Hallo zusammen!
Ich hab ne Frage zu einem Umzug meiner Sophos UTM.
Kurz ein bisschen Kontext Informationen:
Die aktuelle Sophos ist eine VM die auf einem "eigentlich" sehr potenten Hyper-V Cluster läuft. Trotzdem schafft die VM nicht mehr als 1,3 Gbit Firewall Durchsatz, gemessen habe ich das mit iperf3, das Maximum wird mit 2 Verbindungen erreicht. Weniger oder mehr Connections machen es nur langsamer.
Die VM hat 4 vCPUs, in den Hypervisoren stecken Xeon E5-2667v2 CPUs, base clock sind 3.3 GHz, mit Turbo sogar 4 GHz.
Anderer Traffic, also z.b. http ist nochmal etwas langsamer. Wo genau hier das Bottleneck liegt konnte ich nicht rausfinden. Die Sophos hat "theoretisch" mehrere 10G Interfaces auf denen SR-IOV aktiviert ist. Die CPUs der VM langweilen sich, auch wenn 1,3 Gbit/s anliegen. (laut top auf der shell)
RAM ist genug vorhanden: Wie gesagt, Bottleneck konnte ich nicht identifizieren. Meine Vermutung ist das da "irgendwas" mit den virtuellen Nics nicht passt.
Bisher war die Situation nicht weiter schlimm da mein Uplink auch "nur" 1G (symmetrisch) hergibt...
ABER: Ich bekomme nächsten Monat ein Upgrade auf 10G und die würde ich gerne auch durch die Sophos bekommen.
Da ich den Bottleneck nicht identifizieren konnte habe ich interessehalber einen alten Server aus dem Regal gezogen und die Sophos mal direkt aufs Blech installiert.
Siehe da, ich bekomme 9,3 Gbit/s durch die Firewall. Auch wieder mit keiner nennenswerten CPU-Last.
Nächstes Jahr gibt es neue Hypervisoren, mit deutlich neueren CPUs: Da werde ich nochmal versuchen die Sophos zu virtualisieren.
Bis dahin werde ich das "Blech" benutzen. Jetzt meine Frage zur Migration.
Die VM und das Blech unterscheiden sich in der Interface Konfiguration: Die VM hatte für jedes VLAN was sie bedient ein extra Interface, das "Blech" bekommt VLAN Interfaces.1x 10G für die Verbindung in die DMZ und 1x10G für den internen Teil. Das interne Interface wird mit 5 VLAN Interfaces erweitert.
Ansonsten soll sie genau das gleiche machen wie die VM. Gibt es eine Option ein Backup einzuspielen und die Interface config z.b. zu verwerfen oder anzupassen?
Wer eine Idee hat zum Bottleneck oder eine Idee hat wie ich ein Backup auf der anderen Seite wieder einspielen kann trotz der unterschiedlichen Interface Config: Immer her damit
Ich freue mich sehr auf Eure Antworten.
Gruß
P.S.: Für den iperf Test habe ich einen Host mit 10G in die DMZ gehängt, also der Test läuft wirklich nur innerhalb meines Netzes wo alles mit 10Gbit ausgestattet ist.
Der selbe Host war auch der iperf Server beim Test des Bleches wo 9.3 Gbit/s erreicht wurden.
Auf beiden Firewalls ist der webproxy, AV, IDS, IPS, Sandwurm und was weiss ich deaktiviert.
This thread was automatically locked due to age.