WAN 20Mbps ถูก จำกัด ไว้ที่ 10Mbps ผ่าน IPSec Tunnel

เมื่อเร็ว ๆ นี้เราได้อัปเกรดไซต์ระยะไกลจากไฟเบอร์ 10 / 10Mbps เป็นลิงก์ไฟเบอร์ 20 / 20Mbps (เป็นไฟเบอร์ไปยังห้องใต้ดินจากนั้น VDSL จากห้องใต้ดินไปยังสำนักงานประมาณ 30 เมตร) มีสำเนาไฟล์ขนาดใหญ่ (หลายกิ๊ก) เป็นประจำระหว่างไซต์นี้และไซต์กลางดังนั้นทฤษฎีก็คือการเพิ่มลิงค์ไปยัง 20/20 ควรลดเวลาในการถ่ายโอนลงครึ่งหนึ่ง

สำหรับการถ่ายโอนสำหรับการคัดลอกไฟล์ (เช่นใช้robocopyเพื่อคัดลอกไฟล์ในทิศทางใดทิศทางหนึ่งหรือการจำลองแบบของ Veeam Backup and Recovery) จะถูก จำกัด ที่ 10Mbps

ก่อนอัพเกรด:

หลังจากอัปเกรด ( robocopy):

เกือบเหมือนกัน (เพิกเฉยต่อความแตกต่างในระยะเวลาของการถ่ายโอน)

การถ่ายโอนที่ถูกทำผ่านอุโมงค์ IPSec ระหว่างซิสโก้ ASA5520 และMikrotik RB2011UiAS-RM

ความคิดแรก:

• QoS - ไม่ มีกฎ QoS แต่ไม่มีใครที่จะส่งผลกระทบต่อโฟลว์นี้ ฉันปิดการใช้งานกฎทั้งหมดเป็นเวลาสองสามนาทีเพื่อตรวจสอบต่อไปและไม่มีการเปลี่ยนแปลง
• ข้อ จำกัด ที่กำหนดโดยซอฟต์แวร์ การรับส่งข้อมูลส่วนใหญ่นี้เป็นการสำรองข้อมูลและกู้คืนข้อมูลของ Veeam นอกสถานที่ แต่ไม่มีข้อ จำกัด ที่ระบุไว้ในนั้น นอกจากนี้ฉันเพิ่งทำตรงrobocopyและเห็นสถิติเดียวกันทุกประการ
• ฮาร์ดแวร์ไม่สามารถใช้งานได้ ตัวเลขประสิทธิภาพที่ตีพิมพ์ของ 5520 คือข้อมูล 225Mbps ของ 3DES และ Mikrotik ไม่ได้เผยแพร่ตัวเลข แต่จะสูงกว่า 10Mbps Mikrotik ใช้งาน CPU ประมาณ 25% -33% เมื่อทำการทดสอบการถ่ายโอน (นอกจากนี้การถ่ายโอน HTTP ผ่านอุโมงค์ IPSec จะส่งผลกระทบใกล้ถึง 20Mbps)
• ความหน่วงแฝงรวมกับขนาดหน้าต่าง TCP? มันมีความหน่วงแฝง 15ms ระหว่างไซต์ดังนั้นแม้ขนาดหน้าต่าง 32KB ที่แย่ที่สุด32*0.015คือสูงสุด 2.1MB / วินาที นอกจากนี้การถ่ายโอนหลายอย่างพร้อมกันยังคงเพิ่มขึ้นถึง 10Mbps ซึ่งไม่สนับสนุนทฤษฎีนี้
• บางทีแหล่งที่มาและปลายทางนั้นทั้งสองอย่าง แหล่งที่มาสามารถผลักดันการอ่านตามลำดับอย่างยั่งยืน 1.6GB / วินาทีดังนั้นจึงไม่เป็นเช่นนั้น ปลายทางสามารถเขียนต่อเนื่องได้อย่างต่อเนื่อง 200MB / วินาทีดังนั้นจึงไม่เป็นเช่นนั้น

นี่เป็นสถานการณ์ที่แปลกมาก ฉันไม่เคยเห็นสิ่งใดมาก่อนในลักษณะนี้

ฉันจะดูที่อื่นได้ที่ไหน

ในการตรวจสอบเพิ่มเติมฉันมั่นใจในการชี้ไปที่อุโมงค์ IPSec ว่าเป็นปัญหา ฉันทำตัวอย่างที่วางแผนไว้และทำการทดสอบโดยตรงระหว่างที่อยู่ IP สาธารณะสองแห่งบนไซต์จากนั้นทำการทดสอบเดียวกันอย่างแน่นอนโดยใช้ที่อยู่ IP ภายในและฉันสามารถทำซ้ำ 20Mbps ผ่านอินเทอร์เน็ตที่ไม่ได้เข้ารหัสและมี 10Mbps เพียง IPSec ด้าน

รุ่นก่อนหน้ามีปลาเฮอริ่งแดงเกี่ยวกับ HTTP ลืมเรื่องนี้ไปนี่เป็นกลไกการทดสอบที่ผิดพลาด

ตามคำแนะนำจาก Xeon และ echo'd โดย ISP ของฉันเมื่อฉันถามพวกเขาเพื่อรับการสนับสนุนฉันได้ตั้งกฎการคล้ำเพื่อวาง MSS สำหรับข้อมูล IPSec ไปที่ 1422 - จากการคำนวณนี้ :

 1422   +  20 + 4 +  4 +   16  +   0     +      1    +     1     +   12
PAYLOAD  IPSEC SPI ESP  ESP-AES ESP (Pad)  Pad Length Next Header ESP-SHA

เพื่อให้พอดีกับ 1480 MTU ของ ISP แต่อนิจจานี้ไม่ได้สร้างความแตกต่างที่มีประสิทธิภาพ

หลังจากเปรียบเทียบการจับภาพ wireshark เซสชัน TCP เจรจา MSS ที่ 1380 ที่ปลายทั้งสองตอนนี้ (หลังจากปรับบางสิ่งและเพิ่มบัฟเฟอร์ในกรณีที่คณิตศาสตร์ของฉันดูดคำแนะนำ: อาจเป็นเช่นนั้น) 1380 ยังเป็น MSS เริ่มต้นของ ASA อยู่ดีดังนั้นจึงอาจมีการเจรจาเรื่องนี้ตลอดเวลาอยู่ดี

ฉันเห็นข้อมูลแปลก ๆในเครื่องมือภายใน Mikrotikที่ฉันใช้เพื่อวัดปริมาณการใช้งาน มันอาจจะไม่มีอะไร ฉันไม่ได้สังเกตสิ่งนี้มาก่อนในขณะที่ฉันใช้แบบสอบถามที่กรองและฉันเห็นสิ่งนี้เมื่อฉันลบตัวกรองออกเท่านั้น

แม้ว่า CPU เป็นสิ่งที่สามที่ฉันตรวจสอบและฉันเขียนสิ่งนี้:

Mikrotik ใช้งาน CPU ประมาณ 25% -33% เมื่อทำการทดสอบการถ่ายโอน

ซึ่งได้รับการยืนยันจากกราฟซีพียู

ฉันได้รับการยืนยันจากแหล่งข้อมูลภายนอก (เช่นกลุ่มฟอรัมสนับสนุนและบล็อกอื่น ๆ) ที่เราเตอร์ Mikrotik ส่วนใหญ่ไม่สามารถผลักดันการรับส่งข้อมูล IPSec มากกว่า 11Mbps ด้วยการเข้ารหัส 3DES หรือ AES เว้นแต่ว่าคุณจะได้รับแบบจำลอง .

ดังนั้นดูเหมือนว่านี่เป็นเพียงข้อ จำกัด ของฮาร์ดแวร์ ฉันควรจะจับมันไว้ก่อนหน้านี้แล้ว แต่ด้วยเหตุผลบางอย่าง Mikrotik ไม่ได้บอกฉันว่ามันกำลังถูกผูกติดกับซีพียู

ฉันไปช้อปปิ้ง

ฉันสามารถยืนยันได้ว่าผู้ร้ายคือซีพียู ที่นี่ฉันเปรียบเทียบกับ Mikrotik RB750GL และฉันวัด 12 Mb / s ด้วยการจราจร AES-128 (และเพียง 6.0 Mb / s กับ 3DES)

ผลลัพธ์ของคุณสอดคล้องกับสิ่งที่ฉันบันทึกไว้อย่างสมบูรณ์แบบ