This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
ABOUT CHECKMATES CYBER SECURITY COMMUNITY & FAQ
Create a Post
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Are you a member of CheckMates?

×
Sign in with your Check Point UserCenter/PartnerMap account to access more great content and get a chance to win some Apple AirPods! If you don't have an account, create one now for free!
Andrey_Bogatyre
Participant
‎2018-11-21 12:35 AM

100% CPU при создании бэкапа VMWare

Добрый день, коллеги!

Во время ежедневного бэкапа VMWare через Check Point 5400 GAiA R80.10 одно ядро процессора загружается до 100%. Трафик идет через IPSEC туннель, скорость трафика в среднем 20-30 Мбит/с. Включен блэйд Application control. IPS в исключениях.

Запись в таблице соединений:

[gw-01:0]# fwaccel conns
   172.20.XXX.XXX 51965     172.20.YYY.YYY   902  6 ...AC..S...... 14/3    3/14     1        0

Скриншот сессии:

График загрузки ЦП:

Кто-нибудь сталкивался с подобной проблемой? какие есть предложения?

Дополнительная информация:

Туннель Site-to-Site r80.10 <->R77.30

Загрузка ЦП на R77.30 во время бэкапа

0 Kudos
3 Replies
Evgeniy_Olkov
Collaborator
Collaborator
‎2018-11-21 01:25 AM

Вообще странное поведение. Трафик вроде небольшой для VPN-а. А можете на один график вывести загрузку ЦПУ и трафик бэкапа. Чтобы можно было оценить взаимосвязь?

Первое, с чего бы я начал, это проверил, что проц. грузит именно IPSec. График здесь поможет. Плюс попробуйте снизить сложность алгоритмов шифрования (например с AES256 на AES128). Очень интересно, отразится ли это на загрузке ЦПУ.

0 Kudos
Andrey_Bogatyre
Participant
‎2018-11-21 02:01 AM

То, что грузит именно трафик бэкапа, это 100% информация, так как  сначала его вывел с помощью Netflow, потом неоднократно запускали бэкапы и одновременно следил за нагрузкой на ЧП. как только шел бэкап возникала высокая нагрузка. В CPVIEW:

Можно было увидеть, что самое нагруженное соединение по CPU было именно по бэкапу.

По поводу набора шифрования

График трафика

График с ЧП по шифрованному трафику:

Могу сказать, что ранее проводились тестирования по пропускной способности туннеля между 540(R80.10) и 4200(R77.10), были отключены все блейды, пропускная способность была в среднем 163 Мбит/с и при этом R77.30 грузилось полностью, а на R80.10 средняя загрузка ЦП была 50%.

Пока из идей отключить Application Control Blade и посмотреть как будет ситуация, если ситуация не изменится, то это проблема. Если поможет, то нужно будет оключить для соединения бэкапа AC blade.

0 Kudos
Andrey_Bogatyre
Participant
‎2018-11-22 04:14 AM

Блэйд APC не отключал. Воспользовался sk94484. Там говорится о том, что если хост не попадает в application rules, то трафик проходит через Implicit Cleanup правило и будет аксселирироваться через SAM.

Matched rules

FWACCEL CONNS во время бэкапа:

Из вывода можно сказать, что бэкап делается в несколько потоков, поэтому нагрузка должна распределяться между ядрами и соединения с использованием tcp/902 не ускоряются и проходят по Medium Path(PXL), но я думаю, что это из-за шифрования трафика.

Для понимая скорости Site-to-Site VPN бэкапа:

Еще раз картинка с CPU:

0 Kudos
Upcoming Events

    Sort by:
    CheckMates Events