Ejecución de pruebas de rendimiento para VM- series - Consejos y firewall trucos
32014
Created On 07/12/20 00:49 AM - Last Modified 03/26/21 18:29 PM
Symptom
- Rendimiento firewall bajo al ejecutar el comando iperf desde un host que pasa a través de un dispositivo.
- Por lo general, el rendimiento no es satisfactorio para los comandos iperf de una sola secuencia:
# iperf3 -c 172.17.50.126 -t60 -i1 [ ID] Interval Transfer Bandwidth Retr [ 4] 0.00-60.00 sec 2.15 GBytes 307 Mbits/sec 1758 sender [ 4] 0.00-60.00 sec 2.15 GBytes 307 Mbits/sec receiver
- El rendimiento es de solo 307 Mbps, aunque en el VM-700 IPSEC rendimiento admitido es de hasta 6 Gbps.
- Ligera mejora en la ejecución del comando iperf multiproceso:
# iperf3 -c 172.17.50.126 -t60 -i1 -P4 [ ID] Interval Transfer Bandwidth Retr Cwnd [ 4] 0.00-1.00 sec 19.6 MBytes 164 Mbits/sec 11 120 KBytes [ 6] 0.00-1.00 sec 23.5 MBytes 197 Mbits/sec 10 144 KBytes [ 8] 0.00-1.00 sec 20.4 MBytes 171 Mbits/sec 30 102 KBytes [ 10] 0.00-1.00 sec 13.9 MBytes 117 Mbits/sec 34 64.0 KBytes [SUM] 0.00-1.00 sec 77.4 MBytes 649 Mbits/sec 85 # iperf3 -c 172.17.50.126 -t60 -i20 -P16 [SUM] 0.00-60.00 sec 6.01 GBytes 861 Mbits/sec 24601 sender [SUM] 0.00-60.00 sec 6.01 GBytes 860 Mbits/sec receiver
Environment
- Plataforma: VM- Serie en Microsoft Azure, , , AWS GCP VMware, etc...
- PAN-OS / Versión del plugin: Cualquier
- Implementación: Existente
Cause
- Ejecutar comandos iperf de una sola sesión para medir el rendimiento del rendimiento firewall no es una solución recomendada.
- Iperf con una sola sesión no se puede escalar tanto como los paquetes no se pueden distribuir a través de todos los DP núcleos y colas por NIC .
Para validar este comportamiento, marque PAN-OS CLI la salida para el comando:
> debug dataplane pow status > show running resource-monitor
- Otra limitación en la prueba de rendimiento de alto rendimiento es la limitación de la red. A menos que el cliente y el servidor estén conectados con la red de 10 Gb, lo más probable es que la red sea la red de botellas y no pueda alcanzar todo el potencial de manejo de su servidor.
Resolution
- El equipo de rendimiento recomienda ejecutar Iperf con roscas mult.
- Escale más sesiones.
- Intente usar wrk para la prueba de rendimiento y otras herramientas que pueden generar más número de conexiones para que las sesiones se distribuyan entre varios núcleos.
- wrk es una herramienta de benchmarking moderna HTTP capaz de generar una carga significativa cuando se ejecuta en un solo núcleo CPU múltiple. Combina un diseño multiproceso con sistemas escalables de notificación de eventos como epoll y kqueue.
- Instale la herramienta wrk en Linux o MAC host y genere HTTP traffiic multiproceso y multi-conexión. Consulte los documentos a continuación: