20Mbps WPS IPSec टनल पर 10Mbps तक सीमित है


11

हमने हाल ही में एक दूरस्थ साइट को 10 / 10Mbps फाइबर से 20 / 20Mbps फाइबर लिंक से अपग्रेड किया है (यह तहखाने के लिए फाइबर है, फिर VDSL बेसमेंट से कार्यालय तक, लगभग 30 मीटर)। इस साइट और एक केंद्रीय साइट के बीच नियमित रूप से बड़ी (मल्टी-गिग) फ़ाइल प्रतियां हैं, इसलिए सिद्धांत यह था कि लिंक को 20/20 तक बढ़ाना चाहिए और हस्तांतरण समय को आधा करना चाहिए।

फ़ाइलों की प्रतिलिपि के लिए स्थानांतरण के लिए (जैसे robocopyकिसी भी दिशा में फ़ाइलों की प्रतिलिपि बनाने के लिए उपयोग करना, या वीम बैकअप और पुनर्प्राप्ति की प्रतिकृति) वे 10Mbps पर कैप किए जाते हैं।

उन्नयन से पहले:

यहाँ छवि विवरण दर्ज करें

उन्नयन के बाद ( robocopy):

यहाँ छवि विवरण दर्ज करें

लगभग समान (स्थानांतरण के समय की लंबाई में अंतर को अनदेखा करें)।

एक सिस्को ASA5520 और एक मिकरोटिक RB2011UiAS-RM के बीच एक IPSec सुरंग के ऊपर स्थानान्तरण किया जा रहा है ।

पहले विचार:

  • क्यूओएस - नोप। QoS नियम हैं लेकिन कोई भी इस प्रवाह को प्रभावित नहीं करना चाहिए। मैंने वैसे भी जांच करने के लिए कुछ मिनटों के लिए सभी नियमों को निष्क्रिय कर दिया, और कोई बदलाव नहीं हुआ
  • सॉफ्टवेयर परिभाषित सीमाएँ। इस ट्रैफ़िक का अधिकांश भाग वीईएम बैकअप और रिकवरी शिपिंग ऑफ-साइट है, लेकिन इसमें कोई सीमा निर्धारित नहीं है। इसके अतिरिक्त, मैंने अभी एक सीधा किया robocopyऔर ठीक उसी आँकड़े को देखा।
  • हार्डवेयर सक्षम नहीं। खैर, 5520 के प्रकाशित प्रदर्शन आंकड़े 225Mbps के 3DES डेटा हैं, और मिकरोटिक संख्याओं को प्रकाशित नहीं करता है, लेकिन यह 10Mbps से अधिक होगा। इन स्थानांतरण परीक्षणों को करते समय मिकरोटिक लगभग 25% -33% CPU उपयोग में है। (इसके अलावा, IPSec सुरंग के ऊपर एक HTTP स्थानांतरण करने से 20Mbps के करीब हिट होता है)
  • टीसीपी विंडो आकार के साथ संयुक्त विलंबता? खैर यह साइटों के बीच 15ms विलंबता है, इसलिए यहां तक ​​कि सबसे खराब स्थिति 32KB खिड़की का आकार 32*0.015अधिकतम 2.1MB / सेकंड है। इसके अतिरिक्त कई समवर्ती स्थानांतरण अभी भी केवल 10Mbps तक जुड़ते हैं, जो इस सिद्धांत का समर्थन नहीं करता है
  • शायद स्रोत और गंतव्य दोनों बकवास हैं? वैसे स्रोत 1.6GB / sec की निरंतर अनुक्रमिक पठन को आगे बढ़ा सकता है, इसलिए ऐसा नहीं है। गंतव्य 200 एमबी / सेकंड निरंतर अनुक्रम लिख सकता है, इसलिए ऐसा नहीं है।

यह बहुत ही विषम स्थिति है। मैंने पहले कभी इस तरह से कुछ भी प्रकट नहीं किया है।

मैं और कहाँ देख सकता हूँ?


आगे की जांच पर, मैं IPSec सुरंग को समस्या के रूप में इंगित करने में आश्वस्त हूं। मैंने एक विवादित उदाहरण बनाया और साइटों पर दो सार्वजनिक आईपी पते के बीच सीधे कुछ परीक्षण किए, और फिर आंतरिक आईपी पते का उपयोग करके सटीक परीक्षण किया, और मैं अनएन्क्रिप्टेड इंटरनेट पर 20Mbps और IPSec पर केवल 10Mbps दोहराने में सक्षम था पक्ष।


पिछले संस्करण में HTTP के बारे में एक लाल हेरिंग था। इस बारे में भूल जाओ, यह एक दोषपूर्ण परीक्षण तंत्र था।

Xeon के सुझाव के अनुसार और मेरे ISP द्वारा गूँजने पर जब मैंने उनसे समर्थन मांगा, तो मैंने IPSec डेटा के लिए MSS को 1422 तक ड्रॉप करने के लिए एक मैंगेल नियम बनाया है - इस गणना के आधार पर :

 1422   +  20 + 4 +  4 +   16  +   0     +      1    +     1     +   12
PAYLOAD  IPSEC SPI ESP  ESP-AES ESP (Pad)  Pad Length Next Header ESP-SHA

ISP के 1480 MTU के अंदर फिट होने के लिए। लेकिन अफसोस कि इससे कोई फर्क नहीं पड़ा।


वायरशार्क कैप्चर की तुलना करने के बाद, टीसीपी सत्र 1380 के एमएसएस पर अब दोनों छोरों पर बातचीत करता है (कुछ चीजों को ट्विक करने और मेरे मैथ्स बेकार होने की स्थिति में एक बफर जोड़ने के बाद। संकेत: यह शायद होता है)। 1380 वैसे भी एएसए का डिफ़ॉल्ट एमएसएस है, इसलिए हो सकता है कि यह पूरे समय इस पर बातचीत कर रहा हो।


मैं Mikrotik के अंदर टूल में कुछ अजीब डेटा देख रहा हूं जिसका उपयोग मैं ट्रैफ़िक को मापने के लिए कर रहा हूं। यह कुछ भी नहीं हो सकता है। जब मैंने फ़िल्टर की गई क्वेरी का उपयोग कर रहा था, तो मैंने इसे पहले नोटिस नहीं किया था, और मैंने केवल यह देखा था जब मैंने फ़िल्टर हटा दिया था।


MTU की तरह देखो?
xeon

अच्छी बात। यह दोनों छोरों पर 9000, सर्वर पर 1500 और स्वयं क्लाइंट और लिंक के VDSL हिस्से पर 1480 है। यह लिंक का केवल एक भाग है जिसे मैं नियंत्रित करता हूं।
मार्क हेंडरसन

पिंग -t -f -l 1500 (विफलता के बाद 20 से कम) गंतव्य, एक बार जब आप 1300 के आसपास होते हैं, तो मुझे लगता है कि यह काम करेगा, इससे आपको एएसए / मिकरोटिक आईपीसी सुरंगों पर एमटीयू को समायोजित करने की आवश्यकता होगी या आप इसे सेट करने में सक्षम हो सकते हैं। इसलिए यह बड़े टुकड़ों को नहीं गिराता है।
xeon

1394सबसे बड़ा MTU है जिसे मैं प्राप्त करने में सक्षम था।
मार्क हेंडरसन

आपका डेटा खंडित हो रहा है, इसलिए सुरंग पर MT50 से 1350-1380 तक कम करने से थ्रूपुट बढ़ाने में मदद करनी चाहिए। IPsec ओवरहेड लगभग 84 बाइट्स (आपके एनकैप्सुलेशन आदि के आधार पर) है, इसलिए 1480 - 84 = 1396, आपके द्वारा देखे गए अधिकतम के करीब।
xeon

जवाबों:


3

हालांकि सीपीयू तीसरी चीज थी जिसे मैंने जांचा, और मैंने यह लिखा:

इन स्थानांतरण परीक्षणों को करते समय मिकरोटिक लगभग 25% -33% CPU उपयोग में है

जिसकी पुष्टि सीपीयू ग्राफ ने की है

यहाँ छवि विवरण दर्ज करें

मैंने इसे बाहरी संसाधनों (अर्थात अन्य समर्थन मंचों और ब्लॉगों का एक गुच्छा ) द्वारा पुष्टि की है कि ज्यादातर मिकरोटिक राउटर केवल 3 डीईएस या एईएस एन्क्रिप्शन के साथ IPSec यातायात के 11Mbps से अधिक नहीं धकेल सकते हैं, जब तक कि आपको एक मॉडल नहीं मिलता है जिसमें हार्डवेयर एन्क्रिप्शन लोड हो रहा है ।

तो ऐसा लगता है कि यह सिर्फ एक हार्डवेयर सीमा है। मुझे इसे बहुत पहले पकड़ा जाना चाहिए था, लेकिन किसी कारण से मिकरोटिक मुझे संकेत नहीं दे रहा था कि यह सीपीयू बाध्य था।

मैं खरीदारी के लिए जाना।


IPSec ट्रैफ़िक के लिए इस सीमा को लागू करने वाली विशिष्ट सीमा को जानने में मेरी दिलचस्पी होगी। क्या आपके किसी बाहरी सूत्र ने इसे अधिक गहराई से समझाया है?
ब्लैकलाइट

दुर्भाग्य से नहीं। मुझे मिकरोटिक मंचों पर कुछ धागे मिले जहां 11Mbps इस राउटर के लिए अधिकतम के रूप में चारों ओर फेंक दिया गया था (और ऐसा लगता है जैसे मैंने यहां इसकी पुष्टि की है)। मैंने जिस ब्लॉग को लड़के से जोड़ा, उसने अपने परीक्षण चलाए और लगभग 1Mbps ट्रैफ़िक मिला, लेकिन बहुत कम, बहुत कम शक्ति वाले राउटर पर। मेरा लगभग 6-10x अधिक शक्तिशाली होना चाहिए और मुझे लगता है कि 6-10x को IPSec यातायात की मात्रा मिल रही है, जो सभी से मेल खाती है। यह CPU बाउंड इश्यू या IRQ बाउंड इश्यू या मेमोरी बाउंड इश्यू की तरह नहीं दिखता है। मुझे नहीं पता कि वास्तव में यहां क्या हो रहा है।
मार्क हेंडरसन

2

मैं पुष्टि कर सकता हूं कि अपराधी सीपीयू है। यहाँ मैंने एक मिकरोटिक RB750GL को बेंचमार्क किया और मैंने AES-128 ट्रैफ़िक (और 3DES के साथ केवल 6.0 Mb / s) के साथ 12 Mb / s मापा।

आपका परिणाम पूरी तरह से मेरे द्वारा रिकॉर्ड किए गए के अनुरूप लगता है।


ऐसा लगता है कि 750 और 2011 के बीच की गति में 200Mhz अतिरिक्त आईपीएसईसी गति से कोई फर्क नहीं पड़ा है। काश, मिकरोटिक इन आंकड़ों को कहीं प्रकाशित करते।
मार्क हेंडरसन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.