Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sehr langsame Netzverbindung in einem bestimmten Subnet

Mitglied: gabeBU

gabeBU (Level 2) - Jetzt verbinden

17.12.2018 um 13:14 Uhr, 849 Aufrufe, 23 Kommentare, 1 Danke

Hallo Zusammen


Ich habe das folgende Problem: Unser Netzwerk, dass aus verschiedenen Subnetzwerken aufgebaut ist, ist nicht in jedem Subnet gleich schnell. In einem bestimmten Subnet ist die Geschwindigkeit entwerder extrem langsam (unter 100 Kbyte/s) oder das Kopieren von Daten funktioniert überhaupt nicht (Kopiervorgänge frieren einfach ein). Vorallem ist es dann ein Problem, wenn Ich bestimmte Programme Starten möchte, die auf einem Server abgelegt werden.

Hier ist unser Netzwerkplan:
netzwerkplan - Klicke auf das Bild, um es zu vergrößern

Das betroffene Subnetz ist das "Elektronik"-Subnetz.

Die Clients sind standard Windows 7-Maschinen / Windows 10 Maschinen. Alle Switches (Netgear GS752TX) haben die gleiche Konfiguration (ausser natürlich den verschiedenen Subnets), wie auch die Firewall und haben ausser den grundlegen Einstellungen keine Zusätzliche Authentfizierungen o.Ä. Konfiguriert.

Ich habe bereits auch Geschwindigkeits-Test durchgeführt mit IPerf und konnte über diesen Test diese Einbrüche seltsamerweise nicht feststellen, beziehungsweise war die angegebene Bandbreite überall dieselbe. Auch die gemessene Internetgeschwindigkeit ist überall gleich. Es betrifft wirklich nur das Kopieren von Dateien vom Elektronik-Subnet zum Rauglobal-Subnet.

Wo müsste ich da überall ansetzen um das zu testen?

Falls Ihr weiter Infos benötigt, kann ich die euch gerne weitergeben.

Besten Dank für eure Tipps.

Gruss

gabe
Mitglied: St-Andreas
17.12.2018 um 13:29 Uhr
Fang mal mit den Logs an.
Switche, dann beteiligte Enpoints.
Bitte warten ..
Mitglied: Ausserwoeger
17.12.2018, aktualisiert um 14:12 Uhr
Hi

Ich würde mir auch mal die Konfig der VM64Fortigate anschauen ich nehme an die routet eure Netze wenn nicht dann die Logs der switches anschauen. Besonders die Schutzfunktionen (UTM) die zwischen den netzen Aktiv sind bzw. auf den Firewall regeln ! Wenn da nicht die erforderliche Leistung da ist kanns langsam werden.

LG Andy
Bitte warten ..
Mitglied: aqui
17.12.2018, aktualisiert um 14:59 Uhr
Die Subnetze befinden sich alle auf einem L3 Switch ?? Die Zeichnung oben ist diesbezüglich etwas wirr.
Du meinst also die Performance innerhalb einer Layer 2 Domain also innerhalb zweier Ports die Mitglieder des gleichen VLANs bzw. Subnetzes sind, richtig ??

Zuallerst solltest du wie immer und hier zig mal schon gesagt einen Punkt zu Punkt Durchsatztest fahren zwischen 2 Geräten in diesem Segment. Und zwar unabhängig von jeglichen Transfer Protokollen !
Das dient dazu einen verlässliche Basis zum Vergleichen zu bekommen.
Wie üblich macht man das mit NetIO:
https://web.ars.de/netio/
bzw.
http://www.nwlab.net/art/netio/netio.html
Oder mit iPerf oder JPerf wenn man eher grafisch gesteuert ist:
https://iperf.fr/iperf-download.php
http://www.nwlab.net/know-how/JPerf/
Damit misst du dann erstmal mit unterschiedlichen Ports im Netz und postest die Durchsatz Ergebnisse hier.
Dabei sollte sowas ähnliches bei rauskommen
Danach sehen wir dann mal weiter...
Bitte warten ..
Mitglied: gabeBU
17.12.2018 um 16:50 Uhr
Hallo Aqui


Zitat von aqui:

Die Subnetze befinden sich alle auf einem L3 Switch ?? Die Zeichnung oben ist diesbezüglich etwas wirr.
Du meinst also die Performance innerhalb einer Layer 2 Domain also innerhalb zweier Ports die Mitglieder des gleichen VLANs bzw. Subnetzes sind, richtig ??

Ich bin mir nicht ganz sicher, aber ich glaube das wäre so richtig. Auf der Firewall sind die einzelnen VLAN's eingerichtet, und die Layer3-Switches gehören jeweils zu einem bestimmten Subnet / VLAN.

Die Performance ist beeinträchtigt, wenn ich mit einem bestimmten VLAN (Elektronik) eine Datei vom einem anderen VLAN (RAUGLOBAL) beziehen möchte.


Einen Test mit IPerf habe ich durchgeführt und dort konnte ich keinen Unterschied feststellen gegenüber den anderen Subnetzwerken.
Bitte warten ..
Mitglied: aqui
17.12.2018, aktualisiert um 17:32 Uhr
Ich bin mir nicht ganz sicher, aber ich glaube das wäre so richtig.
Glauben heisst NICHT wissen !
Bringe das also in Erfahrung, denn sonst drehen wir uns hier alle sinfrei im Kreis weil der eine von L2 Performance ausgeht und der andere von L3 Performance mit Routing daziwischen.
2 völlig verschiedene Szenarien !
Auf der Firewall sind die einzelnen VLAN's eingerichtet, und die Layer3-Switches gehören jeweils zu einem bestimmten Subnet
Wieder sowas Wirres...
  • Warum L3 Switches wenn die Firewall routet ?
  • Oder routen doch die L3 Switches ? Was routet dann die Firewall ?
  • Oder routen L3 Switches und Firewall und wenn ja wie ? (Topo Zeichnung hilft hier allen!)
wenn ich mit einem bestimmten VLAN (Elektronik) eine Datei vom einem anderen VLAN (RAUGLOBAL) beziehen möchte.
Also doch L3 ! Dann hast du uns oben aber technischen Blödsinn beschrieben
Du hast ja davon geredet das es innerhalb eines Subnetzes also innerhalb der L2 Domain passiert. Nun stellt sich aber doch raus Subnetz übergreifend also über einen Router. Na gut, wenigstens ist das dann geklärt...

Für eine zielführende und für dich hilfreiche Antwort müssen wir hier aber logischerweise dein L3 Design deines Netzes kennen. Wer routet was.
Ansonsten raten wir uns hier einen Wolf an welchem der beteiligten Komponenten es dann liegen kann.
Das wäre also der erste Schritt mal skizzenhaft dein Netzwerk hier zu schildern und welche Komponente das VLAN Routing macht.
Zweiter Schtritt dann in jedem Falle Messen mit NetIO oder iperf3 wie oben beschrieben ! Dann eben nicht innerhalb eines VLANs sondern VLAN / Subnetz übergreifend.
Also Topologie und verlässlich gemessene Durchsatzzahlen mit dem o.a. Tool.
Dann können wir hier weitermachen...
Bitte warten ..
Mitglied: gabeBU
18.12.2018 um 09:00 Uhr
Okay, ich versuche es nochmals...

Das ROUTING macht die Firewall:
interfaces - Klicke auf das Bild, um es zu vergrößern

Dann habe ich scheinbar eine andere Ansicht darüber, was ein L3-Switch ist, denn ich dachte, wenn man auf den Ports ein bestimmtes VLAN zuweisen muss, dass es dann schon ein L3-Switch ist auch ohne Routing. Aber das ROUTING überrnimmt die FIREWALL :3... ich hoffe ich konnte das jetzt ausreichend beantworten.

Und Ich habe eben den Test von dem Elektronik Subnet zum Rauglobal SUbnet den Test mit IPerf durchgeführt. In dem eigenen Subnet ist alles in Ordnung, das Problem ist wirklich NUR die Kommunikation zwischen dem Elektronik Subnet und dem RAUGLOBAL Subnet.
Bitte warten ..
Mitglied: webofficial
18.12.2018, aktualisiert um 11:17 Uhr
Es sind zwar Layer 3 Switche, aber in deiner Konfiguration würden Layer 2 ausreichen. Da du pro Switch nur ein Subnetz hast und die Firewall das Routing übernimmt bringt dir die Layer 3 Funktionalität deiner Switche gar nichts.

Edit: VLANs werden ja erst interessant wenn du mindestens zwei verschiedene Subnetze auf einem Switch hast. Durch VLANs ist es dann nicht möglich durch ein ändern der IP / Subnetz in das andere Subnetz zu kommen.
Bitte warten ..
Mitglied: aqui
18.12.2018 um 11:56 Uhr
denn ich dachte, wenn man auf den Ports ein bestimmtes VLAN zuweisen muss, dass es dann schon ein L3-Switch ist auch ohne Routing.
Nein, das ist natürlich (netz)technischer Blödsinn ! Weisst du aber sicher auch selber ?!
L3 (OSI Layer 3) bezeichnet ja immer Routing.
Du hast also ein simples Layer 2 Switch Design nur mit VLANs und routest die VLANs über die externe Firewall.
Gut, damit ist das Design dann klar.

Fragt sich jetzt nur ob die Firewall alle VLANs mit einem Tagged Uplink bedient, also quasi "one armed" angeschlossen ist wie hier beschrieben:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Oder...
Ob sie für jedes VLAN einen dedizierten Draht hat. Das solltest du nochmal klären !
das Problem ist wirklich NUR die Kommunikation zwischen dem Elektronik Subnet und dem RAUGLOBAL Subnet.
Dann kann nur die Firewall der Bottleneck sein !
Klar, denn wenn in beiden bedeiligten Netz Segmenten die Performance jeweils Wirespeed ist aber netzübegreifend nicht, dann ist der Router (bei dir hier die FW) natürlich das Element was das verursacht.
Die schafft dann Performance, sprich technisch den Routing Durchsatz nicht. Oder diese beiden Segmente sind so belastet mit Traffic das sie die FW in die Knie zwingen an den Interfaces.

Hier wäre es sinnvoll die virtuellen VLAN Adapter in der Firewall mal anzusehen per SNMP wie die Last dort aussieht:
https://www.administrator.de/content/detail.php?id=331384&token=73#c ...
Oder auch die Gesamtlast der FW (CPU, Memory usw.)
Was sagt dir denn iperf3 oder NetIO wie hoch der Durchsatz ist zw. diesen beiden Netzen ?
Bitte warten ..
Mitglied: Ausserwoeger
LÖSUNG 18.12.2018 um 12:35 Uhr
Hi

In der Fortigate findest du alles was du brauchts um das Problem zu diagnostizieren. Wenn du das Kopieren anstartest schau dir unter Fortiview /Sources die verbindung an und den Durchsatz. Schau dir die Belastung der Box an (CPU, Memory usw. am Dashboard)
Wenn das Problem nur mit SMB Traffic passiert schau dir die Firewall Regeln an und die Aktivieren Schutzfunktionen (Antivirus, Webfilter usw.) schalte diese zum test aus und teste nochmal.

LG Andy
Bitte warten ..
Mitglied: aqui
18.12.2018, aktualisiert um 13:05 Uhr
SMB/CIFS ist immer ein schlechtes Protokoll ! Oder hier vielleicht ein Gutes, je nachdem wie man es sieht.
SMB/CIFS nutzt protokollbedingt nur sehr kleine Pakete zur Datenübermittlung. Dadurch ist es selber sehr ineffizient und belastet durch diese Flut sehr kleiner Pakete Layer 3 Geräte (Router).
Stellt aber auch gleich einen Lackmustest dar für diese. Geräte mit entsprechender CPU oder ASIC Leistung fackeln sowas in Silizium und damit in Wirespeed ab, egal wie groß die Pakete sind und welche FW Regeln.
Billige SoHo Modelle mit schwachbrüstigen SoCs legen sich da dann gerne schon mal die Karten mit den o.a. Symptomen die du siehst.
Wie Kollege @Ausserwoeger schon sagt. Mit den Show Tools oder SNMP mal die Lasten der beteiligten Interfaces und Komponenten ansehen !
Bitte warten ..
Mitglied: gabeBU
18.12.2018 um 13:32 Uhr
Okay, ich habe festgestellt, dass die CPU der Firewall zu 99% konstant ausgelastet war, was ich mit dem Neustart eines Services beheben könnte (war der VPN Zugriff).

Es geht jetzt schon mal deutlich schneller als Vorher, aber die Applikation ist immer noch sehr langsam. Da habe ich aber ein Workaround, indem ich einfach das Programm lokal installiere und nur das Lizenzfile auf dem Server gespeichert wird.

Das Kopieren an sich ist schon mal sehr viel schneller.
Bitte warten ..
Mitglied: Ausserwoeger
18.12.2018 um 14:32 Uhr
Hi

Dann würde ich dir empfehlen die Konfiguration der Firewall zu prüfen und ein Firmware Update durchzuführen.

Wie wurde den der VPN Zugriff konfiguriert ??

LG
Bitte warten ..
Mitglied: gabeBU
18.12.2018 um 14:51 Uhr
vpn - Klicke auf das Bild, um es zu vergrößern

vpn2 - Klicke auf das Bild, um es zu vergrößern

Ich werde die Firmware upgraden sobald als möglich.

Danke für die Tipps.
Bitte warten ..
Mitglied: Ausserwoeger
18.12.2018 um 15:17 Uhr
Hi

Soweit sieht alles gut aus. Ich würde mir aber die SMB/CIFS Freigaben über SSL VPN gut überlegen.
Ich weiss ja nicht was ihr für einen internet Anschluss habt aber wenn es hier mehrere VPN Arbeitsplätze gibt und diese grössere Dateien Herunterladen bzw. hochladen bzw. bearbeiten kann dir das die Leistung deiner Fortigate beeinträchtigen. kommt natürlich stark auf deine genaue Konfiguration an.

Möglicherweise wäre hier ein Terminalserver eine Möglichkeit um das Arbeiten von extern zu optimieren.

LG
Bitte warten ..
Mitglied: aqui
18.12.2018 um 15:38 Uhr
Vermutlich kommen dann auch noch MTU Probleme hinzu. Vermutung ist das der TO die MTU im Tunnel nicht sauber angepasst hat bzw. die MSS auf dem lokalen LAN.
Genau dann kommt es auch zu solchen Fehlerbildern, da ein MTU Mismatch eine Layer Fragmentierung triggert so das der gesamte Traffic über die CPU geforwardet wird.
Das zieht natürlich den Durchsatz dann mehr als heftig nach unten wenn noch ein Tunnel mit VPN Overhead dazuwischen ist.
Bitte warten ..
Mitglied: gabeBU
19.12.2018, aktualisiert um 08:12 Uhr
Ist das ein Problem, bei max. 5 Usern? WIr sind ein sehr kleines Unternehmen...

Und grössere Dateien werden eig. nicht kopiert, es handelt sich nur um normale Dokumente.
Bitte warten ..
Mitglied: Ausserwoeger
19.12.2018 um 16:10 Uhr
Hi

Was sind den Normale Dokumente ! Ein Autocad Plan mit 40 MB ist für einen Architekt auch ein normales Dokument !

Bei 5 Usern sollte sowas nicht vorkommen. Hängt aber auch von der internetleitung ab bzw. allem anderen !!
Wenn der Mailserver 1000 Mails rausschickt über die 4Mbit Leitung dann kann sowas schon vorkommen.

Das ist aber nur reines raten hier da müsste mal ein Techniker drüber schauen.

LG
Bitte warten ..
Mitglied: gabeBU
19.12.2018 um 16:40 Uhr
Mit normalen Dokumente meine Ich Word-DOkumente, die vielleicht maximal 2-3 MB gross sind...

Ja, unsere Leitung ist leider nur 40mbit Schnell, weil sie kein Glasfaser verlegen.
Bitte warten ..
Mitglied: Ausserwoeger
20.12.2018 um 08:18 Uhr
Hi

Naja 40 MBit Download ist ja bei 5 Externen Usern ganz OK. Es geht zwar in dem Fall um den Upload aber der wird ja auch bei min 10 Mbit liegen denk ich mal. Das sollte reichen.

LG
Bitte warten ..
Mitglied: gabeBU
20.12.2018 um 08:21 Uhr
Wir haben schon mehr Usern (Ist eine Berufsschule), aber nur diese Nutzer nutzen VPN.

Gesamt haben wir gegen 100 User...^^.
Bitte warten ..
Mitglied: Ausserwoeger
20.12.2018 um 08:31 Uhr
Zitat von gabeBU:

Wir haben schon mehr Usern (Ist eine Berufsschule), aber nur diese Nutzer nutzen VPN.

Gesamt haben wir gegen 100 User...^^.

Naja aber da werden ja nicht alle 100 gleichzeitig ins netz gehen oder ?? Wenn da mal ne Klasse drin is sind das 20 leute !
Warum habt ihr eigendlich die Fortigate als VM gekauft ? Wäre da nicht eine Box (mit optimiertem Board (Chips) ) besser gewesen ? Damit hättet ihr auch mehr Leistung wenn da der gesammt Datenverkehr drüber muss.

LG Andy
Bitte warten ..
Mitglied: gabeBU
20.12.2018 um 08:37 Uhr
Das kann ich dir nicht beantworten, ich habe im Sommer die Infrastruktur übernommen und der hat das so aufgezogen. Es funktioniert auch zu grössten Teilen gut...

der Grund könnte sein, dass es Kostengünstiger ist.

Es sind mehrere Klassen im Netz aktiv (wir haben verschiedene Lehrgänge), wie du vielleicht an den Subnetzen erkennst, deswegen kann es schon sein, dass 100 Leute gleichzeitig aktiv sind.
Bitte warten ..
Mitglied: Ausserwoeger
20.12.2018 um 08:40 Uhr
hmmm...

Ja dann würde ich schon versuchen hier noch etwas aufzurüsten. Hat aber mit deinem Problem nix zu tun.

LG
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Subnet Routing
Frage von Markus93Netzwerkgrundlagen4 Kommentare

Moin liebe Genossen, ich als eingefleischter Softwareentwickler wurde nun zum aufstellen der neuen Server-Infrastruktur verdonnert - Für mich ist ...

Microsoft Office
Word bestimmt Sprache selbst
gelöst Frage von honeybeeMicrosoft Office1 Kommentar

Hallo, habe in Word 2016 ein nerviges Problem: Auf meinem Computer (Windows 10) sind zwei Sprachen installiert: Deutsch und ...

Netzwerkgrundlagen
Zugriff auf Subnet
Frage von skr150Netzwerkgrundlagen4 Kommentare

Hallo, ich habe da ein Verständnisproblem. Aufbau: Kabelmodem Fritzbox(Router) PC Der PC bekommt eine IP von der Fritzbox im ...

Windows Server
DHCP Subnet Option 118
Frage von makaroniWindows Server1 Kommentar

Hallo zusammen, ich suche gerade im Server 2016 in der DHCP App die Option 118 (Subnet Options). Diese ist ...

Neue Wissensbeiträge
Webbrowser
Mozilla Firefox 77 verfügbar
Information von Frank vor 7 StundenWebbrowser

Mozilla hat Firefox Version 77 freigegeben. Neben Verbesserungen an "Pocket", einigen Sicherheitsupdates, einer bessere Übersicht für TLS-Zertifikate, wurde der ...

Informationsdienste

Beendet: Timo Wölken und Julia Reda reden jetzt live auf Twitch über Uploadfilter, Rezo, Trump und Twitter

Information von Frank vor 8 StundenInformationsdienste

Wer Interesse zum kommenden Uploadfilter, Rezo, Trump und Twitter hat, kann nun unter twitch.tv der Diskussion beitreten: 03.06.2020 ab ...

Windows 10
Windows2Go ist nun scheintot
Information von DerWoWusste vor 11 StundenWindows 10

Microsoft hat mit Win10 v2004 Windows to go entfernt (sprich: der eingebaute Wizard zur Erstellung wurde entfernt). Wer weiterhin ...

iOS
IOS iPadOS 13.5.1 erschienen
Information von sabines vor 18 StundeniOS

Recht kurz nach iOS 13.5.0 ist gestern iOS/iPadOS in der Version 13.5.1 für IPhone und IPad erschienen. Es schließt ...

Heiß diskutierte Inhalte
Informationsdienste
Die Zerstörung der Presse - Youtuber Rezo möchte Missstände in unserer Mediengesellschaft aufzeigen, um sie zu lösen
Information von FrankInformationsdienste61 Kommentare

Youtuber Rezo greift in seinem neuen Video den Boulevard an, warnt vor allem vor Verschwörungen und richtet einen Appell ...

Netzwerkgrundlagen
Um welches Kabel handelt es sich?
gelöst Frage von Frodo.FFNetzwerkgrundlagen20 Kommentare

Hallo liebe Gemeinde, im neu erworbenen Haus, knapp 20 Jahre alt, sind im Heizungskeller als auch in den Räumen ...

Microsoft Office
Exchange Kennwort geändert
gelöst Frage von jensgebkenMicrosoft Office20 Kommentare

Hallo Gemeinschaft, habe mein Exchange Kennwort geändert - wo kann ich diese Kennwortänderung bei Outlook eintragen - bei Kontoeinstellungen ...

LAN, WAN, Wireless
Mehrere SSIDs auf einem AP
gelöst Frage von yamaha0815LAN, WAN, Wireless16 Kommentare

Hallo zusammen, ich stoße im Moment mit den APs von Unifi/Ubiquity an Grenzen. Es geht um folgendes: In einem ...