背景
我在專用防火牆 (Cisco ASA 5505 Sec+) 後面有一個新的託管專用資料庫伺服器。計劃是在防火牆的另一側建立一個或兩個虛擬(又稱「雲端」)Web 伺服器,連接回後端資料庫伺服器。
在設定伺服器時,我對其網路效能並不感興趣。事實證明,雖然兩台伺服器都有 GigE - 防火牆僅支援 100Mb - 所以我遇到的大多數效能問題都可以充分解釋。
問題
但是,作為故障排除的一部分,我從專用伺服器對防火牆運行了一系列 ping。這些 ping 傳回了一些有趣的結果 - 具體來說,100 個 ping 的分佈是:
57% < 1ms
14% between 1ms and 2ms
12% between 2ms and 3ms
11% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/1/8 ms
我預期第一跳始終小於 1 毫秒(老實說,我無法回憶起任何不是這樣的硬連線環境)。隨後的測試非常相似,並且已經持續了幾天——所以這似乎不是孤立的事件。沒有觀察到重傳或丟棄的資料包。跨防火牆 ping 顯示類似的效能:
58% < 1ms
14% between 1ms and 2ms
8% between 2ms and 2ms
14% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/2/56 ms
故障排除
託管方已檢查伺服器、防火牆和中間交換機,沒有發現任何問題。他們還指出,他們「降低了」網路上 ICMP 流量的優先順序。他們注意到最近出現了一些連接埠抖動(我認為可能是由伺服器配置引起的)並將「繼續監視」情況。連接埠抖動的數量不夠多,時間相關性也不足以解釋 ping 時間,儘管這可能是潛在問題的(另一個)症狀。
我無法直接存取 ASA - 但託管商在其上運行了一些統計數據作為故障排除的一部分:
# ping ***** (series of 5-packet pings from firewall to server, edited for brevity)
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
# show cpu usage
CPU utilization for 5 seconds = 13%; 1 minute: 11%; 5 minutes: 10%
# show mem
Free memory: 341383104 bytes (64%)
Used memory: 195487808 bytes (36%)
------------- ----------------
Total memory: 536870912 bytes (100%)
# show int eth0/1
Interface Ethernet0/1 "", is up, line protocol is up
Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
Available but not configured via nameif
MAC address *****, MTU not set
IP address unassigned
5068644 packets input, 5077178693 bytes, 0 no buffer
Received 4390 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
387883 switch ingress policy drops
3220647 packets output, 1648213382 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
0 input reset drops, 0 output reset drops
0 rate limit drops
0 switch egress policy drops
除了具有幾個 ACL 的防火牆看似較高的 CPU 使用率並且可能只有一個 RDP 會話通過它之外,我沒有看到有關 ASA 統計數據的任何令人擔憂的情況。恕我直言,它當然不會出現過度徵稅的情況。
問題
考慮到我們正在接近磁碟尋道時間,並且防火牆或伺服器上還沒有生產流量 - 我仍然有點擔心。你們有什麼感想?這是一個問題嗎?這在較大的資料中心環境中正常嗎?
答案1
首先,您沒有說明您擁有什麼特定的 ASA 型號,也沒有說明授權模式。請發布“sh ver”和“sh int Ethernet0/0”的輸出。
也就是說,不同的 ASA 型號有不同的吞吐量限制。例如,ASA5510 的最大吞吐量(並發)限制為 300mbps。看http://www.cisco.com/en/US/prod/collathal/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html取得完整清單。
當談到延遲時,所有思科產品都將流量直接傳送至底部佇列中的裝置。這就是為什麼針對路由器或防火牆進行 ICMP 回顯是不好的做法,因為結果永遠無法預測。我們這裡有兩台 ASA5510(都是千兆位元)和兩台 3750-X 交換機,當它們推送大量流量時,它們的 ICMP 回顯延遲都會跳至 300 毫秒。
這並不意味著路由/轉送流量很慢
如果您想檢查延遲,請在 ASA 上的裝置之間使用 ping。這是唯一可靠的方法。