4Developers2015: Serwis z kamerkami - pole minowe wydajności - Łukasz Łuczak
Skalowanie wydajności, konfiguracje ClusterXL, SecureXL i CoreXL
description
Transcript of Skalowanie wydajności, konfiguracje ClusterXL, SecureXL i CoreXL
[Unrestricted]—For everyone©2009 Check Point Software Technologies Ltd. All rights reserved.
Skalowanie wydajności, konfiguracje ClusterXL, SecureXL i CoreXL
Skalowanie wydajności, konfiguracje ClusterXL, SecureXL i CoreXL
J. ProkopCheck Point
2[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Skalowanie wydajności oprogramowaniaSkalowanie wydajności oprogramowania
Trzy produkty kategorii „XL”:
ClusterXL: łączenie urządzeń w klastry– ClusterXL LS for VPN-1 and Connectra
– ClusterXL VSLS for VSX VSLS
– Nokia IP Clustering, Crossbeam X80 itp
SecureXL (Accelerated Path)– Hardware: (Nokia) ADP
– Software: » Performance Pack (SecurePlatform, Crossbeam XOS)» IPSO SecureXL implementation („fastpath”, SecureXL)
CoreXL: wielordzeniowa implementacja Firewall Path / Middle Path
3[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Cluster XLCluster XL
Cele klastrowania urzadzeń: Zwiększenie niezawodności Zwiększenie wydajności
4[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Cluster XLCluster XL
Problemy rozwiązywane przy klastrowaniu:
- Sieć (adresy MAC, IP)
- Synchronizacja (asynchroniczny routing pakietów, krótkotrwałe sesje, sposoby dzielenia sesji między węzłami)
5[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Cluster XL z ograniczoną liczbą adresów IPCluster XL z ograniczoną liczbą adresów IP
6[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Performance Pack
Secure Dispatcher
Core #0
Core #4
Medium Path
FW Path
Queue
Accelerated Path (brak „wzorca” – template)Accelerated Path (brak „wzorca” – template)
Performance Pack
Secure Dispatcher
Core #1
eth0 eth1
Core #...
Medium Path
FW Path
Queue
Core #...
Medium Path
FW Path
Queue
SynSynAck + subsequent S2C packetsSubsequent C2S packets
7[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Performance Pack
Secure Dispatcher
Core #0
Core #4
Medium Path
FW Path
Queue
Accelerated Path (ze „wzorcem” – template)Accelerated Path (ze „wzorcem” – template)
Performance Pack
Secure Dispatcher
Core #1
eth0 eth1
Core #...
Medium Path
FW Path
Queue
Core #...
Medium Path
FW Path
Queue
Syn + subsequent C2S packetsSynAck + subsequent S2C packets
8[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Performance Pack
Secure Dispatcher
Core #0
Core #4
Medium Path
FW Path
Queue
Medium Path – IPS TrafficMedium Path – IPS Traffic
Performance Pack
Secure Dispatcher
Core #1
eth0 eth1
Core #...
Medium Path
FW Path
Queue
Core #...
Medium Path
FW Path
Queue
Syn + subsequent C2S packetsSynAck + subsequent S2C packets
9[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Monitorowanie CoreXLMonitorowanie CoreXL
Funkcja hash rozdzielająca sesje pomiędzy instancjami (rdzeniami):
Source IP address Destination IP address Destination TCP/UDP port IP protocol number
VoIP i IPSec : zawsze na instancji „0” !
Nie ma tu portu źródłowego:• konserwatywna, słabo rozrzucająca
funkcja
Jeżeli grupa klientów pracuje zatranslatorem adresów na pojedynczymserwerze to wszyscy będą przetwarzani natym samym rdzeniu.
10[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Monitorowanie ścieżek pakietów:accelerated / firewall / mediumMonitorowanie ścieżek pakietów:accelerated / firewall / medium
# fwaccel stat
SXL on/off
Templates enabled? Disabled after rule # X ?
# fwaccel stats
Firewall path: F2F
Accelerated path: accel
Medium path: PXL (* dopiero od wersji R70 *)
# fwaccel conns
C2S, S2C: client2server, server2client
flaga „F” : firewall, connection not accelerated
# fwaccel templates
11[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
# fwaccel stats# fwaccel stats
[Expert@cpmodule]# fwaccel statsName Value Name Value -------------------- --------------- -------------------- ---------------conns created 7136 conns deleted 5969temporary conns 0 templates 10nat conns 0 accel packets 32044625accel bytes 7559714608 F2F packets 7319991ESP enc pkts 0 ESP enc err 0ESP dec pkts 0 ESP dec err 0ESP other err 0 espudp enc pkts 0espudp enc err 0 espudp dec pkts 0espudp dec err 0 espudp other err 0AH enc pkts 0 AH enc err 0AH dec pkts 0 AH dec err 0AH other err 0 memory used 0 free memory 0 acct update interval 3600 current total conns 22 TCP violations 8 conns from templates 3999624 TCP conns 12 delayed TCP conns 0 non TCP conns 10 delayed nonTCP conns 0 F2F conns 2 F2F bytes 493868773 crypt conns 0 enc bytes 0 dec bytes 0 partial conns 0 anticipated conns 0 dropped packets 1498945 dropped bytes 143185454 nat templates 0 port alloc templates 0 conns from nat tmpl 0 port alloc conns 0 port alloc f2f 0 PXL templates 5 PXL conns 5 PXL packets 126 PXL bytes 34254 PXL async packets 126
FW path
12[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
# fwaccel stats# fwaccel stats
[Expert@cpmodule]# fwaccel statsName Value Name Value -------------------- --------------- -------------------- ---------------conns created 7136 conns deleted 5969temporary conns 0 templates 10nat conns 0 accel packets 32044625accel bytes 7559714608 F2F packets 7319991ESP enc pkts 0 ESP enc err 0ESP dec pkts 0 ESP dec err 0ESP other err 0 espudp enc pkts 0espudp enc err 0 espudp dec pkts 0espudp dec err 0 espudp other err 0AH enc pkts 0 AH enc err 0AH dec pkts 0 AH dec err 0AH other err 0 memory used 0 free memory 0 acct update interval 3600 current total conns 22 TCP violations 8 conns from templates 3999624 TCP conns 12 delayed TCP conns 0 non TCP conns 10 delayed nonTCP conns 0 F2F conns 2 F2F bytes 493868773 crypt conns 0 enc bytes 0 dec bytes 0 partial conns 0 anticipated conns 0 dropped packets 1498945 dropped bytes 143185454 nat templates 0 port alloc templates 0 conns from nat tmpl 0 port alloc conns 0 port alloc f2f 0 PXL templates 5 PXL conns 5 PXL packets 126 PXL bytes 34254 PXL async packets 126
Accelerated path(SecureXL)
13[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
# fwaccel stats# fwaccel stats
[Expert@cpmodule]# fwaccel statsName Value Name Value -------------------- --------------- -------------------- ---------------conns created 7136 conns deleted 5969temporary conns 0 templates 10nat conns 0 accel packets 32044625accel bytes 7559714608 F2F packets 7319991ESP enc pkts 0 ESP enc err 0ESP dec pkts 0 ESP dec err 0ESP other err 0 espudp enc pkts 0espudp enc err 0 espudp dec pkts 0espudp dec err 0 espudp other err 0AH enc pkts 0 AH enc err 0AH dec pkts 0 AH dec err 0AH other err 0 memory used 0 free memory 0 acct update interval 3600 current total conns 22 TCP violations 8 conns from templates 3999624 TCP conns 12 delayed TCP conns 0 non TCP conns 10 delayed nonTCP conns 0 F2F conns 2 F2F bytes 493868773 crypt conns 0 enc bytes 0 dec bytes 0 partial conns 0 anticipated conns 0 dropped packets 1498945 dropped bytes 143185454 nat templates 0 port alloc templates 0 conns from nat tmpl 0 port alloc conns 0 port alloc f2f 0 PXL templates 5 PXL conns 5 PXL packets 126 PXL bytes 34254 PXL async packets 126
Medium path(IPS)
Middle Path pojawia się w R70 do obsługi nowegoIPS (nie ma tych statystyk wR65)
14[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Konfiguracja CoreXL/SecureXL: cpconfigKonfiguracja CoreXL/SecureXL: cpconfig
[CP-R70]# cpconfigThis program will let you re-configureyour Check Point products configuration.
Configuration Options:----------------------(1) Licenses and contracts(2) Administrator(3) GUI Clients(4) SNMP Extension(5) PKCS#11 Token(6) Random Pool(7) Certificate Authority(8) Certificate's Fingerprint(9) Disable Advanced Routing
(10) Disable Check Point SecureXL(11) Configure Check Point CoreXL(12) Automatic start of Check Point Products
(13) Exit
Enter your choice (1-13) :
15[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Monitorowanie konfiguracji wielordzeniowej za pomocą ” top ”Monitorowanie konfiguracji wielordzeniowej za pomocą ” top ”
16[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Które rdzenie obsługują interfejsy sieciowe (affinity) ?Które rdzenie obsługują interfejsy sieciowe (affinity) ?
Affinity interfejsów sieciowych jest podzielone pomiędzy CPU na których działa SND (Secure Network Dispatcher)
17[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
„ fwpprof ” : analiza „ fwpprof ” : analiza
# ./fwpprof
Data collection stopped after 0 minutes and 53 seconds.Analyzing results...
Performance Statistics:---------------------------------------------------------------- CPU Component Average load Maximal load---------------------------------------------------------------- 0 N/A 17% 20% 1 N/A 0% 2% 2 fw_5 21% 24% 3 fw_4 22% 25% 4 fw_3 22% 24% 5 fw_2 0% 2% 6 fw_1 8% 9% 7 fw_0 15% 17%----------------------------------------------------------------
Current core optimization grade: 62%
18[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Recommended configuration:------------------------------------------------------ CPU Component------------------------------------------------------ 0 Network |-Sync ...... |-Mgmt |-Lan1 ....... |-Lan8 1 fw_6 2 fw_5 3 fw_4 4 fw_3 5 fw_2 6 fw_1 7 fw_0------------------------------------------------------VPN and VoIP traffic percentage 0%------------------------------------------------------Expected optimization grade following recommended changes: 68%Summary of recommendations:1. Increase number of active instances from 6 to 7
„ fwpprof ” : zalecenia konfiguracyjne„ fwpprof ” : zalecenia konfiguracyjne
19[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Podsumowanie i tematy ciekawych rozważań związanych z wydajnością Podsumowanie i tematy ciekawych rozważań związanych z wydajnością
CoreXL jest częścią każdej instalacji wielordzeniowej
(nie wymaga dodatkowej licencji).
CoreXL:– R65: przerwania (SPLAT kernel 2.4 / 2.6)– R70: przerwania, konfigurowalna liczba instancji, fwpprof,
możliwość ignorowania procesorów
20[Unrestricted]—For everyone
©2009 Check Point Software Technologies Ltd. All rights reserved.
Dziękuję za uwagę!