- Products
- Learn
- Local User Groups
- Partners
-
More
Celebrate the New Year
With CheckMates!
Value of Security
Vendor Self-Awareness
Join Us for CPX 360
23-24 February 2021
Important certificate update to CloudGuard Controller, CME,
and Azure HA Security Gateways
How to Remediate Endpoint & VPN
Issues (in versions E81.10 or earlier)
Mobile Security
Buyer's Guide Out Now
Important! R80 and R80.10
End Of Support around the corner (May 2021)
Добрый день, коллеги!
Во время ежедневного бэкапа VMWare через Check Point 5400 GAiA R80.10 одно ядро процессора загружается до 100%. Трафик идет через IPSEC туннель, скорость трафика в среднем 20-30 Мбит/с. Включен блэйд Application control. IPS в исключениях.
Запись в таблице соединений:
[gw-01:0]# fwaccel conns
172.20.XXX.XXX 51965 172.20.YYY.YYY 902 6 ...AC..S...... 14/3 3/14 1 0
Скриншот сессии:
График загрузки ЦП:
Кто-нибудь сталкивался с подобной проблемой? какие есть предложения?
Дополнительная информация:
Туннель Site-to-Site r80.10 <->R77.30
Загрузка ЦП на R77.30 во время бэкапа
Вообще странное поведение. Трафик вроде небольшой для VPN-а. А можете на один график вывести загрузку ЦПУ и трафик бэкапа. Чтобы можно было оценить взаимосвязь?
Первое, с чего бы я начал, это проверил, что проц. грузит именно IPSec. График здесь поможет. Плюс попробуйте снизить сложность алгоритмов шифрования (например с AES256 на AES128). Очень интересно, отразится ли это на загрузке ЦПУ.
То, что грузит именно трафик бэкапа, это 100% информация, так как сначала его вывел с помощью Netflow, потом неоднократно запускали бэкапы и одновременно следил за нагрузкой на ЧП. как только шел бэкап возникала высокая нагрузка. В CPVIEW:
Можно было увидеть, что самое нагруженное соединение по CPU было именно по бэкапу.
По поводу набора шифрования
График трафика
График с ЧП по шифрованному трафику:
Могу сказать, что ранее проводились тестирования по пропускной способности туннеля между 540(R80.10) и 4200(R77.10), были отключены все блейды, пропускная способность была в среднем 163 Мбит/с и при этом R77.30 грузилось полностью, а на R80.10 средняя загрузка ЦП была 50%.
Пока из идей отключить Application Control Blade и посмотреть как будет ситуация, если ситуация не изменится, то это проблема. Если поможет, то нужно будет оключить для соединения бэкапа AC blade.
Блэйд APC не отключал. Воспользовался sk94484. Там говорится о том, что если хост не попадает в application rules, то трафик проходит через Implicit Cleanup правило и будет аксселирироваться через SAM.
Matched rules
FWACCEL CONNS во время бэкапа:
Из вывода можно сказать, что бэкап делается в несколько потоков, поэтому нагрузка должна распределяться между ядрами и соединения с использованием tcp/902 не ускоряются и проходят по Medium Path(PXL), но я думаю, что это из-за шифрования трафика.
Для понимая скорости Site-to-Site VPN бэкапа:
Еще раз картинка с CPU:
About CheckMates
Learn Check Point
Advanced Learning
WELCOME TO THE FUTURE OF CYBER SECURITY