Fortigate 1800F, buiten een 1 Gbps, DMZ 1 Gbps en binnen 10 Gbps
Na upgrade van de internetbandbreedte van 1 Gbps naar 10 Gbps zijn de prestaties van de Fortigate gecrasht. De buitenkant is niet veranderd en is aangesloten op een switch met zowel 1 Gbps als 10 Gbps poorten. Op dezelfde switch zit de WAN-router met 10 Gbps.
In VPN heb ik heel willekeurig packetverlies van ICMP-pakketten richting de DMZ en interne netwerken. In VPN klagen veel gebruikers over trage prestaties.
Wat zou dit kunnen zijn?
Als je naar de datasheet voor de 1800F kijkt, kom je dicht bij de gepubliceerde limieten voor SSL VPN. Mijn advies is om IPSEC VPN te gebruiken, de bandbreedtegebruik voor SSL VPN te verlagen of te upgraden naar een apparaat met meer capaciteit.
Datasheet ter referentie:
Controleer het aantal SSL VPN-verbindingen.
Het lijkt erop dat je een knelpunt hebt verplaatst van de provider naar de prestaties van de firewall.
Nu dat er minder restricties zijn bij het doorgeven via het internet en de switch, klopt het dat de firewall iets niet correct verwerkt.
Ga je van een 10 Gb overname naar een 10 Gb poort op de switch en daarna nog een 10 Gb poort van de switch naar de 1800F?
Welk type switch gebruik je? Welke interfaces? Wat is er nog meer verbonden met de switch?
SSL VPN-gegevens zijn ook afhankelijk van DTLS-prestaties, niet alleen TCP.
Aan de buitenkant van de firewall is de snelheid nog niet veranderd. Voorlopig blijft het steken op 1 Gbps. Zou dit ook de oorzaak kunnen zijn van het probleem? Overweeg dat problemen zich voordoen wanneer er maar weinig SSL VPN-verbindingen zijn. Gewoonlijk zijn er 400 SSL VPN-verbindingen, gisteren waren het er 20 en ik had het probleem.
De volgende stap is om de firewall via een 10 Gbps-poort aan te sluiten op de switch om de knelpunten tussen buiten en ISP-router weg te nemen. De switch is een Huawei s5731 met 8 10 Gbps-poorten en 48 1 Gbps-poorten.
Hoe ziet het gebruik van de 1 Gbps-interface eruit?
Je zou te maken kunnen hebben met een buffer-overflow door microbursting.
Wanneer je een 10 Gbps-interface hebt die door een apparaat heen stroomt en terugvalt op een 1 Gbps-interface, kan dit heel gewoon voorkomen.