因此,我们有一个环境,其中多个 VLAN 连接到 FortiNet 防火墙,使用多个接口中继回我们的 L3 Dell PowerConnect 6248P 交换机。
目前 FortiNet 被设置为为所有网络进行路由,但我很好奇通过将路由从 FortiNet 移动到戴尔交换机可能获得的性能优势。我通过在戴尔交换机上为我们网络上的几个 VLAN 创建 IP 地址创建了一个测试,并确保在交换机上启用了路由。然后我将我的计算机设置为使用该交换机的新测试网关。
我做了一个简单的 ping 测试来获得延迟,每次我在交换机上 ping 那个 VLAN 的新 IP 地址时,它平均返回大约 1.5 毫秒。
如果我改回去,让我的网关通过 FortiNet,它会路由并 ping 为 FortiNet 上的 VLAN 分配的 IP 地址,我得到的平均延迟为 0.5 毫秒。
通过 L3 交换机的路由难道不应该减少 FortiNet 上的延迟吗?
我是否遗漏了一些明显的关键部分来使这项工作如我所料?
我是否遗漏了一些明显的关键部分来使这项工作如我所料?
你不可以混淆注定交通延迟到交换机于延迟通过交换机。
当您 ping 交换机上的 VLAN 接口时,您经常会遇到 CPU/控制平面,在大多数企业级交换机的情况下,它不是一个非常强大的处理器,并且以非常低的优先级处理诸如入站 ICMP 之类的事情.
当防火墙是网关时,通过快速 ping 另一个子网上的设备(多次)重新运行您的测试,当交换机是网关时再次运行。您可能会发现延迟测量现在几乎无法区分。
您将获得最佳性能改进的地方是路由吞吐量 - 大多数交换机应该能够以线速路由 L3(至少大多数交换机应该用于大多数接口)。
使用像 iperf 这样的工具来测量不同子网上的两台主机之间的吞吐量,防火墙和交换机都在路径中,看看你的结果是什么样的。
您没有提到防火墙的型号,但它可以毫无问题地处理 1Gbps 的流量,因此请务必扩展您的测试!
看来你的方向是对的。由于防火墙是安全设备,因此优化其路由功能并提高防火墙性能。最好将路由部分移至戴尔交换机。
第 3 层戴尔交换机能够执行路由。所以最好和优化的方法是在戴尔交换机上安装网关。