Google Translate Francese Français Spagnolo Español Tedesco Deutsch Olandese Nederlands Turco Türk Arabo العربية Polacco polski Russo русскиŇ Greco ελληνικά
Linea Prodotti Entry Level Linea Prodotti AUTM Linea Prodotti SAUTM Prodotto Microcluster

PfSense®
Problemi di Throughput hardware e Troubleshooting del sistema


Esistono alcune situazioni per cui le performances del sistema non sono quelle desiderate.
Qualora si ritenesse di avere problemi di performante, consigliamo di seguire una delle guide sotto elencate.

Possibili cause di basse performances:

  • Hardware insufficiente
  • Hardware/Driver Thuning Required (tooimizzazione del driver delle NIC)
  • Duplex Mismatch
  • Traffic Shaping
  • Problemi di MTU
  • WAN connection
  • Client/Metodi di test
  • Problemi dell'ISP

Hardware insufficiente

Questo rappresenta la causa più frequente dei problemi di perfermances. È indispensabile capire se l'hardware che abbiamo a disposizione è in grado di reggere il carico di lavoro per cui è stato installato.
Per prima cosa verificare a questo link se il dimensionamento è stato fatto correttamente oppure l'ardware risulta evidentemente sottodimensionato.
Qualora il dimensionamento fosse adeguato sarà necessario passare a strumenti di verifica più affinati per identificare il problema.

La cosa più evidente da fare è la verifica dei parametri vitali della macchina come: carico della CPU, carico RAM e eventuale swapp dutante i picchi di traffico.
Per fare ciò si può procedere in 3 modi:
  1. Verificare sulla Dashboard - System Information: verificare i parametri CPU usage, Memory usage, SWAP usage
  2. Possiamo poi verificare il dettaglio del carico della CPU durante i picchi di carico per verificare quale è il processo che satura la CPU. Il percorso da seguire è: Diagnostics > System Activity
  3. Entare in console (anche tramite ssh) e eseguire il comando:

    top -aSH

Se si osserva un processo IRQ (interrupts) per la scheda di rete, allora l'hardware che si utilizza potrebbe essere quasi o completamente saturo, oppure il driver delle NIC potrebbe avere necessità di una ottimizzazione. Se il sistema non è sotto stress durante il trasferimento dei dati, il problema probabilmente risiede altrove.
Se il carico della CPU è alto e la quantità di interrupt è bassa, il problema potrebbe essere nella quantità di elaborazione dei pacchetti elaborati da pf o utilizzato per la crittografia.
Se pf satura una delle CPU, allora il collo di bottiglia sarà l'elaborazione dei pacchetti di pf. Si consiglia l'utilizzo di una CPU con un core con frequenza di clock più alta, in quanto uno dei limini di pfSense® 2.1 è proprio che alcuni demoni come pf sfruttano solo una CPU.
Nella versione 2.2 e successive pf è in grado di utilizzare più core.
Qualora i limiti sulla CPU si riscontrassero a causa della crittografia si potrà sempre scegliere un sistema con processore crittografico.

Hardware/Driver Thuning Required (tooimizzazione del driver delle NIC)

Se durante la visualizzazione dell'elenco dei processi con il comando TOP si nota che una delle CPU è interamente occupata da interupt (IRQ) allora potrebbe essere necessario ottimizzare del driver.
Per fare questo seguire la guida: Ottimizzazione e risoluzione dei problemi delle schede di rete.
Alcune schede di rete come IGB (Chipset Intel) sono in grado di utilizzare più code e distribuire il traffico su più core, quindi ottenere un throughput maggiore.
Un altro elemento da verificare è in System > Advanced ed infine Networking tab. Assicurarsi che le caselle per disattivare TSO e LRO sono fleggate. Se sono già fleggate, provare ad attivare l'opzione per la checksum offloading. Se non si osservano differenze, settare tutto come prima.

Duplex Mismatch

Su reti 100Mbit/s o meno, un duplex mismatch è possibile. Alcuni produttori sono bloccati all'età della pietra e ancora insistono su porte hard-coding su CPE, come convertitori di fibra a 100 Mbit/s full-duplex.
Se il CPE è hard-coded, ma il firewall non lo è, sarà necessario verificare il duplex su Status > Interfaces. La mancata corrispondenza duplex porterà ad errori di interfaccia, collisioni, e bassa velocità. L'impostazione della velocità e duplex della NIC è descritta su questa guida: Forzare Velocità interfaccia o Impostazioni dupleX

Traffic Shaping

Se la procedura guidata di traffic shaping è stata eseguita prima di un aumento della larghezza di banda, i limiti di banda impostati precedentemente possono essere ancora in vigore. Visita: Firewall> Traffic Shaper e controlla le regole impostate siano ancora valide.
Controllare anche il Limiters tab sotto le impostazioni del traffic shaper, verificare che eventuali limitatori siano impostati per le velocità adeguate.

Problemi MTU

I problemi che riguardano la velocità di upload spesso finiscono per essere problemi legati all'MTU. Se la MTU sul device pfSense® (default 1500), è superiore alla MTU del collegamento a monte, può tradursi in pacchetti che vengono frammentati o persi. Impostare l'MSS clamping sulle WAN o cambiare l'MTU dell'interfaccia può aiutare.

Connessione WAN

Ci potrebbero essere anche problemi tra la WAN e il modem/CPE. Potrebbe essere un cavo, o "un'anomalia" nel modo in cui le due interfacce parlano tra loro. Mettere un piccolo switch tra il firewall e il modem/CPE come un test.

Client/Metodi di test

La lentezza non può sempre dipendere dal device che ospita pfSense. Potrebbe essere il cliente stesso o come ol modo in cui si connette.
Assicuratevi sempre che i device con cui e da cui effettuate i test non siano la causa del problema.
Assicurarsi che il client sia connesso al firewall tramite una connessione veloce almeno come la WAN.

Problemi dell'ISP

Se ogni altro fattore è stato eliminato, provare il modem senza il firewall. Se la velocità è ancora bassa, può essere il provider la causa della lentezza, o il modem/CPE.

Il documento originale è qui.