Netzwerk ausgelastet, Traffic gering
Netzwerk ist teilweise stark ausgelastet und gibt teilweise sogar Paketverluste aus, der Traffic hält sich jedoch in Grenzen. Kann das Netzwerk auch durch zu viele kleine Pakete überlastet werden?
Mahlzeit mal wieder
Ich steh hier ein wenig im Wald und versuche nach und nach die Ursache zu finden. Aber einleitend erst einmal unsere Netzwerk-Struktur:
- insgesamt 10 Subnetze (an verschiedenen Standorten), Ip-Bereiche von 192.168.16.XX - 192.168.28.XX
- mein Subnetz ist das "Rechenzentrum", wo auch die meisten Server stehen (darunter Terminal Server, SQL, Domain Controller, etc.)
- jedes Subnetz hat einen IP-Cop als Firewall, welcher mindestens mit meinem Subnetz per OpenVPN verbunden ist
- IpCops sind ausreichend dimensioniert, alles Server mit Gigabit-Netzwerk-Anschlüssen, mind. 2 GB RAM und nem DualCore drin
- Hausintern ist in meinem Netz alles mit Gigabit verbunden (Switche, Netzwerkkarten, etc.) in den restlichen Niederlassungen alles mit 100 MBit
- die Netze untereinander sind mitd SDSL im Bereich zwischen 10 und 2 MBit verbunden, je nach Größe und Anzahl der Rechner
auf dem IpCops sind derzeit mindestens 2 Arten von Netzwerkgraphen installiert. Zum einen der normale, wo ich den Traffic sowohl auf der Grünen als auch auf der roten Seite sehe und teilweise schon Extra-Graphs, wo ich mit die Daten für die einzelnen Tunnel mitloggen lasse (ich kann also den Traffic zu jedem Subnetz separat betrachten und als 24 Stunden Graph anzeigen lassen.
Die Netzwerklast selber ist nicht sonderlich voll. Sicherlich gibts hier und da mal wieder Spitzen, sobald größere Datenmengen geschoben werden, aber bei meiner 10 MBit Leitung ist selten der Traffic höher als 600 KB/s, dennoch klemmts an allen ecken und Enden. Dies fing damit an, als der Domain-controller in mein "Rechenzentrum" umgezogen ist. Jeder Rechner in jeder Niederlassung ist per RDP auf einem meiner Terminal-Server tätig, sollten aber insgesamt nicht mehr als 100 Arbeitsplätze sein. hinzu kommen eben noch diverse andere Sachen.
Dem Traffic-Monitor traue ich irgendwie nicht mehr richtig, denn eigentlich habe ich das Gefühl, das das Netzwerk voll ausgelastet ist. Symptome sind zum Beispiel kurzzeitige Abbrüche der verbindungen zum Terminal-Server (ca 10 Sekunden warten, dann gehts weiter), störungen in der Ip-Phonie, etc.
Meine Zwei Ideen sind nun folgende:
1. Der Netzwerk-Traffic-monitor arbeitet nicht wirklich korrekt und unterschlägt einige Sachen.
2. Die Menge an Anmelde- und Abmelde-Paketen, die vom Domain-Controller beantwortet werden müssen, drücken das Netz zu
Jetzt meine Frage:
ist es möglich irgendwie zu messen, wie viele Pakete durchs Netz fliegen (also nicht Masse sondern Menge) und wenn ja, welche Werte sagen mir dann, das das Netz dicht ist? Wenn ich als beispiel mitloggen würde und käme auf eine Zahl (ich hab jetzt wirklich keiner Größenvorstellungen) von sagen wir 500 Paketen pro Sekunde, woher weiß ich dann, ob das wenig ist oder viel? Der Router langweilt sich, die Firewall langweilt sich, eigentlich gibts nichts signifikantes, was mir hier solche Probleme bereiten könnte.
Ist mein Gedankengang richtig, indem ich behaupte: die Masse an Paketen drückt mir das Netz zu und nicht die Menge an Daten? Wenn ja, wie kann ich das optimieren? Würde eine schnellere Leitung helfen? Wir sind kurz davor auf eine Standleitung umzubauen. Die würde mir zum einen eine 20 MBit-Leitung bringen und kein SDSL mehr, sondern eben eine richtige Standleitung, wo mein Netz nicht mehr einknickt, nur weil die halbe Nachbarschaft youtube anwirft
mit hoffnungsvollen Grüßen
Maddin
Mahlzeit mal wieder
Ich steh hier ein wenig im Wald und versuche nach und nach die Ursache zu finden. Aber einleitend erst einmal unsere Netzwerk-Struktur:
- insgesamt 10 Subnetze (an verschiedenen Standorten), Ip-Bereiche von 192.168.16.XX - 192.168.28.XX
- mein Subnetz ist das "Rechenzentrum", wo auch die meisten Server stehen (darunter Terminal Server, SQL, Domain Controller, etc.)
- jedes Subnetz hat einen IP-Cop als Firewall, welcher mindestens mit meinem Subnetz per OpenVPN verbunden ist
- IpCops sind ausreichend dimensioniert, alles Server mit Gigabit-Netzwerk-Anschlüssen, mind. 2 GB RAM und nem DualCore drin
- Hausintern ist in meinem Netz alles mit Gigabit verbunden (Switche, Netzwerkkarten, etc.) in den restlichen Niederlassungen alles mit 100 MBit
- die Netze untereinander sind mitd SDSL im Bereich zwischen 10 und 2 MBit verbunden, je nach Größe und Anzahl der Rechner
auf dem IpCops sind derzeit mindestens 2 Arten von Netzwerkgraphen installiert. Zum einen der normale, wo ich den Traffic sowohl auf der Grünen als auch auf der roten Seite sehe und teilweise schon Extra-Graphs, wo ich mit die Daten für die einzelnen Tunnel mitloggen lasse (ich kann also den Traffic zu jedem Subnetz separat betrachten und als 24 Stunden Graph anzeigen lassen.
Die Netzwerklast selber ist nicht sonderlich voll. Sicherlich gibts hier und da mal wieder Spitzen, sobald größere Datenmengen geschoben werden, aber bei meiner 10 MBit Leitung ist selten der Traffic höher als 600 KB/s, dennoch klemmts an allen ecken und Enden. Dies fing damit an, als der Domain-controller in mein "Rechenzentrum" umgezogen ist. Jeder Rechner in jeder Niederlassung ist per RDP auf einem meiner Terminal-Server tätig, sollten aber insgesamt nicht mehr als 100 Arbeitsplätze sein. hinzu kommen eben noch diverse andere Sachen.
Dem Traffic-Monitor traue ich irgendwie nicht mehr richtig, denn eigentlich habe ich das Gefühl, das das Netzwerk voll ausgelastet ist. Symptome sind zum Beispiel kurzzeitige Abbrüche der verbindungen zum Terminal-Server (ca 10 Sekunden warten, dann gehts weiter), störungen in der Ip-Phonie, etc.
Meine Zwei Ideen sind nun folgende:
1. Der Netzwerk-Traffic-monitor arbeitet nicht wirklich korrekt und unterschlägt einige Sachen.
2. Die Menge an Anmelde- und Abmelde-Paketen, die vom Domain-Controller beantwortet werden müssen, drücken das Netz zu
Jetzt meine Frage:
ist es möglich irgendwie zu messen, wie viele Pakete durchs Netz fliegen (also nicht Masse sondern Menge) und wenn ja, welche Werte sagen mir dann, das das Netz dicht ist? Wenn ich als beispiel mitloggen würde und käme auf eine Zahl (ich hab jetzt wirklich keiner Größenvorstellungen) von sagen wir 500 Paketen pro Sekunde, woher weiß ich dann, ob das wenig ist oder viel? Der Router langweilt sich, die Firewall langweilt sich, eigentlich gibts nichts signifikantes, was mir hier solche Probleme bereiten könnte.
Ist mein Gedankengang richtig, indem ich behaupte: die Masse an Paketen drückt mir das Netz zu und nicht die Menge an Daten? Wenn ja, wie kann ich das optimieren? Würde eine schnellere Leitung helfen? Wir sind kurz davor auf eine Standleitung umzubauen. Die würde mir zum einen eine 20 MBit-Leitung bringen und kein SDSL mehr, sondern eben eine richtige Standleitung, wo mein Netz nicht mehr einknickt, nur weil die halbe Nachbarschaft youtube anwirft
mit hoffnungsvollen Grüßen
Maddin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 161869
Url: https://administrator.de/contentid/161869
Ausgedruckt am: 16.11.2024 um 17:11 Uhr
4 Kommentare
Neuester Kommentar
Ja, sofern du mangebare Switches hast ist die Auslastung recht einfach portweise mit MRTG, Paessler oder Cacti usw. via SNMP zu messen.
http://www.cacti.net/
http://oss.oetiker.ch/mrtg/
http://www.de.paessler.com/info/network_traffic_monitor
http://www.wtcs.org/informant/stg.htm
Damit hast du dann wirklich reale Daten.
Alternativ kannst du mit NetIO auch einmal einen Durchsatztest über deine Links und Verbindungen machen zu verkehrsarmen Zeiten um einmal überhaupt einen verlässlichen vergleichswert zu bekommen was Durchsatz technisch überhaupt möglich ist in deiner Infrastruktur:
http://www.nwlab.net/art/netio/netio.html
Und das gleich für unterschiedliche Paketgrößen.
An deinen OpenVPN Routern liegt es sicher nicht denn solche völlig überdimensionierten Systeme wie du sie hast sind gar nicht nötig (Sofern die nicht nebenbei noch Server spielen, was dann allerdings fatal wäre...) . Das klappt auch mit kleinen Router/FW Appliances die schaffen den Durchsatz spielend:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wichtig ist das du einen verlässlichen Performance Wert für deine WAN leitungen hast.
Relevant sind dazu z.B. solche Dinge ob du UDP oder TCP für den VPN Tunnel nutzt, und ob du keine Loops oder Broadcast Stürme im lokalen Netzwerk hast usw. usw.
Zu alledem sagst du nichts so das man dir mit so wenig Infos keine wirkliche Hilfestellung geben kann. Dazu müsste man das Netz und die Trafficart- und Auslastung besser kennen.
Minimum sind die o.a. Messungen dazu nötig und mit sicherheit auch einmal ein Wireshark Trace um lokale Probleme ausschliessen zu können.
Logischerweise ist das über ein Forum nicht so einfach zu machen...da musst du schon selbst Hand anlegen !!
http://www.cacti.net/
http://oss.oetiker.ch/mrtg/
http://www.de.paessler.com/info/network_traffic_monitor
http://www.wtcs.org/informant/stg.htm
Damit hast du dann wirklich reale Daten.
Alternativ kannst du mit NetIO auch einmal einen Durchsatztest über deine Links und Verbindungen machen zu verkehrsarmen Zeiten um einmal überhaupt einen verlässlichen vergleichswert zu bekommen was Durchsatz technisch überhaupt möglich ist in deiner Infrastruktur:
http://www.nwlab.net/art/netio/netio.html
Und das gleich für unterschiedliche Paketgrößen.
An deinen OpenVPN Routern liegt es sicher nicht denn solche völlig überdimensionierten Systeme wie du sie hast sind gar nicht nötig (Sofern die nicht nebenbei noch Server spielen, was dann allerdings fatal wäre...) . Das klappt auch mit kleinen Router/FW Appliances die schaffen den Durchsatz spielend:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wichtig ist das du einen verlässlichen Performance Wert für deine WAN leitungen hast.
Relevant sind dazu z.B. solche Dinge ob du UDP oder TCP für den VPN Tunnel nutzt, und ob du keine Loops oder Broadcast Stürme im lokalen Netzwerk hast usw. usw.
Zu alledem sagst du nichts so das man dir mit so wenig Infos keine wirkliche Hilfestellung geben kann. Dazu müsste man das Netz und die Trafficart- und Auslastung besser kennen.
Minimum sind die o.a. Messungen dazu nötig und mit sicherheit auch einmal ein Wireshark Trace um lokale Probleme ausschliessen zu können.
Logischerweise ist das über ein Forum nicht so einfach zu machen...da musst du schon selbst Hand anlegen !!
Das ist schon eins der ersten Probleme. TCP zu benutzen ist kontraproduktiv, denn das erniedrigt die VPN Performance erheblich. Generell wird davon abgeraten bei OpenVPN TCP zu benutzen sondern bei UDP zu bleiben. Ebenso den OVPN auch NICHT im Bridging Mode zu betreiben sondern immer im Router Mode was du aber vermutlich auch richtigerweise machst.
Alle diese Schrauben bestimmen die Gesamtperformance. Also erstmal messen dann weist du woran du bist !
Alle diese Schrauben bestimmen die Gesamtperformance. Also erstmal messen dann weist du woran du bist !
Zitat von @kruemeltee:
Meine Zwei Ideen sind nun folgende:
1. Der Netzwerk-Traffic-monitor arbeitet nicht wirklich korrekt und unterschlägt einige Sachen.
2. Die Menge an Anmelde- und Abmelde-Paketen, die vom Domain-Controller beantwortet werden müssen, drücken das Netz zu
Meine Zwei Ideen sind nun folgende:
1. Der Netzwerk-Traffic-monitor arbeitet nicht wirklich korrekt und unterschlägt einige Sachen.
2. Die Menge an Anmelde- und Abmelde-Paketen, die vom Domain-Controller beantwortet werden müssen, drücken das Netz zu
ist der Exchange mit auf einem AD Controller? Und wie sieht die CPU Last aus - wenn der AD Controller voll ausgelastet ist und der wie "bescheuert" Anmeldedaten übers Netz schiebt kann es ein falsches/abgelaufenes Cert am Exchange der Grund sein (der IIS Worker Process bombt dir dann auch das Logfile voll), des weitren ein Trojaner oder ähnliches auf mehreren Rechner das die ganze Zeit versucht Passwörte auszuspähen bzw. sich einer simplen Bruteforceattacke bedient, ich würde evtl. auch mal mit Wireshark schauen was für eine Art an Traffic im Netz umherschwiert, auf der Seite davon gibt es in Verbindung mit WinPcap ein paar gute Videos wie man das analysieren kann.
Es kann auch sehr Trivial sein: zwei User tauschen Ihre YouTube/Pxrx Sammlung aus
Und zum SDSL - ist das "nur" ein SDSL oder schon ein CompanyConnect der Telekom? (letzteres wird direkt zum Telekom Knoten geroutet - ersteres erstmal in die TDSL-Business Wolke (lt. Aussage der Telekom)) - in dem Bereich hatte ich anfangs auch Probleme, hing nachher aber damit zusammen das das VPN Gateway nicht die gleiche Version wie die am Außenstandort hatte (wir haben alles per Watchguard verbunden und mittlerweile auch alle Niederlassungen per CompanyConnect angeschlossen und nicht mehr per TDSL Business weil das zuviel Stress gab)