Traffic wird durch transparente Bridge limitiert, wieso?



  • Hallo zusammen,
    ich habe einen PC mit zwei 1 Gb/s Netzwerkkarten in einer transparenten Firewall-Bridge laufen.
    Die Firewall an sich funktioniert problemlos, ich bekomme allerdings leider nur den halben Datendurchsatz.
    Wenn ich z.B eine große Datei (iso Datei) von einem PC auf der externen Seite der Firewall auf einen PC auf der anderen, internen Seite kopiere, bekomme ich nur 50mb/s an Datendurchsatz, also nur 500mbit/s. Ebenso, wenn ich anders herum kopiere.
    0_1544082232319_throughput.jpg
    Die CPU der Firewall ist ein "Intel(R) Core(TM)2 Duo CPU E7500 @ 2.93GHz" und hat beim Kopieren ca. 15% Last, sollte also meiner Ansicht nach nicht der Flaschenhals sein.
    Wenn ich den Test-PC vor die Firewall hänge, kann ich mit annähernd Gigabit-Speed, also knapp 110mb/s kopieren.

    Hat eine/r Tipps für mich, was den Traffic limitieren könnte? Ich habe beim Installieren der pfsense Kiste nichts bzgl. "Traffic-Shaping" oder "Limiting" etc. konfiguriert, jedenfalls nichts offensichtlich bzw. aktiv.
    Beide Netzwerkkarten werden in der pfsense Kiste als "1000baseT <full-duplex>" angezeigt.

    Besten Dank schon mal!



  • Nach etwas Internetrecherche komme ich langsam zu der Vermutung, dass das Bridge-Device an sich "vom Design her" nur als half-duplex Device laufen kann und deshalb nur 500 mbit/s Durchsatz liefert.
    Könnte mir das bitte jemand bestätigen?!

    Besten Dank



  • Kurzes Update, meine anfängliche Vermutung bzgl. Bridge und "nur half-duplex" hat sich zwischenzeitlich wiederlegt.
    Ich konnte meine Bridge zumindest in eine Richtung zu 1 GB/s full duplex copy speed bringen.

    Ursache war/sind die verwendeten 1GB/s Intel NICs. In dieser Konstellation lieferte die Bridge nur den oben erwähnte halben Durchsatz.
    Ich habe dann eine Intel NICs durch den 1 GB/s onboard LAN Port ersetzt und habe nochmals copy-Tests gemacht.

    0_1544698957643_traffic.jpg

    Aktuell läuft also ein Port der Bridge über eine Intel NIC, und der andere Port über die onboard LAN NIC.
    Wieso die Intel NICs (Intel PRO/1000 GT) in meinem Rechner mit pfsense so schlecht laufen kann ich aktuell (noch) nicht nachvollziehen.



  • @menace said in Traffic wird durch transparente Bridge limitiert, wieso?:

    Wieso die Intel NICs (Intel PRO/1000 GT) in meinem Rechner mit pfsense so schlecht laufen kann ich aktuell (noch) nicht nachvollziehen.

    Was für Hardware nutzt du denn genau? Wenn die Intel NICs noch normales PCI sind wirst du nicht mehr erwarten können, denn dann stößt du an die Grenze der PCI Bandbreite. In dem Fall musst du auf Hardware mit PCIe umsteigen, dann ist die aktuelle Kiste einfach zu alt für deine Anforderungen.


  • Rebel Alliance Moderator

    @menace said in Traffic wird durch transparente Bridge limitiert, wieso?:

    Intel PRO/1000 GT

    Ich könnte mich täuschen, aber das müsste doch eine alte PCI 2.3 Karte sein? Wenn du dann noch 2 davon gesteckt hast und das Mainboard die beiden Steckplätze über die gleichen PCI Lanes angebunden hat, könnte das schon sein, dass du da nicht die ganze Bandbreite abbekommst. Nur eine nutzen und die OnBoard, die sicher wieder über eigene Lanes angebunden ist, könnte dann genau das Phänomen aus deinem letzten Bild erklären.



  • Die Ursache des Ausgangsproblems ist wohl genau dieses Hardware-Bottleneck...
    Der aktuelle Test-PC für die Firewall ist ein alter Lenovo M58 mit zwei PCI NICs.
    Wie bereits geschildert, erreiche ich mehr Datendurchsatz, wenn ich eine Schnitstelle auf das onboard-LAN switche und entsprechend nur noch eine NIC über PCI läuft.

    Aber ich bin im Grunde schon zufrieden bzw. erleichtert, dass die Bridge nicht "per Design" nur half-duplex laufen kann, sondern auch 1GB/s full-duplex Speed liefert, wenn die Hardware stimmt.
    Falls die Firewall-Bridge so in den Live-Betrieb gehen wird, kommt sie sowieso auf einen ordentliche 1U Server, mit entsprechender Rechenleistung.

    Besten Dank für die Rückmeldungen!


  • Rebel Alliance Moderator

    Ich würde zwar an jeder Stelle, an der eine Bridge im Livebetrieb zum Einsatz kommen soll, den Sinn aktiv hinterfragen, aber immerhin schön, dass man helfen konnte und das Problem zumindest identifizierbar ist (und kein Mysterium bleibt) :)



  • das Für und Wider einer Bridge habe ich jetzt schon öfter gehört und kann die Rückfrage bzgl. dessen auch durchaus verstehen! In der aktuell vorhandenen Konstellation habe ich aber leider keine andere Möglichkeit, da bereits eine Bridge vorhanden ist (auf IP Tables Basis auf openSUSE) und ich versuche diese durch pfsense zu ersetzen.
    Der Aufwand im Zuge dessen die IP-Netzte entsprechend zu ändern um das Ganze auf Basis einer "regulären" Firewall zu realisieren steht leider in keinem Verhältnis zum Nutzen.
    Deshalb wird die Grundkonstellation wohl die selbe bleiben wie aktuell bereits vorhanden ist.


  • Rebel Alliance Moderator

    Verständlich, wobei solche Austausch-Szenarien eigentlich der ideale Zeitpunkt sind, aktiv so eine Baustelle zu beheben und sinnvoll umzubauen. :)


Log in to reply