Latência da rede hospedada

tag-icon tag-icon networking hosting ping dedicated-server latency
Latência da rede hospedada

Fundo

Eu tenho um novo servidor de banco de dados dedicado e hospedado atrás de um firewall dedicado (Cisco ASA 5505 Sec+). O plano é ter um ou dois servidores web virtuais (também conhecidos como "nuvem") do outro lado do firewall, conectando-se de volta ao servidor de banco de dados back-end.

Ao configurar o servidor, não fiquei impressionado com o desempenho da rede. Acontece que embora os 2 servidores tenham GigE - o firewall suporta apenas 100 Mb - então a maioria dos problemas de desempenho que tive podem ser explicados adequadamente por isso.

Problema

No entanto, como parte da solução de problemas, executei uma série de pings no firewall do servidor dedicado. Esses pings retornaram com alguns resultados interessantes – especificamente, a distribuição de 100 pings foi:

57% < 1ms
14% between 1ms and 2ms
12% between 2ms and 3ms
11% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/1/8 ms

Eu esperava que o primeiro salto fosse <1ms consistentemente (e honestamente não consigo me lembrar de nenhum ambiente conectado onde não fosse). Os testes subsequentes foram bastante semelhantes e já duram alguns dias - portanto, este não parece ser um incidente isolado. Nenhuma retransmissão ou perda de pacotes foi observada. O ping no firewall mostra desempenho semelhante:

58% < 1ms
14% between 1ms and 2ms
8% between 2ms and 2ms
14% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/2/56 ms

Solução de problemas

O hoster verificou o servidor, o firewall e os switches intervenientes e não vê problemas. Eles também apontam que “despriorizam” o tráfego ICMP na rede. Eles notaram algumas oscilações recentes nas portas (provavelmente causadas, acredito, pela configuração do servidor) e "continuarão monitorando" a situação. A oscilação da porta não é numerosa o suficiente ou correlacionada com o tempo o suficiente para explicar os tempos de ping, embora seja possível que seja um (outro) sintoma de um problema subjacente.

Não tenho acesso direto ao ASA - mas o hoster executou algumas estatísticas como parte da solução de problemas:

# ping ***** (series of 5-packet pings from firewall to server, edited for brevity)
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

# show cpu usage
CPU utilization for 5 seconds = 13%; 1 minute: 11%; 5 minutes: 10%

# show mem
Free memory:       341383104 bytes (64%)
Used memory:       195487808 bytes (36%)
-------------     ----------------
Total memory:      536870912 bytes (100%)

# show int eth0/1
Interface Ethernet0/1 "", is up, line protocol is up
Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
    Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
    Available but not configured via nameif
    MAC address *****, MTU not set
    IP address unassigned
    5068644 packets input, 5077178693 bytes, 0 no buffer
    Received 4390 broadcasts, 0 runts, 0 giants
    0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
    0 L2 decode drops
    387883 switch ingress policy drops
    3220647 packets output, 1648213382 bytes, 0 underruns
    0 output errors, 0 collisions, 0 interface resets
    0 babbles, 0 late collisions, 0 deferred
    0 lost carrier, 0 no carrier
    0 input reset drops, 0 output reset drops
    0 rate limit drops
    0 switch egress policy drops

Exceto por algum uso aparentemente alto de CPU para um firewall com algumas ACLs e possivelmente apenas uma sessão RDP passando por ele, não vejo nada de alarmante nas estatísticas do ASA. Certamente não parece IMHO sobrecarregado.

Pergunta

Considerando que estamos nos aproximando do tempo de busca de disco e ainda não há tráfego de produção no firewall ou servidor - ainda estou um pouco preocupado. O que é que vocês acham? Isso é um problema? Isso é normal em um ambiente de data center maior?

Responder1

Em primeiro lugar, você não está dizendo qual modelo ASA específico possui, nem o modo de licenciamento. Por favor poste a saída de "sh ver" e "sh int Ethernet0/0".

Dito isto – diferentes modelos de ASA têm diferentes limites de rendimento. Por exemplo, o ASA5510 tem um limite máximo de throughput (simultâneo) de 300mbps. Verhttp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.htmlpara a lista completa.

Quando se trata de latência, todos os produtos Cisco colocam o tráfego diretamente no dispositivo na fila inferior. É por isso que é uma má prática fazer eco do ICMP em um roteador ou firewall, pois os resultados nunca são previsíveis. Temos dois ASA5510 aqui (ambos com gigabit) e dois switches 3750-X, e todos eles saltam para 300 ms de latência de eco ICMP quando estão enviando muito tráfego.

Isso não significa que o tráfego roteado/encaminhado seja lento

Se você quiser verificar a latência, use o ping entre dispositivos no ASA. É a única maneira confiável.

informação relacionada