Падение скорости и производительности

Pavel

Инет поступает через pptp от провайдера . Канал максимально 100MB

Оптический конвертор соединен по rj45 с WAN1 USG60

Клиенты приходят в порт LAN1 (1-2) Lan2 (Основная нагрузка через Squid) Cоединения 1G

Если подключать к провайдеру без USG и клиентов по LAN2, то скорость следующая

Если подключать к провайдеру средствами USG и без клиентов по LAN2, то скорость следующая

В принципе не имеет значения сервер тестирования, результаты примерно одинаковые.

Скрин Дашборда с прошивкой и включенными сервисами

С дефолтной прошивкой из коробки работало все очень стремно, загрузка проца 90-100% даже без особой нагрузки. С последней прошивкой которая не WK08 загрузка процессора тоже по 100

Ниже буду скрины статистики за сутки с подключенными клиентами.

Процессора

WAN1

LAN2

Sessions

Антивирус включен только на POP3 соединения, это соединение ОДНО с провайдером

IDP включен на один сервис. Content Filtering включен на LAN2, HTTPS фильтрации нет.

tracert и ping гейта провайдера без USG

Tracing route to "gate" over a maximum of 30 hops

1  <1 ms  <1 ms  <1 ms "router"

 2   1 ms  <1 ms   1 ms "gate"

Pinging "gate" with 32 bytes of data:

Reply from "gate": bytes=32 time=1ms TTL=63

Reply from "gate": bytes=32 time=5ms TTL=63

Reply from "gate": bytes=32 time<1ms TTL=63

Reply from "gate": bytes=32 time=1ms TTL=63

tracert и ping гейта провайдера через USG

Tracing route to "gate" over a maximum of 30 hops

 1  <1 ms  <1 ms  <1 ms "router"

 2  <1 ms  <1 ms  <1 ms usg

 3  48 ms  239 ms  353 ms "gate"

Pinging "gate" with 32 bytes of data:

Reply from "gate": bytes=32 time=229ms TTL=63

Reply from "gate": bytes=32 time=400ms TTL=63

Reply from "gate": bytes=32 time=30ms TTL=63

Reply from "gate": bytes=32 time=25ms TTL=63

Переключение порта LAN1 прямиком в роутер, или в коммутатор пользователей картины не менят.

Если пробовать скачивать нечто большое в многопоточном режиме , например iso образ убунту,

без USG скорость 7-8 MB в сек, через usg - 1-2 MB в сек.

Включение и выключение сервисов UTM картину особо не меняют.

Нужна помощь Гуру .

Zyxel_Andrew

Здравствуйте.

При работе шлюза с установленным недельным обновлением 4.35p2_WK08 может наблюдаться снижение пропускной способности.

Обновите Ваш USG60 на более новую версию. Я отправлю Вам ссылку на новую версию в личное сообщение, так как оно пока не выпущено для публичного доступа.

Pavel

Обновил , чуда не произошло . Скорость стала чуть больше , именно чуть.

немного снизилась нагрузка на процессор, по сравнению с WK08.

но в целом все также, скорость скачивание мала, по сути режет скорость в два раза .

Даже если отключить все службы, самый дешевый из имеющихся Mikrotik быстрее. Сорри, больше проверить не на чем ,

Скрин скачкивания без USG

скрин скачивания через USG

Через USG все сервисы отключены, пользователь один.

Zyxel_Andrew

Здравствуйте!

Результаты скорости при использовании многопоточной загрузки совпадает с результатами speedtest.net?

Можете собрать ответ шлюза на команду show cpu average в момент теста скорости?

Pavel

Да совпадают, при работе без USG , просто на роутере скорость pptp канала 70-90 мбит, и качаются файлы как на скрине . как только через USG - скорость резко вниз. Даже если вообще все выключить. и клиент только я . Ответ шлюза сделаю позже, а то у нас уже поздно :)

Pavel

Обновление :

Новая прошивка WK11 позволила поднять скорость примерно на 30%

изменение MTU для PPTP соединения увеличило скорость скачки в многопоточном режиме до 5 mb в сек .

Pavel

Может кому пригодится :)

В результате примерно трехмесячной реальной эксплуатации USG60 сделал следующий вывод :

Данное устройство не способно обеспечить в реальной жизни 100 Мбитный канал, скорость ощутимо (~50-60) ниже даже при активном ОДНОМ пользователе без включенных сервисов UTM. При включении сервисов UTM, даже не всех, и не на весь трафик - скорость падает еще . При этом нагрузка на канал и процессоры минимальна ~20%.

Возможно это конкретно мой экземпляр дефектный.

Приму в дар (на обмен) USG1100 чтобы стать счастливым пользователем. :))

Zyxel_Andrew

Пожалуйста, не делайте преждевременных публичных выводов, пока мы не закончили разбираться с этим случаем. Возможно проблема и в аппаратной проблеме конкретного устройства, а может быть и в чем то другом. Пока не совсем понятно. Единственное, что можем точно сказать, USG60 в нашей лаборатории показывает скорость в 2-3 раза выше с той же конфигурацией и версией микропрограммы.
Мы обязательно опубликуем финальный результат наших исследований в этой ветке (и конечно Вы так же сможете опубликовать тут свое мнение).

Большое Вам спасибо за терпение и помощь с тестами!

alexey

Pavel said:

Приму в дар (на обмен) USG1100 чтобы стать счастливым пользователем. )

Мой тебе совет, беги ты подальше от этой компании. Мы на них 2,5 года, более 40 устройств. Центральный 1100 живет только на бета прошивках, каждый раз че то исправляют и присылают. Лично я уже нашел 3 или 4 критичных бага, которые просто перезагружали устройство, не считая мелких. 

Zyxel_Andrew

@alexey
спасибо за Ваш комментарий. Благодаря ему я смог познакомиться с Вашей активностью на этом форуме. Жаль, что Вы не писали к нам в русскоязычную поддержку, мы были бы рады Вам помочь. Однако я теперь взял на личный контроль проблемы которые Вы поднимали на этом форуме последнее время и надеюсь нам удастся в итоге найти решение. 
По поводу "бета-прошивок". Для шлюзов безопасности мы не выпускаем бета-прошивки для использования клиентами. То, что мы предоставляем клиентам (и Вам в том числе) это недельные обновления (хотя далеко не каждое недельное обновление в итоге становится публичным). Недельные обновления это как раз сборник исправлений для базовой официальной версии (которые выходят достаточно редко, так как требуют масштабного долговременного тестирования). Вы видите в этом процессе что то плохое? Можете поделится своим взглядом? 
Так же не могу не выразить Вам благодарность за терпение в использовании наших устройств все это время и помощь в устранении проблем. 

 @Pavel
Я получил Ваш ответ в поддержке. Большое спасибо за проделанную работу. Вижу все те же проблемы с большим количеством retransmission пакетами. Будем разбираться в причинах. 

alexey

Zyxel_Andrew said:

@alexey
Жаль, что Вы не писали к нам в русскоязычную поддержку, мы были бы рады Вам помочь.

На моменте внедрения порядка 2,5 лет назад пытались обращаться в русскую ТП по почте по поводу регулярно падающего ZySH демона на 1100 и 110. Получил полное игнорирование проблем и пришел сюда. Возможно было связано с реорганизацией российского подразделения. Ну а ветки на форуме и в помине не было.
Ну а по поводу бета прошивок. Во время решения одного бага мне почти каждый день присылались новые недельные релизы, отличавшиеся только номером сборок и поведением. Лучшее было - это перезагрузка через 3-5 секунд после полного поднятия. И это в проде. И это на 2 устройствах в режиме HA Pro. После этого кстати был запрещен режим HA Pro со стороны руководства до лучших времен. Если это не бета тест, то как это назвать?