Всем привет, я провёл несколько тестов производительности в своей (не очень типичной) домашней сети и хотел бы получить ваши комментарии или подтверждение. Возможно, мою конфигурацию можно/нужно оптимизировать, или это не совсем «правильный» способ использования ROS — тоже дайте знать. Суть в том, что использование IP Firewall под Bridges даёт гораздо больший провал в производительности, чем я ожидал изначально. Немного много текста, прошу потерпеть.
У меня есть RB2011USA-2HnD, к eth1 подключён апстрим и выход в Интернет, а eth2-5 соединены с коммутаторами Netgear, в основном GS724T и GS110T. На RB2011 у меня настроено 5 VLAN, которые распространяются на все коммутаторы на портах eth2-5, конфигурация следующая:
Для каждого VLAN я определил свой мост (bridge). Каждый физический порт имеет VLAN-интерфейс для каждого VLAN, и эти VLAN-интерфейсы подключены к соответствующим мостам. То есть eth2 имеет 5 VLAN-интерфейсов, и каждый из них подключён к своему мосту. Поскольку эти мосты отражают 5 «зон безопасности», я могу использовать правила фаервола для фильтрации только между мостами, ведь весь трафик внутри конкретного моста – это трафик одного уровня.
Тесты я проводил с iperf3 — сервер на iMac, клиент на MacBook с параметрами iperf3 -c x.x.x.x -b 0 -V -f m -i 1. Проверял разные размеры пакетов от 64 до 1480 байт. Результаты каждого теста — среднее из 10 прогонов. При размере пакета от 256 байт и выше результаты примерно одинаковые, а на меньших размерах производительность существенно падает — это ожидаемо, поэтому в отчёте приведены усреднённые результаты с 256 байт и выше.
Результаты
Первые два теста чтобы увидеть максимальную производительность в компонентах:
1) Базовый тест: macbook — прямой кабель — imac : 982 Мбит/с
2) Базовый тест с коммутатором: macbook — кабель — Netgear GS724T — кабель — imac : 935 Мбит/с
Следующие три теста показывают производительность моей конфигурации ROS и влияние разных настроек. Для них я использовал RB951, но конфигурация ROS такая же, как и на RB2011, только без другого сетевого трафика:
3) Базовая конфигурация ROS (Bridge без использования IP Firewall): macbook — RB951 — imac : 529 Мбит/с
4) Базовая конфигурация ROS (Bridge с использованием IP Firewall): macbook — RB951 — imac : 243 Мбит/с
5) Базовая конфигурация ROS (Bridge с использованием IP Firewall и macbook/imac в разных VLAN): macbook — RB951 — imac : 190 Мбит/с
Впечатляющее падение производительности. Следующие два теста – macbook напрямую подключён к RB2011 на eth5:
6) Полный тест (Bridge без IP Firewall): macbook — RB2011 — домашняя разводка — Netgear GS724T — imac : 453 Мбит/с
7) Полный тест (Bridge с IP Firewall и macbook/imac в разных VLAN): macbook — RB2011 — домашняя разводка — Netgear GS724T — imac : 145 Мбит/с
Последний тест проведён в полной домашней сети в обычных условиях (включая интернет-трафик, IP Firewall на мостах + фаервол для VLAN, меж-VLAN фильтрация, домашняя разводка, розетки, коммутаторы и RB2011):
8) Полный тест (Bridge с IP Firewall и macbook/imac в разных VLAN): macbook — Netgear GS110T — домашняя разводка — RB2011 — домашняя разводка — Netgear GS724T — imac : 126 Мбит/с
Во время тестов загрузка CPU RB2011 варьировалась от 20% до 55%. Удар по производительности при использовании IP Firewall для мостов и VLAN очень ощутимый, но даже без использования IP Firewall на мостах разница в пропускной способности между двумя хостами в одном VLAN и в разных VLAN заметна.
Я понимаю, что при фильтрации всегда будут потери — нагрузка на CPU, специфика чипсетов в коммутаторах, кабели, расстояния — но это оказалось чуть более заметно, чем я ожидал.
Кто-нибудь может прокомментировать или подтвердить мои наблюдения? Правильно ли я здесь всё тестирую? Есть ли смысл заменить RB2011 на CCR1009, повлияет ли это на ситуацию?
У меня есть RB2011USA-2HnD, к eth1 подключён апстрим и выход в Интернет, а eth2-5 соединены с коммутаторами Netgear, в основном GS724T и GS110T. На RB2011 у меня настроено 5 VLAN, которые распространяются на все коммутаторы на портах eth2-5, конфигурация следующая:
Для каждого VLAN я определил свой мост (bridge). Каждый физический порт имеет VLAN-интерфейс для каждого VLAN, и эти VLAN-интерфейсы подключены к соответствующим мостам. То есть eth2 имеет 5 VLAN-интерфейсов, и каждый из них подключён к своему мосту. Поскольку эти мосты отражают 5 «зон безопасности», я могу использовать правила фаервола для фильтрации только между мостами, ведь весь трафик внутри конкретного моста – это трафик одного уровня.
Тесты я проводил с iperf3 — сервер на iMac, клиент на MacBook с параметрами iperf3 -c x.x.x.x -b 0 -V -f m -i 1. Проверял разные размеры пакетов от 64 до 1480 байт. Результаты каждого теста — среднее из 10 прогонов. При размере пакета от 256 байт и выше результаты примерно одинаковые, а на меньших размерах производительность существенно падает — это ожидаемо, поэтому в отчёте приведены усреднённые результаты с 256 байт и выше.
Результаты
Первые два теста чтобы увидеть максимальную производительность в компонентах:
1) Базовый тест: macbook — прямой кабель — imac : 982 Мбит/с
2) Базовый тест с коммутатором: macbook — кабель — Netgear GS724T — кабель — imac : 935 Мбит/с
Следующие три теста показывают производительность моей конфигурации ROS и влияние разных настроек. Для них я использовал RB951, но конфигурация ROS такая же, как и на RB2011, только без другого сетевого трафика:
3) Базовая конфигурация ROS (Bridge без использования IP Firewall): macbook — RB951 — imac : 529 Мбит/с
4) Базовая конфигурация ROS (Bridge с использованием IP Firewall): macbook — RB951 — imac : 243 Мбит/с
5) Базовая конфигурация ROS (Bridge с использованием IP Firewall и macbook/imac в разных VLAN): macbook — RB951 — imac : 190 Мбит/с
Впечатляющее падение производительности. Следующие два теста – macbook напрямую подключён к RB2011 на eth5:
6) Полный тест (Bridge без IP Firewall): macbook — RB2011 — домашняя разводка — Netgear GS724T — imac : 453 Мбит/с
7) Полный тест (Bridge с IP Firewall и macbook/imac в разных VLAN): macbook — RB2011 — домашняя разводка — Netgear GS724T — imac : 145 Мбит/с
Последний тест проведён в полной домашней сети в обычных условиях (включая интернет-трафик, IP Firewall на мостах + фаервол для VLAN, меж-VLAN фильтрация, домашняя разводка, розетки, коммутаторы и RB2011):
8) Полный тест (Bridge с IP Firewall и macbook/imac в разных VLAN): macbook — Netgear GS110T — домашняя разводка — RB2011 — домашняя разводка — Netgear GS724T — imac : 126 Мбит/с
Во время тестов загрузка CPU RB2011 варьировалась от 20% до 55%. Удар по производительности при использовании IP Firewall для мостов и VLAN очень ощутимый, но даже без использования IP Firewall на мостах разница в пропускной способности между двумя хостами в одном VLAN и в разных VLAN заметна.
Я понимаю, что при фильтрации всегда будут потери — нагрузка на CPU, специфика чипсетов в коммутаторах, кабели, расстояния — но это оказалось чуть более заметно, чем я ожидал.
Кто-нибудь может прокомментировать или подтвердить мои наблюдения? Правильно ли я здесь всё тестирую? Есть ли смысл заменить RB2011 на CCR1009, повлияет ли это на ситуацию?
