Laufleistungstest für VM- Serie - Tipps & firewall Tricks

Laufleistungstest für VM- Serie - Tipps & firewall Tricks

32020
Created On 07/12/20 00:49 AM - Last Modified 03/26/21 18:29 PM


Symptom


  • Geringer firewall Leistungsdurchsatz beim Ausführen des iperf-Befehls von einem Host, der ein Gerät durchläuft.
  • Normalerweise ist der Durchsatz für iperf-Befehle mit einem Stream nicht zufriedenstellend:
# iperf3 -c 172.17.50.126 -t60 -i1
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-60.00  sec  2.15 GBytes   307 Mbits/sec  1758             sender
[  4]   0.00-60.00  sec  2.15 GBytes   307 Mbits/sec                  receiver
  • Der Durchsatz beträgt nur 307 Mbit/s, obwohl bei VM-700 IPSEC Throughput bis zu 6 Gbit/s unterstützt werden.
  • Leichte Verbesserung beim Ausführen des Multithread-Iperf-Befehls:
# iperf3 -c 172.17.50.126 -t60 -i1 -P4
[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  4]   0.00-1.00   sec  19.6 MBytes   164 Mbits/sec   11    120 KBytes
[  6]   0.00-1.00   sec  23.5 MBytes   197 Mbits/sec   10    144 KBytes
[  8]   0.00-1.00   sec  20.4 MBytes   171 Mbits/sec   30    102 KBytes
[ 10]   0.00-1.00   sec  13.9 MBytes   117 Mbits/sec   34   64.0 KBytes
[SUM]   0.00-1.00   sec  77.4 MBytes   649 Mbits/sec   85

# iperf3 -c 172.17.50.126 -t60 -i20 -P16
[SUM]   0.00-60.00  sec  6.01 GBytes   861 Mbits/sec  24601             sender
[SUM]   0.00-60.00  sec  6.01 GBytes   860 Mbits/sec                  receiver

Environment


  • Plattform: VM- Serie auf Microsoft Azure, , , AWS GCP VMware usw.
  • PAN-OS / Plugin-Version: Beeine
  • Bereitstellung: Vorhanden

Cause


  • Das Ausführen von iperf-Befehlen für einzelne Sitzungen zur Messung des Leistungsdurchsatzes firewall von ist keine empfohlene Lösung.
  • Iperf mit einzelner Sitzung kann nicht viel skalieren, da Pakete nicht auf alle Kerne und Warteschlangen von verteilt werden DP NIC können.
Um dieses Verhalten zu überprüfen, überprüfen Sie die PAN-OS CLI Ausgabe auf Befehl:
> debug dataplane pow status
> show running resource-monitor
  • Eine weitere Einschränkung des Hochleistungsdurchsatztests ist die Netzwerkbeschränkung. Wenn Ihr Client und Server nicht mit dem 10-Gb-Netzwerk verbunden sind, besteht die Wahrscheinlichkeit, dass das Netzwerk das Flaschennetz ist und Sie nicht das volle Handling-Potenzial Ihres Servers erreichen können.

Resolution


  1. Das Performance-Team empfiehlt, Iperf mit Mult-Threads auszuführen.
  2. Skalieren Sie mehr Sitzungen.
  3. Versuchen Sie, wrk für Leistungstests und andere Tools zu verwenden, die mehr Verbindungen generieren können, sodass die Sitzungen auf mehrere Kerne verteilt werden.
  4. wrk ist ein modernes HTTP Benchmarking-Tool, das eine erhebliche Last erzeugen kann, wenn es auf einem einzigen Multi-Core ausgeführt CPU wird. Es kombiniert ein Multithread-Design mit skalierbaren Ereignisbenachrichtigungssystemen wie epoll und kqueue.
  5. Installieren Sie wrk Tool auf Linux oder MAC Host und generieren Multi-Thread, Multi-Connection HTTP traffiic. Siehe Dokumente unten:
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UnDCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language