各位好,
碰到一個客戶環境,問題如標題,說明如下:
環境說明:
台灣 & 美國二地是用 Firewall 建立 Site-to-Site VPN
美國的 Wan 是1Gb/1Gb,台灣的 Wan 是 100Mb/100Mb,上下行都是企業對稱頻寬。
台灣查看Wan 流量,上下行平日大約都在 30~50Mb/s,偶有到 70Mb/s
美國流量較高,但平日也在150~300Mb/s 左右,偶到 500Mb/s
現在經過二地VPN,光是用 MS 網路分享,傳檔都有400kb/s 以下,有時還會突然變成 0 ,然後過了1~2秒,又繼續跑。
二地用內部IP, 經VPN通道互Ping 回應值在 120~140ms,偶有到160ms, 但是長Ping 下來,並不會斷。
除了傳檔慢外,中間有些服務也會慢,Web 會慢到show 404
台灣及美國,當地的上網服務都是OK的,但就是跨國掉得太差了
請問有沒有那位大大,有可以明顯提昇二地傳輸效率的方法?
2/17 最近更新 -結案
謝謝各位大大,昨日在主機上抓封包,最後有把問題方向抓出來了。
他們中間有資安設備在 Monitor 內容(它會做Content 內容分析),它是用旁路(Switch mirror port)方式監看網路流量&行為,現在測的結果,是他會把某些流量誤判,並且擋掉 "某些Session"(不是全擋,所以有時又通)。
一直沒有想到這台設備會誤判,這台資安設備,在架構上是旁路(非一進一出),後來是抓包後,發現對 Web Server 的封包,有些就有去無回。
所以,如 "窮嘶發發發" 大大的計算也是正確的,中-美之間 VPN 流量跑到400kb/s很合理,流量是慢,但並不應該會慢到斷。
後來把Server IP "by-pass 阻斷功能",Web 開啟就很順,流量測起來還是在400kb/s 左右,但Web 都OK了。 --結案--
依現況在網路連接與路由上
應該沒有什麼好檢討
主要應該先檢討IPsec VPN的設定與效能
SonicWall的IPsec VPN沒有加速晶片處理
效能上會比較弱,需要CPU/MEMORY硬扛
查表NSA4600效能還不到Fortigate-40F等級
日後如果繼續用現行VPN架構
可以考慮更換,且使用SD-WAN功能
目前建議嘗試檢討IPsec VPN設定
例如嘗試降低兩方加解密演算法
甚至先以MD5試做
如果確實有助於兩邊檔案傳輸
則表明主要應是效能不足
如果沒啥變化
就要向兩邊ISP業者探詢原因了
很抱歉!沒有預判到正確的方向上
不知是否能提供大致的網路架構示意圖
很好奇兩邊SonicWall在結構中所在的位置
因為是旁路(Switch mirror port)
卻又能擋掉 "某些Session"
這好像得 in-line mode ?
那IPsec就不是SonicWall做的?
再次致歉!
二地VPN架構很單純,就只是Firewall Site-to-Site VPN
是他有另外1台 "專用設備",是在 Firewall 內部,接在 L3 Switch上。
L3 Switch 有設定 Mirror port ,把所有流量的封包 Mirror 一份給這個 "專用設備",這台設備有 Monitor + 阻斷異常連線的功能。
然後它就"誤判(或是誤設定?)",造成阻斷了這個服務,但奇葩的是,它又不是全阻斷,是部份會斷,所以才會操作起來慢,又偶可以打開。
沒有圖還是有些不好想像
是 one-arm sniffer ?
SonicWall不知還可以回吐控制命令?
沒關係,只是好奇就不再多問了
感謝您的回應
美國的 Wan 是1Gb/1Gb, 台灣的 Wan 是 100Mb/100Mb
旦兩邊ISP的海外頻寬是多少? 有些情況下ISP表示的頻寬可能是指本地速度
iThome鐵人賽
看影片追技術
看更多
