10Gb, Hyper-V, Performance auf der pfSense
-
Ich betreibe @home die pfSense als VM in Hyper-V. Ich habe 3 Rechner mit 10Gb, wobei mein Homeserver (Rechner B) mit der pfSense als VM zwei Anschlüsse für 10Gb hat. Ich habe nun jeweils eine Diretkverbindung von A nach B und B nach C, ohne die Sense. Außerdem alles per 1Gb an einem Switch verbunden. Wenn ich nun von Rechner A auf Rechner C zugreifen will, geht kein 10Gb, weil ich keinen entsprechenden Switch kaufen will. Die beiden Ports am Rechner B kann ich nicht unter Windows bridgen, vermutlich wegen Hyper-V.
Nun ist also meine Überlegung, die beiden 10Gb Ports in die pfSense zu verlagern. Dann müsste die pfSense zwischen Rechner A und C routen. Wie sieht es da mit der Performance aus?
Noch viel öfter aber greife ich von Rechner A auf Rechner B zu. Wenn nun die 10Gb Ports komplett in der pfSense sind, dann müsste Rechner B irgendwie den Traffic durch einen virtuellen Hyper-V Adapter erhalten. Wie sähe da die Performance aus? -
Da die Routingleistung vom aktiven Hardwareoffloading, der Rechenleitung und Paketgröße abhängt, ist mit meiner Glaskugel aktuell nur sehr undeutlich zu erkennen.
Denn irgendwie fehlen mir hier Angaben zur CPU, Takt, Ram usw. was deine Sense bereitgestellt bekommt.
Aber sagen wir mal so, mit genug Power kann die auch 20GBit/s routen, siehe Netgate Datenblätter für die XG Reihe.
-
@NOCling Haste natürlich recht. Hardware wäre wie folgt, Hyper-V auf Ryzen 7 2700X. Hardware Checksum Offloading ist bei mir zzt. aktiv. RAM ist reichlich vorhanden, ob ich dafür aber erst was extra konfigurieren müsste für mein Beispiel?
Hab neulich in der Doku gelesen, dass man mit einer manuellen Regel auch RFC1918 ausgehend am WAN blocken kann . Habe ich gemacht und alsbald dort Treffer gehabt. Ich war erst sehr verwundert, es war aber tatsächlich Traffic von Rechner A auf C, der halt die 10Gb direkt-Verbindung von B nach C nutzen wollte, obwohl ja gar nicht daran angeschlossen. Vermute mal, Windows hat die IPs irgendwie weitergegeben, da aber nicht routbar sind sie am WAN rausgegangen.
-
Ok die CPU sollte das schaffen, wenn der Hypervisor da nicht irgend nen Mist macht.
Am besten mal eine Zeichnung was gerade aktiv ist mit IPs und was du geplant hast mit IPs, sonst ist das wieder schwer substrahier bar.
-
@NOCling Ich denke, ich werde es einfach austesten. Bin jetzt zumindest hoffnungsvoll.
-
Hab nun folgendes gemacht: die zwei 10Gb Ports komplett mittels DDA an die pfSense durchgereicht. Einen internal Switch in Hyper-V erstellt, welcher Konnektivität für den Host (Rechner B) herstellt.
Anschließend von Rechner B auf Rechner A kopiert (SMB), dabei musste der Traffic durch den "internen" Hyper-V Switch in die pfSense und dann von da aus über den 10Gb Link an Rechner A.
Habe damit 500 MB/s erreicht.
Habe dann sämtlichen Offloading in der Sense aktiviert und ca. 700 MB/s erreicht.
Geht da noch mehr? Mit der Direktverbindung konnte ich meistens 1GB/s übertragen.
CPU-Last lag auf der Sense bei ca. 75%, RAM wurde nicht stärker ausgelastet.Habe immer noch Verständnisprobleme mit den externen Switchen in Hyper-V: Ich gehe davon aus, dass es nichts bringen würde, den/die 10Gb-Ports am Rechner B mit dem Host zu teilen, weil dann der Host nicht mehr mit der Sense verbunden wäre oder liege ich da irgendwie falsch?
PS: Ich könnte auch die beiden 10Gb Ports bridgen, spräche groß was dagegen zum momentanen Setup?
-
Sorry ohne Diagramm verstehe ich momentan gar nicht was du genau vor hast und wo was hinfließt mit welcher Bandbreite - da bin ich zu visuell gestrickt :)
-
Habe nun die beiden 10Gb Ports in pfSense gebridget. Da ich auch noch die letzte mit dem Host "geteilte" 1Gb-NIC (LAN in pfSense) komplett in die Sense gelegt habe, ist mir deren Konfiguration Hops gegangen... Und ich habe wieder bei Null angefangen. Schmerzhaft, aber ich ahnte es bereits.
Mit der Bridge erreiche ich ca. 600 MB/s, dann ist Schluss.
Auch sind alle drei Rechner sowohl mit einem 1Gb Switch verbunden, welcher widerrum mit der pfSense verbunden ist, als auch per 10Gbit mit der pfSense. Es gibt also jeweils zwei Gateways an den WinDosen, welche aber beide an die pfSense führen und bis jetzt gibt es keine Probleme.
