Sehr langsame Netzverbindung in einem bestimmten Subnet

Mitglied: gabeBU

gabeBU (Level 2) - Jetzt verbinden

17.12.2018 um 13:14 Uhr, 1039 Aufrufe, 23 Kommentare, 1 Danke

Hallo Zusammen


Ich habe das folgende Problem: Unser Netzwerk, dass aus verschiedenen Subnetzwerken aufgebaut ist, ist nicht in jedem Subnet gleich schnell. In einem bestimmten Subnet ist die Geschwindigkeit entwerder extrem langsam (unter 100 Kbyte/s) oder das Kopieren von Daten funktioniert überhaupt nicht (Kopiervorgänge frieren einfach ein). Vorallem ist es dann ein Problem, wenn Ich bestimmte Programme Starten möchte, die auf einem Server abgelegt werden.

Hier ist unser Netzwerkplan:
netzwerkplan - Klicke auf das Bild, um es zu vergrößern

Das betroffene Subnetz ist das "Elektronik"-Subnetz.

Die Clients sind standard Windows 7-Maschinen / Windows 10 Maschinen. Alle Switches (Netgear GS752TX) haben die gleiche Konfiguration (ausser natürlich den verschiedenen Subnets), wie auch die Firewall und haben ausser den grundlegen Einstellungen keine Zusätzliche Authentfizierungen o.Ä. Konfiguriert.

Ich habe bereits auch Geschwindigkeits-Test durchgeführt mit IPerf und konnte über diesen Test diese Einbrüche seltsamerweise nicht feststellen, beziehungsweise war die angegebene Bandbreite überall dieselbe. Auch die gemessene Internetgeschwindigkeit ist überall gleich. Es betrifft wirklich nur das Kopieren von Dateien vom Elektronik-Subnet zum Rauglobal-Subnet.

Wo müsste ich da überall ansetzen um das zu testen?

Falls Ihr weiter Infos benötigt, kann ich die euch gerne weitergeben.

Besten Dank für eure Tipps.

Gruss

gabe
Mitglied: St-Andreas
17.12.2018 um 13:29 Uhr
Fang mal mit den Logs an.
Switche, dann beteiligte Enpoints.
Bitte warten ..
Mitglied: Ausserwoeger
17.12.2018, aktualisiert um 14:12 Uhr
Hi

Ich würde mir auch mal die Konfig der VM64Fortigate anschauen ich nehme an die routet eure Netze wenn nicht dann die Logs der switches anschauen. Besonders die Schutzfunktionen (UTM) die zwischen den netzen Aktiv sind bzw. auf den Firewall regeln ! Wenn da nicht die erforderliche Leistung da ist kanns langsam werden.

LG Andy
Bitte warten ..
Mitglied: aqui
17.12.2018, aktualisiert um 14:59 Uhr
Die Subnetze befinden sich alle auf einem L3 Switch ?? Die Zeichnung oben ist diesbezüglich etwas wirr. :-( face-sad
Du meinst also die Performance innerhalb einer Layer 2 Domain also innerhalb zweier Ports die Mitglieder des gleichen VLANs bzw. Subnetzes sind, richtig ??

Zuallerst solltest du wie immer und hier zig mal schon gesagt einen Punkt zu Punkt Durchsatztest fahren zwischen 2 Geräten in diesem Segment. Und zwar unabhängig von jeglichen Transfer Protokollen !
Das dient dazu einen verlässliche Basis zum Vergleichen zu bekommen.
Wie üblich macht man das mit NetIO:
https://web.ars.de/netio/
bzw.
http://www.nwlab.net/art/netio/netio.html
Oder mit iPerf oder JPerf wenn man eher grafisch gesteuert ist:
https://iperf.fr/iperf-download.php
http://www.nwlab.net/know-how/JPerf/
Damit misst du dann erstmal mit unterschiedlichen Ports im Netz und postest die Durchsatz Ergebnisse hier.
Dabei sollte sowas ähnliches bei rauskommen
Danach sehen wir dann mal weiter...
Bitte warten ..
Mitglied: gabeBU
17.12.2018 um 16:50 Uhr
Hallo Aqui


Zitat von aqui:

Die Subnetze befinden sich alle auf einem L3 Switch ?? Die Zeichnung oben ist diesbezüglich etwas wirr. :-( face-sad
Du meinst also die Performance innerhalb einer Layer 2 Domain also innerhalb zweier Ports die Mitglieder des gleichen VLANs bzw. Subnetzes sind, richtig ??

Ich bin mir nicht ganz sicher, aber ich glaube das wäre so richtig. Auf der Firewall sind die einzelnen VLAN's eingerichtet, und die Layer3-Switches gehören jeweils zu einem bestimmten Subnet / VLAN.

Die Performance ist beeinträchtigt, wenn ich mit einem bestimmten VLAN (Elektronik) eine Datei vom einem anderen VLAN (RAUGLOBAL) beziehen möchte.


Einen Test mit IPerf habe ich durchgeführt und dort konnte ich keinen Unterschied feststellen gegenüber den anderen Subnetzwerken.
Bitte warten ..
Mitglied: aqui
17.12.2018, aktualisiert um 17:32 Uhr
Ich bin mir nicht ganz sicher, aber ich glaube das wäre so richtig.
Glauben heisst NICHT wissen !
Bringe das also in Erfahrung, denn sonst drehen wir uns hier alle sinfrei im Kreis weil der eine von L2 Performance ausgeht und der andere von L3 Performance mit Routing daziwischen.
2 völlig verschiedene Szenarien !
Auf der Firewall sind die einzelnen VLAN's eingerichtet, und die Layer3-Switches gehören jeweils zu einem bestimmten Subnet
Wieder sowas Wirres... :-( face-sad
  • Warum L3 Switches wenn die Firewall routet ?
  • Oder routen doch die L3 Switches ? Was routet dann die Firewall ?
  • Oder routen L3 Switches und Firewall und wenn ja wie ? (Topo Zeichnung hilft hier allen!)
wenn ich mit einem bestimmten VLAN (Elektronik) eine Datei vom einem anderen VLAN (RAUGLOBAL) beziehen möchte.
Also doch L3 ! Dann hast du uns oben aber technischen Blödsinn beschrieben :-( face-sad
Du hast ja davon geredet das es innerhalb eines Subnetzes also innerhalb der L2 Domain passiert. Nun stellt sich aber doch raus Subnetz übergreifend also über einen Router. Na gut, wenigstens ist das dann geklärt...

Für eine zielführende und für dich hilfreiche Antwort müssen wir hier aber logischerweise dein L3 Design deines Netzes kennen. Wer routet was.
Ansonsten raten wir uns hier einen Wolf an welchem der beteiligten Komponenten es dann liegen kann.
Das wäre also der erste Schritt mal skizzenhaft dein Netzwerk hier zu schildern und welche Komponente das VLAN Routing macht.
Zweiter Schtritt dann in jedem Falle Messen mit NetIO oder iperf3 wie oben beschrieben ! Dann eben nicht innerhalb eines VLANs sondern VLAN / Subnetz übergreifend.
Also Topologie und verlässlich gemessene Durchsatzzahlen mit dem o.a. Tool.
Dann können wir hier weitermachen...
Bitte warten ..
Mitglied: gabeBU
18.12.2018 um 09:00 Uhr
Okay, ich versuche es nochmals...

Das ROUTING macht die Firewall:
interfaces - Klicke auf das Bild, um es zu vergrößern

Dann habe ich scheinbar eine andere Ansicht darüber, was ein L3-Switch ist, denn ich dachte, wenn man auf den Ports ein bestimmtes VLAN zuweisen muss, dass es dann schon ein L3-Switch ist auch ohne Routing. Aber das ROUTING überrnimmt die FIREWALL :3... ich hoffe ich konnte das jetzt ausreichend beantworten.

Und Ich habe eben den Test von dem Elektronik Subnet zum Rauglobal SUbnet den Test mit IPerf durchgeführt. In dem eigenen Subnet ist alles in Ordnung, das Problem ist wirklich NUR die Kommunikation zwischen dem Elektronik Subnet und dem RAUGLOBAL Subnet.
Bitte warten ..
Mitglied: webofficial
18.12.2018, aktualisiert um 11:17 Uhr
Es sind zwar Layer 3 Switche, aber in deiner Konfiguration würden Layer 2 ausreichen. Da du pro Switch nur ein Subnetz hast und die Firewall das Routing übernimmt bringt dir die Layer 3 Funktionalität deiner Switche gar nichts.

Edit: VLANs werden ja erst interessant wenn du mindestens zwei verschiedene Subnetze auf einem Switch hast. Durch VLANs ist es dann nicht möglich durch ein ändern der IP / Subnetz in das andere Subnetz zu kommen.
Bitte warten ..
Mitglied: aqui
18.12.2018 um 11:56 Uhr
denn ich dachte, wenn man auf den Ports ein bestimmtes VLAN zuweisen muss, dass es dann schon ein L3-Switch ist auch ohne Routing.
Nein, das ist natürlich (netz)technischer Blödsinn ! Weisst du aber sicher auch selber ?!
L3 (OSI Layer 3) bezeichnet ja immer Routing.
Du hast also ein simples Layer 2 Switch Design nur mit VLANs und routest die VLANs über die externe Firewall.
Gut, damit ist das Design dann klar.

Fragt sich jetzt nur ob die Firewall alle VLANs mit einem Tagged Uplink bedient, also quasi "one armed" angeschlossen ist wie hier beschrieben:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Oder...
Ob sie für jedes VLAN einen dedizierten Draht hat. Das solltest du nochmal klären !
das Problem ist wirklich NUR die Kommunikation zwischen dem Elektronik Subnet und dem RAUGLOBAL Subnet.
Dann kann nur die Firewall der Bottleneck sein !
Klar, denn wenn in beiden bedeiligten Netz Segmenten die Performance jeweils Wirespeed ist aber netzübegreifend nicht, dann ist der Router (bei dir hier die FW) natürlich das Element was das verursacht.
Die schafft dann Performance, sprich technisch den Routing Durchsatz nicht. Oder diese beiden Segmente sind so belastet mit Traffic das sie die FW in die Knie zwingen an den Interfaces.

Hier wäre es sinnvoll die virtuellen VLAN Adapter in der Firewall mal anzusehen per SNMP wie die Last dort aussieht:
https://www.administrator.de/content/detail.php?id=331384&token=73#c ...
Oder auch die Gesamtlast der FW (CPU, Memory usw.)
Was sagt dir denn iperf3 oder NetIO wie hoch der Durchsatz ist zw. diesen beiden Netzen ?
Bitte warten ..
Mitglied: Ausserwoeger
LÖSUNG 18.12.2018 um 12:35 Uhr
Hi

In der Fortigate findest du alles was du brauchts um das Problem zu diagnostizieren. Wenn du das Kopieren anstartest schau dir unter Fortiview /Sources die verbindung an und den Durchsatz. Schau dir die Belastung der Box an (CPU, Memory usw. am Dashboard)
Wenn das Problem nur mit SMB Traffic passiert schau dir die Firewall Regeln an und die Aktivieren Schutzfunktionen (Antivirus, Webfilter usw.) schalte diese zum test aus und teste nochmal.

LG Andy
Bitte warten ..
Mitglied: aqui
18.12.2018, aktualisiert um 13:05 Uhr
SMB/CIFS ist immer ein schlechtes Protokoll ! Oder hier vielleicht ein Gutes, je nachdem wie man es sieht.
SMB/CIFS nutzt protokollbedingt nur sehr kleine Pakete zur Datenübermittlung. Dadurch ist es selber sehr ineffizient und belastet durch diese Flut sehr kleiner Pakete Layer 3 Geräte (Router).
Stellt aber auch gleich einen Lackmustest dar für diese. Geräte mit entsprechender CPU oder ASIC Leistung fackeln sowas in Silizium und damit in Wirespeed ab, egal wie groß die Pakete sind und welche FW Regeln.
Billige SoHo Modelle mit schwachbrüstigen SoCs legen sich da dann gerne schon mal die Karten mit den o.a. Symptomen die du siehst.
Wie Kollege @Ausserwoeger schon sagt. Mit den Show Tools oder SNMP mal die Lasten der beteiligten Interfaces und Komponenten ansehen !
Bitte warten ..
Mitglied: gabeBU
18.12.2018 um 13:32 Uhr
Okay, ich habe festgestellt, dass die CPU der Firewall zu 99% konstant ausgelastet war, was ich mit dem Neustart eines Services beheben könnte (war der VPN Zugriff).

Es geht jetzt schon mal deutlich schneller als Vorher, aber die Applikation ist immer noch sehr langsam. Da habe ich aber ein Workaround, indem ich einfach das Programm lokal installiere und nur das Lizenzfile auf dem Server gespeichert wird.

Das Kopieren an sich ist schon mal sehr viel schneller.
Bitte warten ..
Mitglied: Ausserwoeger
18.12.2018 um 14:32 Uhr
Hi

Dann würde ich dir empfehlen die Konfiguration der Firewall zu prüfen und ein Firmware Update durchzuführen.

Wie wurde den der VPN Zugriff konfiguriert ??

LG
Bitte warten ..
Mitglied: gabeBU
18.12.2018 um 14:51 Uhr
vpn - Klicke auf das Bild, um es zu vergrößern

vpn2 - Klicke auf das Bild, um es zu vergrößern

Ich werde die Firmware upgraden sobald als möglich.

Danke für die Tipps.
Bitte warten ..
Mitglied: Ausserwoeger
18.12.2018 um 15:17 Uhr
Hi

Soweit sieht alles gut aus. Ich würde mir aber die SMB/CIFS Freigaben über SSL VPN gut überlegen.
Ich weiss ja nicht was ihr für einen internet Anschluss habt aber wenn es hier mehrere VPN Arbeitsplätze gibt und diese grössere Dateien Herunterladen bzw. hochladen bzw. bearbeiten kann dir das die Leistung deiner Fortigate beeinträchtigen. kommt natürlich stark auf deine genaue Konfiguration an.

Möglicherweise wäre hier ein Terminalserver eine Möglichkeit um das Arbeiten von extern zu optimieren.

LG
Bitte warten ..
Mitglied: aqui
18.12.2018 um 15:38 Uhr
Vermutlich kommen dann auch noch MTU Probleme hinzu. Vermutung ist das der TO die MTU im Tunnel nicht sauber angepasst hat bzw. die MSS auf dem lokalen LAN.
Genau dann kommt es auch zu solchen Fehlerbildern, da ein MTU Mismatch eine Layer Fragmentierung triggert so das der gesamte Traffic über die CPU geforwardet wird.
Das zieht natürlich den Durchsatz dann mehr als heftig nach unten wenn noch ein Tunnel mit VPN Overhead dazuwischen ist.
Bitte warten ..
Mitglied: gabeBU
19.12.2018, aktualisiert um 08:12 Uhr
Ist das ein Problem, bei max. 5 Usern? WIr sind ein sehr kleines Unternehmen...

Und grössere Dateien werden eig. nicht kopiert, es handelt sich nur um normale Dokumente.
Bitte warten ..
Mitglied: Ausserwoeger
19.12.2018 um 16:10 Uhr
Hi

Was sind den Normale Dokumente ! Ein Autocad Plan mit 40 MB ist für einen Architekt auch ein normales Dokument !

Bei 5 Usern sollte sowas nicht vorkommen. Hängt aber auch von der internetleitung ab bzw. allem anderen !!
Wenn der Mailserver 1000 Mails rausschickt über die 4Mbit Leitung dann kann sowas schon vorkommen.

Das ist aber nur reines raten hier da müsste mal ein Techniker drüber schauen.

LG
Bitte warten ..
Mitglied: gabeBU
19.12.2018 um 16:40 Uhr
Mit normalen Dokumente meine Ich Word-DOkumente, die vielleicht maximal 2-3 MB gross sind...

Ja, unsere Leitung ist leider nur 40mbit Schnell, weil sie kein Glasfaser verlegen.
Bitte warten ..
Mitglied: Ausserwoeger
20.12.2018 um 08:18 Uhr
Hi

Naja 40 MBit Download ist ja bei 5 Externen Usern ganz OK. Es geht zwar in dem Fall um den Upload aber der wird ja auch bei min 10 Mbit liegen denk ich mal. Das sollte reichen.

LG
Bitte warten ..
Mitglied: gabeBU
20.12.2018 um 08:21 Uhr
Wir haben schon mehr Usern (Ist eine Berufsschule), aber nur diese Nutzer nutzen VPN.

Gesamt haben wir gegen 100 User...^^.
Bitte warten ..
Mitglied: Ausserwoeger
20.12.2018 um 08:31 Uhr
Zitat von gabeBU:

Wir haben schon mehr Usern (Ist eine Berufsschule), aber nur diese Nutzer nutzen VPN.

Gesamt haben wir gegen 100 User...^^.

Naja aber da werden ja nicht alle 100 gleichzeitig ins netz gehen oder ?? Wenn da mal ne Klasse drin is sind das 20 leute !
Warum habt ihr eigendlich die Fortigate als VM gekauft ? Wäre da nicht eine Box (mit optimiertem Board (Chips) ) besser gewesen ? Damit hättet ihr auch mehr Leistung wenn da der gesammt Datenverkehr drüber muss.

LG Andy
Bitte warten ..
Mitglied: gabeBU
20.12.2018 um 08:37 Uhr
Das kann ich dir nicht beantworten, ich habe im Sommer die Infrastruktur übernommen und der hat das so aufgezogen. Es funktioniert auch zu grössten Teilen gut...

der Grund könnte sein, dass es Kostengünstiger ist.

Es sind mehrere Klassen im Netz aktiv (wir haben verschiedene Lehrgänge), wie du vielleicht an den Subnetzen erkennst, deswegen kann es schon sein, dass 100 Leute gleichzeitig aktiv sind.
Bitte warten ..
Mitglied: Ausserwoeger
20.12.2018 um 08:40 Uhr
hmmm...

Ja dann würde ich schon versuchen hier noch etwas aufzurüsten. Hat aber mit deinem Problem nix zu tun.

LG
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkprotokolle
DHCP-Server vom ausgeschalteten PC?
pow3rlock3Vor 1 TagFrageNetzwerkprotokolle48 Kommentare

Guten Tag in die Runde, kurz zu mir: IT-Administrator und seit über 20 Jahren im PC-Bereich unterwegs. habe zu Hause jetzt ein Problem: grober ...

LAN, WAN, Wireless
Fritzbox mit Switch verbinden und Vlan einrichten
Forrest57Vor 1 TagFrageLAN, WAN, Wireless35 Kommentare

Hallo zusammen. Möchte meine Geräte über VLAN trennen. Anhand der Zeichung sieht man wie das Netz aufgebaut sein soll es ist ein 24 Port ...

Firewall
PfSense direkt an Glasfasermodem der Telekom über PPPoE
snah0815Vor 1 TagFrageFirewall24 Kommentare

Hallo Zusammen, nachdem ich die pfSense nun eine Zeit lang in einer Kaskade mit einer Fritzbox 7590 betrieben habe, möchte ich nun gerne die ...

Netzwerkmanagement
TIA568A oder B - Leistungsunterschiede oder egal?
gelöst alboshiroVor 1 TagFrageNetzwerkmanagement15 Kommentare

Hallo Zusammen, ich bin aktuell im Hausbau und habe in jedem Zimmer ein RJ45 CAT7 Ethernetkabel für jeden Raum verlegt. Jetzt müsste ich die ...

LAN, WAN, Wireless
WLAN-ACCESSPOINT welche soll ich mir kaufen?
samet22Vor 1 TagFrageLAN, WAN, Wireless11 Kommentare

Hallo :) Ich halte mich kurz: Ich möchte mir neue WLAN-Accesspoints für die Firma kaufen da die jetzigen fast 7 Jahre alt sind und ...

Webentwicklung
Wo legt Joomla den Content im Verzeichnis ab ?
MachelloVor 1 TagFrageWebentwicklung17 Kommentare

Hallo Zusammen, ich habe folgendes Problem: Ich benötige Daten aus einer alten Joomla Webseite. Von dieser Webseite habe ich nur das komplette Verzeichnis vom ...

Internet
Kein Internet nach Windows 19 Server installation
gelöst ZygmundVor 9 StundenFrageInternet24 Kommentare

Komputer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

Monitoring
PC Monitoring Software?
TRON06Vor 1 TagFrageMonitoring9 Kommentare

Gibt es eine Monitoring Software (ähnlich wie HWiNFO) mit der man mehrere Computer überwachen kann (CPU auslastung, Festplatte, Temperatur Sensoren) und wo die Daten ...