Test de performance en cours VM- d’exécution firewall pour la série - Trucs et astuces
32020
Created On 07/12/20 00:49 AM - Last Modified 03/26/21 18:29 PM
Symptom
- Faible firewall débit de performance lors de l’exécution de la commande iperf à partir d’un hôte passant par un appareil.
- Habituellement, le débit n’est pas satisfaisant pour les commandes iperf à flux unique :
# iperf3 -c 172.17.50.126 -t60 -i1 [ ID] Interval Transfer Bandwidth Retr [ 4] 0.00-60.00 sec 2.15 GBytes 307 Mbits/sec 1758 sender [ 4] 0.00-60.00 sec 2.15 GBytes 307 Mbits/sec receiver
- Le débit n’est que de 307 Mbps, bien que VM-700 IPSEC sur le débit pris en charge est jusqu’à 6 Gbps.
- Légère amélioration sur l’exécution de la commande iperf multi-thread:
# iperf3 -c 172.17.50.126 -t60 -i1 -P4 [ ID] Interval Transfer Bandwidth Retr Cwnd [ 4] 0.00-1.00 sec 19.6 MBytes 164 Mbits/sec 11 120 KBytes [ 6] 0.00-1.00 sec 23.5 MBytes 197 Mbits/sec 10 144 KBytes [ 8] 0.00-1.00 sec 20.4 MBytes 171 Mbits/sec 30 102 KBytes [ 10] 0.00-1.00 sec 13.9 MBytes 117 Mbits/sec 34 64.0 KBytes [SUM] 0.00-1.00 sec 77.4 MBytes 649 Mbits/sec 85 # iperf3 -c 172.17.50.126 -t60 -i20 -P16 [SUM] 0.00-60.00 sec 6.01 GBytes 861 Mbits/sec 24601 sender [SUM] 0.00-60.00 sec 6.01 GBytes 860 Mbits/sec receiver
Environment
- VM-Plate-forme: Série sur Microsoft Azure, AWS , , GCP VMware etc ...
- PAN-OS / Plugin Version: Tout
- Déploiement : Existant
Cause
- L’exécution de commandes iperf à session unique pour mesurer le débit de performance firewall n’est pas une solution recommandée.
- Iperf avec une seule session ne peut pas mettre à l’échelle beaucoup que les paquets ne peuvent pas être distribués à travers tous DP les cœurs et les files d’attente par NIC .
Pour valider ce comportement, vérifiez la PAN-OS CLI sortie pour la commande :
> debug dataplane pow status > show running resource-monitor
- Une autre limitation du test de débit haute performance est la limitation du réseau. Sauf si vous client et serveur sont connectés avec le réseau de 10 Go, les chances sont le réseau sera le réseau de bouteilles et vous ne pouvez pas atteindre le plein potentiel de manipulation de votre serveur.
Resolution
- L’équipe performance recommande d’exécuter Iperf avec des fils mult.
- Intensifier le nombre de sessions.
- Essayez d’utiliser wrk pour le test de performance et d’autres outils qui peuvent générer plus de connexions de sorte que les sessions sont distribuées sur plusieurs cœurs.
- wrk est un outil de HTTP benchmarking moderne capable de générer une charge significative lorsqu’il est exécuté sur un seul multi-core CPU . Il combine une conception à plusieurs fils avec des systèmes évolutifs de notification d’événements tels que l’epoll et le kqueue.
- Installez l’outil wrk sur Linux MAC ou hébergez et générez multi-thread, HTTP traffiic multi-connexion. Renvoyer les documents ci-dessous :