณ์ที่แปลกมาก ฉันไม่เคยเห็นสิ่งใดมาก่อนในลักษณะนี้

ฉันจะดูที่อื่นได้ที่ไหน


ในการตรวจสอบเพิ่มเติมฉันมั่นใจในการชี้ไปที่อุโมงค์ IPSec ว่าเป็นปัญหา ฉันทำตัวอย่างที่วางแผนไว้และทำการทดสอบโดยตรงระหว่างที่อยู่ IP สาธารณะสองแห่งบนไซต์จากนั้นทำการทดสอบเดียวกันอย่างแน่นอนโดยใช้ที่อยู่ IP ภายในและฉันสามารถทำซ้ำ 20Mbps ผ่านอินเทอร์เน็ตที่ไม่ได้เข้ารหัสและมี 10Mbps เพียง IPSec ด้าน


รุ่นก่อนหน้ามีปลาเฮอริ่งแดงเกี่ยวกับ HTTP ลืมเรื่องนี้ไปนี่เป็นกลไกการทดสอบที่ผิดพลาด

ตามคำแนะนำจาก Xeon และ echo'd โดย ISP ของฉันเมื่อฉันถามพวกเขาเพื่อรับการสนับสนุนฉันได้ตั้งกฎการคล้ำเพื่อวาง MSS สำหรับข้อมูล IPSec ไปที่ 1422 - จากการคำนวณนี้ :

 1422   +  20 + 4 +  4 +   16  +   0     +      1    +     1     +   12
PAYLOAD  IPSEC SPI ESP  ESP-AES ESP (Pad)  Pad Length Next Header ESP-SHA

เพื่อให้พอดีกับ 1480 MTU ของ ISP แต่อนิจจานี้ไม่ได้สร้างความแตกต่างที่มีประสิทธิภาพ


หลังจากเปรียบเทียบการจับภาพ wireshark เซสชัน TCP เจรจา MSS ที่ 1380 ที่ปลายทั้งสองตอนนี้ (หลังจากปรับบางสิ่งและเพิ่มบัฟเฟอร์ในกรณีที่คณิตศาสตร์ของฉันดูดคำแนะนำ: อาจเป็นเช่นนั้น) 1380 ยังเป็น MSS เริ่มต้นของ ASA อยู่ดีดังนั้นจึงอาจมีการเจรจาเรื่องนี้ตลอดเวลาอยู่ดี


ฉันเห็นข้อมูลแปลก ๆในเครื่องมือภายใน Mikrotikที่ฉันใช้เพื่อวัดปริมาณการใช้งาน มันอาจจะไม่มีอะไร ฉันไม่ได้สังเกตสิ่งนี้มาก่อนในขณะที่ฉันใช้แบบสอบถามที่กรองและฉันเห็นสิ่งนี้เมื่อฉันลบตัวกรองออกเท่านั้น


หน้าตาของ MTU เป็นอย่างไร?
xeon

จุดดี. มันคือ 9000 ทั้งสวิตช์ที่ปลายทั้งสองข้าง, 1500 บนเซิร์ฟเวอร์และลูกค้าเองและ 1480 ในส่วน VDSL ของลิงก์ นั่นเป็นเพียงส่วนหนึ่งของลิงก์ที่ฉันควบคุม
Mark Henderson

ping -t -f -l 1500 (ลดลง 20 หลังจากความล้มเหลว) ปลายทางเมื่อคุณอยู่ที่ประมาณ 1300 ฉันคิดว่ามันจะใช้งานได้สิ่งนี้ควรระบุว่าคุณต้องปรับ MTU บน ASA / Mikrotik IPsec tunnels หรือคุณอาจตั้งค่าได้ ดังนั้นจึงไม่ลดขนาดของชิ้นส่วนให้ใหญ่
xeon

1394เป็น MTU ที่ใหญ่ที่สุดที่ฉันสามารถผ่านได้
Mark Henderson

ข้อมูลของคุณมีการแยกส่วนดังนั้นการลด MTU ในอุโมงค์เป็น 1350-1380 ควรช่วยเพิ่มปริมาณงาน ค่าใช้จ่ายของ IPsec อยู่ที่ประมาณ 84 ไบต์ (ขึ้นอยู่กับการห่อหุ้มของคุณเป็นต้น) ดังนั้น 1480 - 84 = 1396 ใกล้กับค่าสูงสุดที่คุณเห็น
xeon

คำตอบ:


3

แม้ว่า CPU เป็นสิ่งที่สามที่ฉันตรวจสอบและฉันเขียนสิ่งนี้:

Mikrotik ใช้งาน CPU ประมาณ 25% -33% เมื่อทำการทดสอบการถ่ายโอน

ซึ่งได้รับการยืนยันจากกราฟซีพียู

ป้อนคำอธิบายรูปภาพที่นี่

ฉันได้รับการยืนยันจากแหล่งข้อมูลภายนอก (เช่นกลุ่มฟอรัมสนับสนุนและบล็อกอื่น ๆ) ที่เราเตอร์ Mikrotik ส่วนใหญ่ไม่สามารถผลักดันการรับส่งข้อมูล IPSec มากกว่า 11Mbps ด้วยการเข้ารหัส 3DES หรือ AES เว้นแต่ว่าคุณจะได้รับแบบจำลอง .

ดังนั้นดูเหมือนว่านี่เป็นเพียงข้อ จำกัด ของฮาร์ดแวร์ ฉันควรจะจับมันไว้ก่อนหน้านี้แล้ว แต่ด้วยเหตุผลบางอย่าง Mikrotik ไม่ได้บอกฉันว่ามันกำลังถูกผูกติดกับซีพียู

ฉันไปช้อปปิ้ง


ฉันสนใจที่จะทราบข้อ จำกัด เฉพาะที่กำหนดเพดานนี้สำหรับการรับส่งข้อมูลของ IPSec แหล่งข้อมูลภายนอกของคุณอธิบายได้ในเชิงลึกมากขึ้นหรือไม่
ล็คไลท์

แต่น่าเสียดายที่ไม่ได้. ฉันพบกระทู้บางส่วนในฟอรัม Mikrotik ที่มีการโยน 11Mbps เป็นจำนวนสูงสุดสำหรับเราเตอร์นี้ (และดูเหมือนว่าฉันได้ยืนยันที่นี่) บล็อกที่ฉันเชื่อมโยงกับคนที่แต่งตัวประหลาดใช้การทดสอบของเขาและมีปริมาณข้อมูลประมาณ 1Mbps แต่ใช้เราเตอร์ที่มีพลังงานต่ำกว่ามาก ฉันควรจะมีประสิทธิภาพมากขึ้นประมาณ 6-10x และดูเหมือนว่าฉันจะได้รับปริมาณการใช้งาน IPSec 6-10 เท่าซึ่งทั้งหมดตรงกัน ดูเหมือนว่าปัญหาของ CPU ที่ถูกผูกไว้หรือปัญหา IRQ ที่ถูกผูกไว้หรือปัญหาที่ถูกผูกไว้กับหน่วยความจำ ฉันไม่รู้ว่าเกิดอะไรขึ้นที่นี่
มาร์คเฮนเดอร์สัน

2

ฉันสามารถยืนยันได้ว่าผู้ร้ายคือซีพียู ที่นี่ฉันเปรียบเทียบกับ Mikrotik RB750GL และฉันวัด 12 Mb / s ด้วยการจราจร AES-128 (และเพียง 6.0 Mb / s กับ 3DES)

ผลลัพธ์ของคุณสอดคล้องกับสิ่งที่ฉันบันทึกไว้อย่างสมบูรณ์แบบ


ดูเหมือนความเร็ว 200Mhz พิเศษระหว่าง 750 และ 2011 ไม่ได้สร้างความแตกต่างใด ๆ กับความเร็วของ IPSec ฉันหวังว่า Mikrotik จะเผยแพร่ตัวเลขเหล่านี้ที่ไหนซักแห่ง
Mark Henderson
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.