web-dev-qa-db-ja.com

ホスト型ネットワークの遅延

バックグラウンド

専用ファイアウォール(Cisco ASA 5505 Sec +)の背後に新しいホストされた専用データベースサーバがあります。計画では、ファイアウォールの反対側に仮想(別名「クラウド」)Webサーバーを1つまたは2つ配置して、バックエンドDBサーバーに接続し直します。

サーバーをセットアップしている間、私はそのネットワークパフォーマンスに感銘を受けませんでした。結局のところ、2台のサーバーにはGigEがあります(ファイアウォールは100Mbしかサポートしていません)。したがって、私が抱えていたパフォーマンスの問題のほとんどは、それによって適切に説明できます。

問題

ただし、トラブルシューティングの一環として、専用サーバーからファイアウォールへの一連のpingを実行しました。これらのpingは、いくつかの興味深い結果をもたらしました。具体的には、100個のpingの分布は次のとおりです。

57% < 1ms
14% between 1ms and 2ms
12% between 2ms and 3ms
11% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/1/8 ms

ファーストホップは一貫して1ミリ秒未満であると予想していました(そして、そうでなかったハードワイヤード環境を正直に思い出すことはできません)。その後のテストは非常に似ていて、私にとっては何日も続いているので、これは孤立したインシデントではないようです。再送信またはドロップされたパケットは観察されていません。ファイアウォールを越えてpingを実行すると、同様のパフォーマンスが示されます。

58% < 1ms
14% between 1ms and 2ms
8% between 2ms and 2ms
14% between 3ms and 6ms
6% >= 6ms
Min/Avg/Max: 0/2/56 ms

トラブルシューティング

ホスティング業者はサーバー、ファイアウォール、および介在するスイッチを確認しましたが、問題はありません。また、ネットワーク上のICMPトラフィックの優先順位を「下げる」ことも指摘しています。彼らは最近のポートフラッピング(サーバーの構成が原因である可能性が高い)に気づき、状況を「監視し続ける」でしょう。ポートのフラッピングは、ping時間を説明するのに十分な数または時間相関がありませんが、根本的な問題のa(nother)症状である可能性があります。

ASAに直接アクセスすることはできませんが、トラブルシューティングの一環として、ホスティング業者がASAに対していくつかの統計情報を実行しました。

# ping ***** (series of 5-packet pings from firewall to server, edited for brevity)
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/6/10 ms
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

# show cpu usage
CPU utilization for 5 seconds = 13%; 1 minute: 11%; 5 minutes: 10%

# show mem
Free memory:       341383104 bytes (64%)
Used memory:       195487808 bytes (36%)
-------------     ----------------
Total memory:      536870912 bytes (100%)

# show int eth0/1
Interface Ethernet0/1 "", is up, line protocol is up
Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
    Full-Duplex(Full-duplex), 100 Mbps(100 Mbps)
    Available but not configured via nameif
    MAC address *****, MTU not set
    IP address unassigned
    5068644 packets input, 5077178693 bytes, 0 no buffer
    Received 4390 broadcasts, 0 runts, 0 giants
    0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
    0 L2 decode drops
    387883 switch ingress policy drops
    3220647 packets output, 1648213382 bytes, 0 underruns
    0 output errors, 0 collisions, 0 interface resets
    0 babbles, 0 late collisions, 0 deferred
    0 lost carrier, 0 no carrier
    0 input reset drops, 0 output reset drops
    0 rate limit drops
    0 switch egress policy drops

ACLがいくつかあり、おそらくRDPセッションのみが通過するファイアウォールのCPU使用率が高いように見えることを除いて、ASA統計について何も心配することはありません。それは確かに過大な課税の私見には見えません。

質問

ディスクシーク時間に近づいていて、ファイアウォールまたはサーバーに本番トラフィックがまだないことを考えると、私はまだ少し心配しています。皆さんはどう思いますか?これは問題ですか?これは、大規模なデータセンター環境では正常ですか?

networkinghostingpingdedicated-serverlatency
2
Mark Brackett

まず、使用している特定のASAモデルやライセンスモードについては説明していません。 「shver」と「shintEthernet0/0」の出力を投稿してください。

そうは言っても、ASAモデルが異なればスループット制限も異なります。例として、ASA5510の最大スループット(同時)制限は300mbpsです。完全なリストについては、 http://www.Cisco.com/en/US/prod/collat​​eral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html を参照してください。

遅延に関しては、すべてのシスコ製品がトラフィックを最下位のキューにあるデバイスに直接送ります。結果が予測できないため、ルーターまたはファイアウォールに対してICMPエコーを実行することはお勧めできません。ここには2つのASA5510(両方ともギガビット)と2つの3750-Xスイッチがあり、大量のトラフィックをプッシュしている場合、それらはすべて最大300msのICMPエコー遅延にジャンプします。

これは、ルーティング/転送されたトラフィックが遅いという意味ではありません

遅延を確認する場合は、ASA全体のデバイス間でpingを使用します。それが唯一の信頼できる方法です。

2
pauska