Режется скорость трафика на одном интерфk



  • Добрый день.
    Уже несколько дней бьюсь и не могу понять где проблема. Подскажите, люди добрые, куда копать.

    Ситуация следующая:
    Имеется pfSense 2.3 который крутится на виртуалке в ESXi 6. pfSense используется как интернет-шлюз и для статической маршрутизации нескольких внутренних подсетей расположенных в разных зданиях. Все это дело работало чудесно…
    Но появилась задача дополнительно смаршрутизировать устанавливаемое сейчас оборудование видеонаблюдения (IP-камеры) с разных зданий. Под это дело были выделены отдельные свитчи с POE и решено выделить их в отдельные подсети, т.е. на pfSense поднимаются отдельные интерфейсы и к ним цепляются уже свитчи с камерами.

    Успел поднять один интерфейс, подключил 1 свитч в здании где физически располагается сервер и 6 камер, но при попытке получать изображения с камер из другой подсети начинают дико скакать пинги (пропадать пакеты) до свитча на котором камеры. При этом на дашборде там где рисуется график с трафиком для интерфейса выделенного для камер видно что скорость трафика упирается строго в 1Mbps. При такой скорости изображение с камер дико фризит, теряются соединения до камер. Одновременно с этим все остальные интерфейсы и WAN прекрасно работают, никаких скачков пинга и потерь пакетов не наблюдается, графики вполне себе нормальные с кратковременными скачками до 50-70Mpps, т.е. на остальных интерфейсах ничего аномального не наблюдается. По дашборду процессор загружен на 10-25%, память используется на 60%, State table size - 6-10%, MBUF Usage - 5-6%. Никаких трафикшеперов и лимитеров на pfSense не настроено.
    Сначала думал на Poe-свитч (Dlink DGS-1210-28P), но при прямом подключении ПК к этому свитчу изображение со всех 6 камер нормально идет. Уже выделил для интерфейса подсети с камерами в pfSense отдельную сетевую на железном серваке, чтобы никакие другие виртуалки ее не использовали - никакого результата.



  • 1. Обновите прошивки камер и свитчей до самых актуальных.
    2. В каком виде ведется вещание ? Какие протоколы исп-ся ?
    3. Смотрите логи fw во время вещания.

    В настройках pf в System: Advanced: Networking галки на Disable hardware checksum offload, Disable hardware TCP segmentation offload, Disable hardware large receive offload стоят ?

    Возможно, что vSwitch, в к-ый подключены сетевые pf для IP-камер нужно перевести в Promiscuous mode - http://magiksys.blogspot.ru/2012/12/pfsense-bridge-gateway-vmware-ovh-ip.html . Пробуйте.

    P.s. Кстати по поводу видеонабл. Посмотрите в сторону Kipod Server - симпатичненько. Базовая версия - free.



  • @werter:

    1. Обновите прошивки камер и свитчей до самых актуальных.
    2. В каком виде ведется вещание ? Какие протоколы исп-ся ?
    3. Смотрите логи fw во время вещания.

    В настройках pf в System: Advanced: Networking галки на Disable hardware checksum offload, Disable hardware TCP segmentation offload, Disable hardware large receive offload стоят ?

    Возможно, что vSwitch, в к-ый подключены сетевые pf для IP-камер нужно перевести в Promiscuous mode - http://magiksys.blogspot.ru/2012/12/pfsense-bridge-gateway-vmware-ovh-ip.html . Пробуйте.

    P.s. Кстати по поводу видеонабл. Посмотрите в сторону Kipod Server - симпатичненько. Базовая версия - free.

    Попробую в понедельник указанные настройки.
    Свитч обновляли, камеры нет. С самого начала грешил на свитч (зная "надежность" прошивок длинка), но дело в том что если я комп цепляю напрямую к свитчу, т.е. без задействия маршрутизации psSense то изображение со всех 6 камер вполне нормально идет. Меня смущает то, что через вторую сетевой порт "железного" сервера через vSwitch с точно такими-же настройкам на все виртуалки taged/untaged раздается много виртуальных сетевых карт (включая и три сетевых на pfSense) и трафик вполне прилично проходит потом по цепочке свитчей в локалку (скорости копирования файлов с файлового сервера достигают 60-70 Мб/с). А тут уже пробовал и через первый порт тегированный трафик пускать и отдельный порт выделять без тегирования - результат один и тот-же, судя по графику скорость режется на уровне 1Мbps и начинаются потери пакетов.
    Камеры стоят Beward B1210, какой именно протокол используется RTSP или ONVIF в родном ПО не совсем понятно (используется порт 5000). В качестве видеосервера по проекту должны поставить аппаратное решение от MACROSCOP.



  • @werter:

    1. Обновите прошивки камер и свитчей до самых актуальных.
    2. В каком виде ведется вещание ? Какие протоколы исп-ся ?
    3. Смотрите логи fw во время вещания.

    В настройках pf в System: Advanced: Networking галки на Disable hardware checksum offload, Disable hardware TCP segmentation offload, Disable hardware large receive offload стоят ?

    Возможно, что vSwitch, в к-ый подключены сетевые pf для IP-камер нужно перевести в Promiscuous mode - http://magiksys.blogspot.ru/2012/12/pfsense-bridge-gateway-vmware-ovh-ip.html . Пробуйте.

    P.s. Кстати по поводу видеонабл. Посмотрите в сторону Kipod Server - симпатичненько. Базовая версия - free.

    Все становится еще страннее… Все предложенные настройки выставил никаких изменений,
    Подключаю комп к свитчу с камерами напрямую и проверяю скорость: из файлового сервера с одной из внутренних подсетей скорость копирования файлов по сети примерно 50-60Мб/с, т.е. вполне нормальная скорость для гигабитной сети, т.е в данном случае pfSense нормально пакеты пропускает через этот интерфейс. При этом одновременно вполне нормально можно получать изображение со всех 6 камер.
    Возвращаю комп обратно в свою подсеть - опять изображение лагает как ненормальное с трафиком на уровне 1Мбит/с.
    Получается проблемы начинают возникать только при передаче между подсетями трафика именно с камер.
    Теперь я уже вообще не понимаю ничего...



  • Доброе
    Проверяйту всю цепочку - свитчи\порты, кабели.
    P.s. Очень похоже, что где-то линк на 10 Мбит\с живет.



  • @werter:

    Доброе
    Проверяйту всю цепочку - свитчи\порты, кабели.
    P.s. Очень похоже, что где-то линк на 10 Мбит\с живет.

    Спасибо большое за помощь, нашел решение уже…
    Оказалось как всегда элементарным...
    Оказывается "умельцы" которые ставили камеры указали в качестве шлюза на камерах не IP интерфейса pfSense, а ip свитча к которому они прицеплены были, а на свитче прописали основным шлюзом уже pfSense. И все-бы ничего если бы этот свитч умел L3, но это по идее обычный управляемый L2 свитч которому выданный ip нужен только для веб-интерфейса и/или CLI.
    То что оно вообще пропускало трафик через pfSense при таких настройках собственно и послужило причиной столь долгих поисков проблемы. Если бы пакеты от неправильно настроенных камер вообще не проходили до pfSense, то конечно это бы сразу заставило более внимательно глянуть на их сетевые настройки, а тут оказалось что L2 свитч "волшебным" образом исполнял задачи L3 на скорости в 1Мбит/с... :o