Fondo
Tengo un nuevo servidor de base de datos dedicado y alojado detrás de un firewall dedicado (Cisco ASA 5505 Sec+). El plan es tener uno o dos servidores web virtuales (también conocidos como "nube") en el otro lado del firewall que se conectan nuevamente al servidor de base de datos backend.
Mientras configuraba el servidor, no me impresionó el rendimiento de la red. Resulta que, aunque los 2 servidores tienen GigE (el firewall solo admite 100 Mb), la mayoría de los problemas de rendimiento que tuve se pueden explicar adecuadamente por eso.
Problema
Sin embargo, como parte de la solución de problemas, ejecuté una serie de pings al firewall desde el servidor dedicado. Estos pings arrojaron algunos resultados interesantes; específicamente, la distribución de 100 pings fue:
57% < 1ms
14% between 1ms and 2ms
12% between 2ms and 3ms
11% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/1/8 ms
Esperaba que el primer salto fuera <1 ms de manera constante (y honestamente, no recuerdo ningún entorno cableado donde no fuera así). Las pruebas posteriores fueron bastante similares y lo han sido durante varios días, por lo que este no parece ser un incidente aislado. No se han observado retransmisiones ni paquetes descartados. Hacer ping a través del firewall muestra un rendimiento similar:
58% < 1ms
14% between 1ms and 2ms
8% between 2ms and 2ms
14% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/2/56 ms
Solución de problemas
El proveedor de alojamiento ha comprobado el servidor, el firewall y los conmutadores intermedios y no ve problemas. También señalan que "despriorizan" el tráfico ICMP en la red. Notaron algunas fluctuaciones recientes en los puertos (probablemente causadas, creo, por la configuración del servidor) y "continuarán monitoreando" la situación. El aleteo del puerto no es lo suficientemente numeroso ni está suficientemente correlacionado en el tiempo para explicar los tiempos de ping, aunque es posible que sea un síntoma (otro) de un problema subyacente.
No tengo acceso directo al ASA, pero el proveedor de alojamiento ejecutó algunas estadísticas como parte de la solución de problemas:
# ping ***** (series of 5-packet pings from firewall to server, edited for brevity)
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
# show cpu usage
CPU utilization for 5 seconds = 13%; 1 minute: 11%; 5 minutes: 10%
# show mem
Free memory: 341383104 bytes (64%)
Used memory: 195487808 bytes (36%)
------------- ----------------
Total memory: 536870912 bytes (100%)
# show int eth0/1
Interface Ethernet0/1 "", is up, line protocol is up
Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
Available but not configured via nameif
MAC address *****, MTU not set
IP address unassigned
5068644 packets input, 5077178693 bytes, 0 no buffer
Received 4390 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
387883 switch ingress policy drops
3220647 packets output, 1648213382 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
0 input reset drops, 0 output reset drops
0 rate limit drops
0 switch egress policy drops
Excepto por un uso aparentemente alto de CPU para un firewall con algunas ACL y posiblemente solo una sesión RDP a través de él, no veo nada alarmante en las estadísticas de ASA. Ciertamente no parece sobrecargado en mi humilde opinión.
Pregunta
Teniendo en cuenta que nos acercamos a los tiempos de búsqueda de disco y aún no hay tráfico de producción en el firewall o el servidor, todavía estoy un poco preocupado. ¿Qué piensan ustedes? ¿Es esto un problema? ¿Es esto normal en un entorno de centro de datos más grande?
Respuesta1
En primer lugar, no está diciendo qué modelo de ASA específico tiene ni el modo de licencia. Publique el resultado de "sh ver" y "sh int Ethernet0/0".
Dicho esto, los diferentes modelos de ASA tienen diferentes límites de rendimiento. Como ejemplo, el ASA5510 tiene un límite de rendimiento máximo (concurrente) de 300 mbps. Verhttp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.htmlpara ver la lista completa.
Cuando se trata de latencia, todos los productos de Cisco dirigen el tráfico directamente al dispositivo en la cola inferior. Esta es la razón por la que es una mala práctica hacer eco ICMP contra un enrutador o firewall, ya que los resultados nunca son predecibles. Tenemos dos ASA5510 aquí (ambos con gigabit) y dos conmutadores 3750-X, y todos saltan hasta 300 ms de latencia de eco ICMP cuando generan mucho tráfico.
Esto no significa que el tráfico enrutado/reenviado sea lento.
Si desea verificar la latencia, utilice ping entre dispositivos a través del ASA. Es la única manera confiable.