La velocidad de descarga y carga es muy lenta en la conexión VxLAN cuando pasa por el túnel IPSec.
Proceso de manejo del problema.
1. Se utilizaron dos servidores con dos tarjetas NIC con dos direcciones IP diferentes en cada servidor para realizar esta prueba.
Cuando pasa solo por el túnel IPSec, la velocidad es normal.
huawei@ubuntu:~$ iperf3 -c 192.168.45.250 Connecting to host 192.168.45.250, port 5201 [ 4] local 172.16.1.220 port 43586 connected to 192.168.45.250 port 5201 [ ID] Interval Transfer Bandwidth Retr Cwnd [ 4] 0.00-1.00 sec 8.29 MBytes 69.5 Mbits/sec 808 420 KBytes [ 4] 1.00-2.00 sec 11.5 MBytes 96.5 Mbits/sec 0 643 KBytes [ 4] 2.00-3.00 sec 10.2 MBytes 85.5 Mbits/sec 0 682 KBytes [ 4] 3.00-4.00 sec 9.94 MBytes 83.4 Mbits/sec 48 491 KBytes [ 4] 4.00-5.00 sec 8.64 MBytes 72.5 Mbits/sec 0 537 KBytes [ 4] 5.00-6.00 sec 9.01 MBytes 75.6 Mbits/sec 0 567 KBytes [ 4] 6.00-7.00 sec 9.38 MBytes 78.7 Mbits/sec 0 585 KBytes [ 4] 7.00-8.00 sec 9.57 MBytes 80.3 Mbits/sec 0 594 KBytes [ 4] 8.00-9.00 sec 9.76 MBytes 81.8 Mbits/sec 0 595 KBytes [ 4] 9.00-10.00 sec 9.69 MBytes 81.3 Mbits/sec 0 595 KBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth Retr [ 4] 0.00-10.00 sec 96.0 MBytes 80.5 Mbits/sec 856 sender [ 4] 0.00-10.00 sec 92.7 MBytes 77.8 Mbits/sec receiver
2. Pero cuando el tráfico pasa por el túnel VxLAN en el mismo túnel IPSec, se puede observar una degradación severa del rendimiento.
huawei@ubuntu:~$ iperf3 -c 172.21.30.201 Connecting to host 172.21.30.201, port 5201 [ 4] local 172.21.30.120 port 33436 connected to 172.21.30.201 port 5201 [ ID] Interval Transfer Bandwidth Retr Cwnd [ 4] 0.00-1.00 sec 1.07 MBytes 8.95 Mbits/sec 0 70.7 KBytes [ 4] 1.00-2.00 sec 0.00 Bytes 0.00 bits/sec 1 1.41 KBytes [ 4] 2.00-3.00 sec 509 KBytes 4.17 Mbits/sec 53 70.7 KBytes [ 4] 3.00-4.00 sec 63.6 KBytes 521 Kbits/sec 1 1.41 KBytes [ 4] 4.00-5.00 sec 382 KBytes 3.13 Mbits/sec 53 69.3 KBytes [ 4] 5.00-6.00 sec 63.6 KBytes 521 Kbits/sec 1 1.41 KBytes [ 4] 6.00-7.00 sec 445 KBytes 3.65 Mbits/sec 51 66.5 KBytes [ 4] 7.00-8.00 sec 63.6 KBytes 521 Kbits/sec 1 1.41 KBytes [ 4] 8.00-9.00 sec 445 KBytes 3.65 Mbits/sec 51 67.9 KBytes [ 4] 9.00-10.00 sec 127 KBytes 1.04 Mbits/sec 51 41.0 KBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth Retr [ 4] 0.00-10.00 sec 3.12 MBytes 2.62 Mbits/sec 263 sender [ 4] 0.00-10.00 sec 2.67 MBytes 2.24 Mbits/sec receiver
Causa principal
1. VxLAN agrega 50 bytes de sobrecarga a un paquete TCP/IP, que se convierte en 1550 bytes.
2. Normalmente, el tamaño máximo de MTU de una interfaz es de 1500 bytes, a menos que admita tramas gigantes.
3. Cuando un paquete viaja a través del túnel IPSEC, tiene que estar fragmentado y provoca una degradación del rendimiento.
Solución
Hay dos soluciones.
1. Asegúrese de que todos los dispositivos admitan tramas gigantes.
2. Reduzca el MTU a 1450 (o MSS a 1410) en el dispositivo host para que los paquetes no tengan que fragmentarse cuando viajan a través de un dispositivo que no admite tramas gigantes.
Después de que el MTU se redujo a 1450 bytes en el servidor, el ancho de banda muestra la velocidad esperada.
huawei@ubuntu:~$ ifconfig ens160: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1450 inet 172.21.30.120 netmask 255.255.255.0 broadcast 172.21.30.255 inet6 fe80::f9d4:9b9a:7fe9:b847 prefixlen 64 scopeid 0x20<link> ether 00:0c:29:e8:88:0a txqueuelen 1000 (Ethernet) RX packets 1 bytes 60 (60.0 B) RX errors 0 dropped 140 overruns 0 frame 0 TX packets 3 bytes 274 (274.0 B) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 huawei@ubuntu:~$ iperf3 -c 172.21.30.201 Connecting to host 172.21.30.201, port 5201 [ 4] local 172.21.30.120 port 33450 connected to 172.21.30.201 port 5201 [ ID] Interval Transfer Bandwidth Retr Cwnd [ 4] 0.00-1.00 sec 9.80 MBytes 82.2 Mbits/sec 832 827 KBytes [ 4] 1.00-2.00 sec 8.34 MBytes 69.9 Mbits/sec 20 438 KBytes [ 4] 2.00-3.00 sec 7.48 MBytes 62.8 Mbits/sec 0 470 KBytes [ 4] 3.00-4.00 sec 7.91 MBytes 66.4 Mbits/sec 0 487 KBytes [ 4] 4.00-5.00 sec 8.03 MBytes 67.4 Mbits/sec 0 497 KBytes [ 4] 5.00-6.00 sec 8.28 MBytes 69.4 Mbits/sec 0 500 KBytes [ 4] 6.00-7.00 sec 8.22 MBytes 68.9 Mbits/sec 0 500 KBytes [ 4] 7.00-8.00 sec 8.28 MBytes 69.5 Mbits/sec 0 500 KBytes [ 4] 8.00-9.00 sec 8.22 MBytes 68.9 Mbits/sec 0 505 KBytes [ 4] 9.00-10.00 sec 8.34 MBytes 70.0 Mbits/sec 0 517 KBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth Retr [ 4] 0.00-10.00 sec 82.9 MBytes 69.5 Mbits/sec 852 sender [ 4] 0.00-10.00 sec 79.5 MBytes 66.7 Mbits/sec receiver
Sugerencias
Si necesita VxLAN a través del túnel IPSEC, considere el tamaño de MTU a lo largo de la ruta.
Saludos.
FIN.
También te puede interesar:
Conoce como operar y mantener la solución NIP6000 de Huawei
Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei
Una introducción a las zonas de seguridad en un firewall de Huawei
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente
