Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
Andrey_Bogatyre
Participant

100% CPU при создании бэкапа VMWare

Добрый день, коллеги!

Во время ежедневного бэкапа VMWare через Check Point 5400 GAiA R80.10 одно ядро процессора загружается до 100%. Трафик идет через IPSEC туннель, скорость трафика в среднем 20-30 Мбит/с. Включен блэйд Application control. IPS в исключениях.

Запись в таблице соединений:

[gw-01:0]# fwaccel conns
   172.20.XXX.XXX 51965     172.20.YYY.YYY   902  6 ...AC..S...... 14/3    3/14     1        0

Скриншот сессии:

График загрузки ЦП:

Кто-нибудь сталкивался с подобной проблемой? какие есть предложения?

Дополнительная информация:

Туннель Site-to-Site r80.10 <->R77.30

Загрузка ЦП на R77.30 во время бэкапа

0 Kudos
3 Replies
Evgeniy_Olkov
Collaborator
Collaborator

Вообще странное поведение. Трафик вроде небольшой для VPN-а. А можете на один график вывести загрузку ЦПУ и трафик бэкапа. Чтобы можно было оценить взаимосвязь?

Первое, с чего бы я начал, это проверил, что проц. грузит именно IPSec. График здесь поможет. Плюс попробуйте снизить сложность алгоритмов шифрования (например с AES256 на AES128). Очень интересно, отразится ли это на загрузке ЦПУ.

0 Kudos
Andrey_Bogatyre
Participant

То, что грузит именно трафик бэкапа, это 100% информация, так как  сначала его вывел с помощью Netflow, потом неоднократно запускали бэкапы и одновременно следил за нагрузкой на ЧП. как только шел бэкап возникала высокая нагрузка. В CPVIEW:

Можно было увидеть, что самое нагруженное соединение по CPU было именно по бэкапу.

По поводу набора шифрования

График трафика

График с ЧП по шифрованному трафику:

Могу сказать, что ранее проводились тестирования по пропускной способности туннеля между 540(R80.10) и 4200(R77.10), были отключены все блейды, пропускная способность была в среднем 163 Мбит/с и при этом R77.30 грузилось полностью, а на R80.10 средняя загрузка ЦП была 50%.

Пока из идей отключить Application Control Blade и посмотреть как будет ситуация, если ситуация не изменится, то это проблема. Если поможет, то нужно будет оключить для соединения бэкапа AC blade.

0 Kudos
Andrey_Bogatyre
Participant

Блэйд APC не отключал. Воспользовался sk94484. Там говорится о том, что если хост не попадает в application rules, то трафик проходит через Implicit Cleanup правило и будет аксселирироваться через SAM.

Matched rules

FWACCEL CONNS во время бэкапа:

Из вывода можно сказать, что бэкап делается в несколько потоков, поэтому нагрузка должна распределяться между ядрами и соединения с использованием tcp/902 не ускоряются и проходят по Medium Path(PXL), но я думаю, что это из-за шифрования трафика.

Для понимая скорости Site-to-Site VPN бэкапа:

Еще раз картинка с CPU:

0 Kudos
Upcoming Events

    CheckMates Events