背景
専用ファイアウォール (Cisco ASA 5505 Sec+) の背後に、新しくホストされた専用データベース サーバーがあります。計画では、ファイアウォールの反対側に、バックエンド DB サーバーに接続する仮想 (別名「クラウド」) Web サーバーを 1 つまたは 2 つ配置します。
サーバーをセットアップしている間、ネットワーク パフォーマンスにはあまり満足していませんでした。2 台のサーバーには GigE が搭載されていますが、ファイアウォールは 100Mb しかサポートしていないため、私が抱えていたパフォーマンスの問題のほとんどは、これで十分に説明できます。
問題
しかし、トラブルシューティングの一環として、専用サーバーからファイアウォールに対して一連の ping を実行しました。これらの ping では興味深い結果が返されました。具体的には、100 回の ping の分布は次のようになりました。
57% < 1ms
14% between 1ms and 2ms
12% between 2ms and 3ms
11% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/1/8 ms
最初のホップは一貫して 1 ミリ秒未満であると予想していました (そして、それが当てはまらない有線環境を正直に思い出せません)。その後のテストもかなり似ており、数日間にわたってその状態が続いています。したがって、これは孤立したインシデントではないようです。再送信やパケットのドロップは確認されていません。ファイアウォールを介した ping では、同様のパフォーマンスが示されています。
58% < 1ms
14% between 1ms and 2ms
8% between 2ms and 2ms
14% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/2/56 ms
トラブルシューティング
ホスティング業者はサーバー、ファイアウォール、および介在するスイッチをチェックしましたが、問題は見つかりませんでした。また、ネットワーク上の ICMP トラフィックの優先順位を「下げている」ことも指摘しています。最近ポート フラッピングが発生していることに気付き (サーバーの構成が原因である可能性が高いと思います)、状況を「引き続き監視」する予定です。ポート フラッピングは、ping 時間を説明できるほど多くも時間的相関性も高くありませんが、根本的な問題の (別の) 症状である可能性はあります。
私は ASA に直接アクセスすることはできませんが、ホスティング会社はトラブルシューティングの一環として ASA の統計情報をいくつか実行しました。
# ping ***** (series of 5-packet pings from firewall to server, edited for brevity)
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
# show cpu usage
CPU utilization for 5 seconds = 13%; 1 minute: 11%; 5 minutes: 10%
# show mem
Free memory: 341383104 bytes (64%)
Used memory: 195487808 bytes (36%)
------------- ----------------
Total memory: 536870912 bytes (100%)
# show int eth0/1
Interface Ethernet0/1 "", is up, line protocol is up
Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
Available but not configured via nameif
MAC address *****, MTU not set
IP address unassigned
5068644 packets input, 5077178693 bytes, 0 no buffer
Received 4390 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
387883 switch ingress policy drops
3220647 packets output, 1648213382 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
0 input reset drops, 0 output reset drops
0 rate limit drops
0 switch egress policy drops
いくつかの ACL と、おそらく RDP セッションのみが通過するファイアウォールの CPU 使用率がやや高いように見えることを除けば、ASA の統計情報には特に警戒すべき点は見当たりません。私の意見では、過負荷になっているようには見えません。
質問
ディスク シーク タイムが近づいており、ファイアウォールやサーバーにはまだ実稼働トラフィックがないことを考慮すると、まだ少し心配です。皆さんはどう思いますか? これは問題ですか? 大規模なデータ センター環境ではこれが普通ですか?
答え1
まず、お持ちの ASA モデルやライセンス モードが具体的に記載されていません。「sh ver」と「sh int Ethernet0/0」の出力を投稿してください。
とはいえ、ASAモデルによってスループットの制限は異なります。たとえば、ASA5510の最大スループット(同時)制限は300mbpsです。http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html完全なリストについては、こちらをご覧ください。
遅延に関して言えば、すべての Cisco 製品はトラフィックをデバイスに対して直接、一番下のキューに入れます。ルータやファイアウォールに対して ICMP エコーを実行するのは、結果が予測できないため、お勧めできません。当社には ASA5510 が 2 台 (両方ともギガビット)、3750-X スイッチが 2 台ありますが、大量のトラフィックをプッシュすると、ICMP エコー遅延が 300 ミリ秒まで跳ね上がります。
これはルーティング/転送されたトラフィックが遅いことを意味するものではありません
遅延をチェックしたい場合は、ASA 全体のデバイス間で ping を使用します。これが唯一の信頼できる方法です。