组网及说明
防火墙旁挂交换机,配置了context。不同的业务在不同context下。
告警信息
FW旁挂核心并配置了context。现场故障现象是业务过防火墙测速会降低很多,不过防火墙20G,过墙就只有1G。
14,15为inside 接口
16,17为outside 接口
都是与核心交换机相连
过Context测速只有1个多G
问题描述
业务流量经过防火墙测速降低20倍,需要确认原因和解决方法。
过程分析
一开始怀疑是冗余子接口共享到context的原因,产品线告知:
1、冗余口的成员口是聚合子接口,然后将冗余口共享到context里,这种场景性能确实较低。
2、现场可以将冗余口的成员口改成聚合口,然后配置冗余子接口共享到context里, 这样性能高。
但是现场测试不做context,只过物理墙,测速依然很低:
不过context只过物理墙,这个测试是在Route-Aggregation建的子接口配三层测试的:
这个测试是在Route-Aggregation建的子接口加入到Reth配三层测试的:
所以怀疑和是否冗余子接口及是否加入context无关。
查看测速时单核情况:
dis process cpu | in kdrv
<JSDF_BGDL03F_OHX_F1090> dis process cpu | in kdrv
9218 0.0% 0.0% 0.0% [kdrvBoardTsk0]
13803 0.0% 0.0% 0.0% [kdrvdpCon0]
13804 0.0% 0.0% 0.0% [kdrvdpCon1]
13805 4.2% 0.0% 0.0% [kdrvdp2]
13806 0.0% 0.0% 0.2% [kdrvdp3]
13807 0.1% 0.2% 0.1% [kdrvdp4]
13808 0.6% 0.7% 0.7% [kdrvdp5]
13809 0.0% 0.2% 0.7% [kdrvdp6]
13810 0.0% 0.1% 0.1% [kdrvdp7]
13811 0.1% 0.1% 0.5% [kdrvdp8]
13812 0.1% 0.1% 0.1% [kdrvdp9]
13813 0.4% 0.3% 0.1% [kdrvdp10]
13814 0.1% 0.1% 0.1% [kdrvdp11]
13815 0.0% 0.3% 0.3% [kdrvdp12]
13816 0.5% 0.6% 0.4% [kdrvdp13]
13817 0.1% 0.0% 0.0% [kdrvdp14]
13818 0.1% 0.1% 0.2% [kdrvdp15]
13819 0.7% 0.7% 0.8% [kdrvdp16]
13820 0.1% 0.1% 0.1% [kdrvdp17]
13821 0.1% 0.1% 0.1% [kdrvdp18]
13822 0.0% 0.0% 0.1% [kdrvdp19]
13823 0.0% 0.0% 0.0% [kdrvdp20]
13824 0.0% 0.0% 0.0% [kdrvdp21]
13825 0.1% 0.1% 0.1% [kdrvdp22]
13826 0.1% 0.1% 0.1% [kdrvdp23]
13849 0.0% 0.0% 0.0% [kdrvDataSync0]
单核转发核达到4.2%,24个核,平均每个核最多利用4.16%,所以单核打满了。了解到现场都是单流(即源目地址端口号不变),建议现场改成多流测试。
解决方法
现场测速是单条流,hash到同一cpu处理核进行处理,若为大流量必然导致单核高。现场单核高时驱动介入丢包,测速慢。
建议使用多条流(源目ip、端口变化)测试,或者改用逐包进行测试。
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作