De acuerdo

Degradación del rendimiento en VxLAN sobre IPSec

201 0 6 0 0

La velocidad de descarga y carga es muy lenta en la conexión VxLAN cuando pasa por el túnel IPSec.


h1


Proceso de manejo del problema.

1. Se utilizaron dos servidores con dos tarjetas NIC con dos direcciones IP diferentes en cada servidor para realizar esta prueba.

 

Cuando pasa solo por el túnel IPSec, la velocidad es normal.

huawei@ubuntu:~$ iperf3 -c 192.168.45.250
Connecting to host 192.168.45.250, port 5201
[  4] local 172.16.1.220 port 43586 connected to 192.168.45.250 port 5201
[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  4]   0.00-1.00   sec  8.29 MBytes  69.5 Mbits/sec  808    420 KBytes
[  4]   1.00-2.00   sec  11.5 MBytes  96.5 Mbits/sec    0    643 KBytes
[  4]   2.00-3.00   sec  10.2 MBytes  85.5 Mbits/sec    0    682 KBytes
[  4]   3.00-4.00   sec  9.94 MBytes  83.4 Mbits/sec   48    491 KBytes
[  4]   4.00-5.00   sec  8.64 MBytes  72.5 Mbits/sec    0    537 KBytes
[  4]   5.00-6.00   sec  9.01 MBytes  75.6 Mbits/sec    0    567 KBytes
[  4]   6.00-7.00   sec  9.38 MBytes  78.7 Mbits/sec    0    585 KBytes
[  4]   7.00-8.00   sec  9.57 MBytes  80.3 Mbits/sec    0    594 KBytes
[  4]   8.00-9.00   sec  9.76 MBytes  81.8 Mbits/sec    0    595 KBytes
[  4]   9.00-10.00  sec  9.69 MBytes  81.3 Mbits/sec    0    595 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec  96.0 MBytes  80.5 Mbits/sec  856             sender
[  4]   0.00-10.00  sec  92.7 MBytes  77.8 Mbits/sec                  receiver


2. Pero cuando el tráfico pasa por el túnel VxLAN en el mismo túnel IPSec, se puede observar una degradación severa del rendimiento.

huawei@ubuntu:~$ iperf3 -c 172.21.30.201
Connecting to host 172.21.30.201, port 5201
[  4] local 172.21.30.120 port 33436 connected to 172.21.30.201 port 5201
[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  4]   0.00-1.00   sec  1.07 MBytes  8.95 Mbits/sec    0   70.7 KBytes
[  4]   1.00-2.00   sec  0.00 Bytes  0.00 bits/sec    1   1.41 KBytes
[  4]   2.00-3.00   sec   509 KBytes  4.17 Mbits/sec   53   70.7 KBytes
[  4]   3.00-4.00   sec  63.6 KBytes   521 Kbits/sec    1   1.41 KBytes
[  4]   4.00-5.00   sec   382 KBytes  3.13 Mbits/sec   53   69.3 KBytes
[  4]   5.00-6.00   sec  63.6 KBytes   521 Kbits/sec    1   1.41 KBytes
[  4]   6.00-7.00   sec   445 KBytes  3.65 Mbits/sec   51   66.5 KBytes
[  4]   7.00-8.00   sec  63.6 KBytes   521 Kbits/sec    1   1.41 KBytes
[  4]   8.00-9.00   sec   445 KBytes  3.65 Mbits/sec   51   67.9 KBytes
[  4]   9.00-10.00  sec   127 KBytes  1.04 Mbits/sec   51   41.0 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec  3.12 MBytes  2.62 Mbits/sec  263             sender
[  4]   0.00-10.00  sec  2.67 MBytes  2.24 Mbits/sec                  receiver


Causa principal

1. VxLAN agrega 50 bytes de sobrecarga a un paquete TCP/IP, que se convierte en 1550 bytes.

2. Normalmente, el tamaño máximo de MTU de una interfaz es de 1500 bytes, a menos que admita tramas gigantes.

3. Cuando un paquete viaja a través del túnel IPSEC, tiene que estar fragmentado y provoca una degradación del rendimiento.

 

Solución

Hay dos soluciones.

 

1. Asegúrese de que todos los dispositivos admitan tramas gigantes.

 

2. Reduzca el MTU a 1450 (o MSS a 1410) en el dispositivo host para que los paquetes no tengan que fragmentarse cuando viajan a través de un dispositivo que no admite tramas gigantes.

 

Después de que el MTU se redujo a 1450 bytes en el servidor, el ancho de banda muestra la velocidad esperada.

huawei@ubuntu:~$ ifconfig
ens160: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450
        inet 172.21.30.120  netmask 255.255.255.0  broadcast 172.21.30.255
        inet6 fe80::f9d4:9b9a:7fe9:b847  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:e8:88:0a  txqueuelen 1000  (Ethernet)
        RX packets 1  bytes 60 (60.0 B)
        RX errors 0  dropped 140  overruns 0  frame 0
        TX packets 3  bytes 274 (274.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

huawei@ubuntu:~$ iperf3 -c 172.21.30.201
Connecting to host 172.21.30.201, port 5201
[  4] local 172.21.30.120 port 33450 connected to 172.21.30.201 port 5201
[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  4]   0.00-1.00   sec  9.80 MBytes  82.2 Mbits/sec  832    827 KBytes
[  4]   1.00-2.00   sec  8.34 MBytes  69.9 Mbits/sec   20    438 KBytes
[  4]   2.00-3.00   sec  7.48 MBytes  62.8 Mbits/sec    0    470 KBytes
[  4]   3.00-4.00   sec  7.91 MBytes  66.4 Mbits/sec    0    487 KBytes
[  4]   4.00-5.00   sec  8.03 MBytes  67.4 Mbits/sec    0    497 KBytes
[  4]   5.00-6.00   sec  8.28 MBytes  69.4 Mbits/sec    0    500 KBytes
[  4]   6.00-7.00   sec  8.22 MBytes  68.9 Mbits/sec    0    500 KBytes
[  4]   7.00-8.00   sec  8.28 MBytes  69.5 Mbits/sec    0    500 KBytes
[  4]   8.00-9.00   sec  8.22 MBytes  68.9 Mbits/sec    0    505 KBytes
[  4]   9.00-10.00  sec  8.34 MBytes  70.0 Mbits/sec    0    517 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec  82.9 MBytes  69.5 Mbits/sec  852             sender
[  4]   0.00-10.00  sec  79.5 MBytes  66.7 Mbits/sec                  receiver


Sugerencias

Si necesita VxLAN a través del túnel IPSEC, considere el tamaño de MTU a lo largo de la ruta.

 

Saludos.

 

FIN.


También te puede interesar:

Conoce como operar y mantener la solución NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.