Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 25 subscribers
  • Views 4399 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Router an dediziertem Port an virtueller VM = Laaangsam

KnightMover
Hallo zusammen,

ich habe folgendes Problem beim mir zuhause.
Ich nutze einen ESXi 5.1 auf dem eine UTM v9.111-7 läuft.
Die VM hat 4 Cores (Xeon), 4GB Speicher und läuft auf einem RAID 10.

Folgendes Problem.

Der ESXi hat eine extra Intel GBit Netzwerkkarte an welcher mein Internetrouter (Lancom 1781A ) angeschlossen ist. Dieser Netzwerkanschluss ist exklusiv der UTM VM zugewiesen. Die UTM hat diesen Netzwerkanschluss auch als Externes Interface zugewiesen bekommen.
Außerdem hat die UTM eine zweite Netzwerkkarte für mein internes Netz.

Die UTM hat als normale Adresse die 192.168.1.150/24.
Der externe Port hat die 192.168.1.151/24 und als Gateway die IP des Routers eingetragen (192.168.1.250/24)

Soweit funktioniert auch alles, nur dauert es zum einen extrem lange bis die Clients eine Webseite angezeigt bekommen (z.B. Bild.de 30 - 60 Sekunden oder mehr) und manche Clients bekommen teilweise keine Seite angezeigt - "Seite kann nicht angezeigt werden".

Der Router ist nur mit einem LAN Kabel mit der entsprechenden Netzwerkkarte des ESXi verbunden und sonst ADSL2 - 16.000.

Gehe ich nun hin und schließe den Router direkt an einen der Switche meines internen Netzwerks an und schließe ebenfalls den externen Port der UTM daran an, so ist die Geschwindigkeit wieder normal und schnell!

Was mache ich falsch bzw. woran kann es liegen?

Die Clients sind per GBit Netzwerk angebunden, als Switche fungieren (Lancom GS-1224P) Switche. Auf den Clients sind statische IPs vergeben, mit der 192.168.1.150 als Gateway. Als DNS ist die IP des PDC sowie als sekundärer DNS die IP der UTM eingetragen.


Vielen Dank!


This thread was automatically locked due to age.
Parents
  • 0
    Moin,

    der Reihe nach:

    Wieso Lancom 1781A ?? benötigen Sie die speziellen Funktionen?
    Kann man diesen Router als "Modem only" konfigurieren?

    Wenn Ja: Esxi braucht zwei Schnittstellen -> eine WAN sowie eine Interne

    Die der VM (Sophos UTM) zugeteilten Netzkarten entsprechend zuweisen. Häufig wird berichtet (auch meine Erfahrung) , dass die UTM mit der e1000 besser als spielt.

    (und der Standard Tip -> am Anfang alles aus, was nicht direkt gebraucht wird. - Vom Country block, IPS, etc.)

    IT
Reply
  • 0
    Moin,

    der Reihe nach:

    Wieso Lancom 1781A ?? benötigen Sie die speziellen Funktionen?
    Kann man diesen Router als "Modem only" konfigurieren?

    Wenn Ja: Esxi braucht zwei Schnittstellen -> eine WAN sowie eine Interne

    Die der VM (Sophos UTM) zugeteilten Netzkarten entsprechend zuweisen. Häufig wird berichtet (auch meine Erfahrung) , dass die UTM mit der e1000 besser als spielt.

    (und der Standard Tip -> am Anfang alles aus, was nicht direkt gebraucht wird. - Vom Country block, IPS, etc.)

    IT
Children
  • 0 in reply to Itos
    Moin,

    der Reihe nach:

    Wieso Lancom 1781A ?? benötigen Sie die speziellen Funktionen?
    Kann man diesen Router als "Modem only" konfigurieren?

    Wenn Ja: Esxi braucht zwei Schnittstellen -> eine WAN sowie eine Interne

    Die der VM (Sophos UTM) zugeteilten Netzkarten entsprechend zuweisen. Häufig wird berichtet (auch meine Erfahrung) , dass die UTM mit der e1000 besser als spielt.

    (und der Standard Tip -> am Anfang alles aus, was nicht direkt gebraucht wird. - Vom Country block, IPS, etc.)

    IT


    Hallo,

    ja, der Router nutzt auch eine Backup Leitung über ISDN sowie UMTS. Außerdem sind noch einige andere Funktionen in Benutzung.
    Modem only muss ich prüfen.

    Der ESXi hat die besagten zwei Schnittstellen.

    Mit der e1000 muss ich testen, aktuell sind flexible Karten konfiguriert.

    Alles aus hatte ich auch schon vor zu testen, nur dann passt es eigentlich nicht, dass es ja alles performant ist wenn der Router am Switch angeschlossen wird an dem auch der externe Port (WAN) des ESXi angeschlossen ist.

    Danke
  • 0 in reply to KnightMover
    Hallo KnightMover,

    du hast deine Host mehr als viel mal over overprovisioned, insgesamt nichts schlimmes aber ich denke hier liegt dein Problem.

    Insgesammt verfügst Du über 4,6 Ghz gut 1 Ghz ist im Mittel ausgelastet, das würde bedeuten Du hast eine durschnittliche Systemlast 21%. Faktisch ist dein Problem auch bei einer Last von 1% erklärbar.

    Um dein Problem verstehen zu können, musst Du den Scheduler des EXSi hosts verstehen. Deine UTM VM kann immer nur dann aggieren, wenn sie vom EXSi host einen "Zeitschlitz" zugewiesen bekommen, in der alle vier Kerne zugeteilt werden, und dass unabhängig ob sie alle vier Kerne zu diesem Zeitpunkt braucht.

    In einem Einfach beispiel heisst das, wenn du 4 Virtuelle Maschinen hast, die jeweils 4 Virtuelle CPUs haben, kommt jede VM nur jeden Vierten CPU takt an die Reihe (ohne dabei den Eigenverbrauch des Hosts mit zu berücksichtigen) unanhängig von der prozentualen Auslastung der CPUs. Hinzu kommen noch Effekte, das wenn deine Maschine nur alle vier Takte Aktiv ist, dies nicht Synchron mit anderen Processen sein muss, Festplatten I/O, NIC IRQ etc. was wiederrum zu weiteren unnötigen Warten der VM führt.

    Du kannst hier eingreifen indem Du resourcen Pools bildest, oder über die Resourcenzuteilung eine umverteilung vornimmt, was natürlich zu lasten andere VMs geht.

    Meine Empfehlung reduzieren die vCPUs auf allen aktiven VMs auf ein minimum. Erst wenn ein VM ständig hohe Auslastung zeigt oder Du schon Warnungen bekommst wegen der Auslastung erst dann sollte eine weitere vCPU hinzugefügt werden. Dabei ist auch zu beachten das virtuellen vCPUs der physikalischen Struktur entsprechen (also deine Du solltest als max 1 Socket mit 4 Cores zuweisen, 2 Sockets mir 2 Kernen ist suboptimal für die Cachenutzung innerhalb der CPU)

    Ich spreche hier aus eigener Erfahrung mein System war krötenlan, bis ich die Anzahl der vCPUs deutlich reduziert habe. Mein System hab eine Auslastung ca. 1,5 Ghz auf Xeon E5-2640 @2,5Ghz Hexacore also insgesammt 24 logischen Kernen. Es sind 10 VMs (Exchange, File, DC, Terminalserver Mailarchiv, div. Linux Server) mit 21 vCPUs in Betrieb. 

    Oft sind es nicht die CPU ressourcen die zu knapp sind sondern das I/O Subsystem kommt nicht hinterher. Ich habe zwei RaidController mit 2GB Batteriegepufferen Speicher und jeweils 2 Raid5 Systemen und dazu noch 2 SSDs für die Terminalserver, um dem Ganzen Herr zu werden.

    Hier noch ein Links zum Thema:

    How too many vCPUs can negatively affect performance
    Determining if multiple virtual CPUs are causing performance issues (1005362) 
    [URL="http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1010184"]
    Setting the number of cores per CPU in a virtual machine (1010184) [/URL]
    Troubleshooting ESX/ESXi virtual machine performance issues (2001003)

    Viele Grüße

    Marc
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?