Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 4383 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Performanceanalyse bei "Langsamer Internetverbindung"

UweT
Hallo,

wir haben eine synchrone 100MBPS Internetanbindung und unsere Nutzer klagen zusammen an vereinzelten Zeiten über sehr langsame Anbindung ins Internet. 

Ich sehe zwar in den (Netzwerk)Logs einzelne Peaks, doch ich würde liebend gerne herausfinden, (vor allem zeitnahe wenn es passiert), welcher Client in welchem VLAN mit welchem Protokoll oder mit welcher Anwendung massiven Netzwerktraffic verursacht?
CPU und RAM Auslastung der UTM425 sind nicht das Problem.

Danke im Voraus für eure Hilfe!
Uwe


This thread was automatically locked due to age.
  • 0
    Kennst du den Flow monitor?
    Im Dashboard auf einen der Auslastungsbalken bei den Interfaces klicken (z.B. WAN incoming).

    Aber: Hast du denn überhaupt massiven Netzwerktraffic?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Hallo scorpionking,

    Ja, den Flow monitor kenne ich. nur stehen da meist externe IP Adressen drin. Zudem kann ich nicht recht hohes Datenaufkommen zuordnen.

    Letzteres ist eine Vermutung/Herleitung:
    Im gesamten Netzwerk arbeiten die Switche unter normalen Bedingungen.

    Wobei mir gerade auffällt, dass die klagenden Nutzer den Web Proxy benutzen. Ich als Admin nicht zwangsläufig, daher bekomme ich die Geschwindingkeitseinbußen nicht mit und bin stets auf Meldungen und Sichten der Protokolle angewiesen. In diese fällt mir allerdings nichts extrem auf.

    Eine Idee: Könnte es die Performance des Web Filter Dienstes auf der UTM sein, die sich in die Knie zwingt? Nur wie stelle ich sowas nachher fest? Oder wie proaktiv? Wenn zB jemand im Netz einen riesigen Downlaod laufen lässt...
  • 0 in reply to UweT
    Im Flowmonitor kann man aber doch auf die Anzahl der Clients bei einer hohen Traffic-Kategorie klicken und sieht dann die einzelnen Clients...

    Ich denke, du musst das Problem systematisch angehen, nicht mit Vermutungen und Herleitungen.

    Hier einige Dinge, die ich prüfen würde:
    Gibt es eine Regelmäßigkeit (Tageszeiten, ggf. auch Zusammenhang mit bestimmten wiederkehrenden Prozessen)?
    Was sagt der Befehl "top" auf der Shell während einer solchen Situation?
    Sind im Kernel- oder System-Log Auffälligkeiten?

    Außerdem:
    Wie viele User habt ihr?
    Welche Firmware?
    Wie ist der Web Proxy eingerichtet (Standard / Transparent? HTTPS-Scanning?)
    Welche Sicherheitsfunktionen werden sonst noch genutzt (IPS, ATP, Application Control, ...)?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Ich habe die Nutzer gebeten, mich live zu informieren, damit ich die top-Befehlsdaten im entsprechenden Moment einsehen kann.

    Alle letzten Fragen sind bereits erfasst und laufen wie gewünscht. Es sind halt (für mich) zufällige Zeiten, in denen es passiert. In den Kernel und Systemlogs finde ich nichts außergeöhnliches.
  • 0
    Warum beantwortest du meine 4 letzten Fragen nicht?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Hier nachgezogen:

    Wie viele User habt ihr?
    - um die 700 Nutzer

    Welche Firmware?
    - UTM 9.312-8 

    Wie ist der Web Proxy eingerichtet (Standard / Transparent? HTTPS-Scanning?)
    - sowohl per Proxy Port als auch Transparent. hängt vom jeweiligen VLAN ab. 

    Welche Sicherheitsfunktionen werden sonst noch genutzt (IPS, ATP, Application Control, ...)?
    - IPS nur für die Internetanbindung, 
    - Web Filltering, Application Control
    - DNS, DHCP, NTP,
    - Firewall, NAT
    - QoS, Failover zur 2. UTM
  • 0 in reply to UweT
    - um die 700 Nutzer

    Könnte schon an die Leistungsgrenze der UTM gehen, je nach Traffic...

    - IPS nur für die Internetanbindung, 

    Was heißt das? Mit der IPS schützt man interne Netze, nicht das Internet... [:O]
    Welche Netze sind bei "Local Networks" eingetragen?
    Welche Patterns aktiv? Hast du das Rule age eingeschränkt?
    Sind Anti-DDoS und Anti-Portscan aktiv?
    Hat sich dein Sophos-Reseller mal die IPS-Konfiguration angeschaut und optimiert?
    Die IPS und der Webfilter sind meist die dicksten Brocken was Performanceeinbußen angeht.


    Aus meiner Erfahrung war in den letzten Jahren eigentlich immer, wenn bei einem unserer Kunden solche undefinierbaren Aussetzer u.ä. kamen, die Hardware entweder undersized oder defekt.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    scorpionking,

    bisher handhabt die UTM unsere Nutzeranzahl problemlos.

    Bezüglich dem IPS meine ich, dass sie die Angriffe auf unser öffentliches Interface überwacht. Dies auf alle internen VLANs zu legen, schafft sie nicht wirklich leistungsmäßig. Du legst den Fokus auf das IPS.. Allerdings gab es hier in der Konfiguration noch nie Leistungseinbußen. 

    Dennoch nehme ich mich Deiner Aussage gerade an und überarbeite die IPS Einstellungen, d.h. ich schalte die Funktion komplett ab. Wie richtig erkannt, sind die Außeninterfaces keine LANs zur Überwachung. Dann spare ich mir das alles (wie oben erwähnt schaffen interne LANs zu überwachen Leistungsabfälle). 

    Anti Portscan Action: Drop Traffic

    Anti-DDoS ist nicht konfiguriert.

    Ja, der Webfilter hat bei uns zu tun, doch CPU Auslastung ist in der Regel unter 50%.
  • 0
    Ich lege den Fokus deshalb auf die IPS, weil sie der Performance-Fresser Nr.1 ist, v.a. dann, wenn sie auch noch falsch konfiguriert ist.
    Ich kann hier auch nur aus meiner langjährigen Erfahrung mit vielen Kunden-UTMs verschiedenster Größen ausgehen. Deine konkrete Konfiguration kenne ich nicht, deshalb die ganzen Fragen.

    Das Folgende meine ich nicht böse, bitte nicht falsch verstehen:
    Deine Antworten erwecken den Eindruck, dass du mit den Feinheiten der UTM nicht so vertraut bist. Ggf. solltest du deinen Sophos-Reseller bzw. einen Partner ins Boot holen, dass man sich die UTM-Konfiguration mal genauer anschaut und optimiert.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Hi scorpionking,

    Danke für Deine Antworten!

    PS, bin nicht böse. Das Schwabbelbabbel zu dem IPS geschah deshalb, weil gerade aus Performance Gründen ich "optimieren" wollte. Da dacht ich mir "lass mal lieber die Angriffe von außen abwehren". Wie dem auch sei. Ich habe das Feature erstmal deaktiviert, um die Nachfolgesituation neu bewerten zu können. Ich melde mich entsprechend.
Cookie Information Banner