服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 托pipe的networking延迟
Intereting Posts
如何在DFS文件夹目标中分发文件? 为什么使用Dovecot和Postfix / Sendmail? 从服务器 – > PC进行rsync更快 什么是暴力攻击的最佳禁令期限? 如何自动断开所有terminal服务器? 在locking的表上插入DELAYED会阻止PHP进程继续 将物理Win2008计算机转换为同一个盒子上的Hyper-V虚拟机。 更改SID? 通过子域提供文件 在某些情况下,$ sent_http_variables在Nginx中消失 绑定:仅适用于下载 当负载平均值过高时,SendMail守护程序操作的问题 GPO – 软件限制策略 英特尔matrix存储pipe理器RAID重build周期反复 在启动时自动执行shell脚本(Ubuntu) 带有auditdisp的中央日志服务器

托pipe的networking延迟

背景

我在专用防火墙(Cisco ASA 5505 Sec +)后面有一个新的托pipe的专用数据库服务器。 计划是在防火墙的另一端连接到后端数据库服务器的虚拟(又名“云”)networking服务器。

在设置服务器的同时,我对它的networking性能不以为然。 事实certificate,虽然2台服务器都有GigE,但是防火墙只支持100Mb,所以大部分的性能问题我都可以充分的解释。

问题

但是,作为故障排除的一部分,我从专用服务器向防火墙运行了一系列ping命令。 这些ping回来了一些有趣的结果 – 具体来说,100坪的分布是: 

57% < 1ms 14% between 1ms and 2ms 12% between 2ms and 3ms 11% between 3ms and 6ms 6% >= 6ms Min/Avg/Max: 0/1/8 ms

我一直期望第一跳始终<1ms(不能诚实地回想一下没有的硬连线环境)。 随后的testing非常相似,而且一直是这么多天 – 所以这似乎不是一个孤立的事件。 没有观察到重传或丢弃的数据包。 Ping防火墙显示类似的性能: 

 58% < 1ms 14% between 1ms and 2ms 8% between 2ms and 2ms 14% between 3ms and 6ms 6% >= 6ms Min/Avg/Max: 0/2/56 ms

故障排除

主机已经检查了服务器,防火墙和中介交换机,没有发现问题。 他们还指出,他们“对networking上的ICMPstream量进行优先sorting”。 他们注意到最近的一些端口抖动(可能是由服务器的configuration引起的),并将“继续监视”情况。 端口抖动并不足以解释ping时间,或者说时间关联性不足以解释ping时间,尽pipe这可能是潜在问题的(另一个)症状。

我没有直接访问ASA – 但是主机运行一些统计信息作为故障排除的一部分: 

 # ping ***** (series of 5-packet pings from firewall to server, edited for brevity) Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms # show cpu usage CPU utilization for 5 seconds = 13%; 1 minute: 11%; 5 minutes: 10% # show mem Free memory: 341383104 bytes (64%) Used memory: 195487808 bytes (36%) ------------- ---------------- Total memory: 536870912 bytes (100%) # show int eth0/1 Interface Ethernet0/1 "", is up, line protocol is up Hardware is 88E6095, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) Available but not configured via nameif MAC address *****, MTU not set IP address unassigned 5068644 packets input, 5077178693 bytes, 0 no buffer Received 4390 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 387883 switch ingress policy drops 3220647 packets output, 1648213382 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier 0 input reset drops, 0 output reset drops 0 rate limit drops 0 switch egress policy drops

除了一些看起来很高的CPU使用率,对于只有几个ACL的防火墙来说,只有一个RDP会话可以通过它,我没有看到ASA统计信息的任何警告。 它当然不会出现超额收入恕我直言。

考虑到我们正在接近磁盘寻道时间,而且防火墙或服务器上还没有生产stream量 – 我仍然有点担心。 你们有什么感想? 这是一个问题吗? 在更大的数据中心环境中这是否正常?

首先,您没有说明具体的ASA模型,也不是授权模式。 请发布“sh ver”和“sh int Ethernet0 / 0”的输出。

这就是说 – 不同的ASA型号有不同的吞吐量限制。 作为一个例子,ASA5510的最大吞吐量(并发)限制为300mbps。 有关完整列表,请参阅http://www.cisco.com/en/US/prod/collat​​eral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html

谈到延迟 – 所有思科产品都将stream量直接放在底层队列中的设备上。 这就是为什么ICMP对路由器或防火墙进行回声是不好的做法,因为结果是不可预测的。 我们在这里有两个ASA5510(都是千兆位的)和两个3750-X交换机,当他们推动大量的stream量时,它们都会跳到高达300ms的ICMP回声等待时间。

这并不意味着路由/转发的stream量很慢

如果你想检查延迟,那么在整个ASA的设备之间使用ping。 这是唯一可靠的方法。