1 / 20

Skalowanie wydajności, konfiguracje ClusterXL, SecureXL i CoreXL

Skalowanie wydajności, konfiguracje ClusterXL, SecureXL i CoreXL. J. Prokop Check Point. Skalowanie wydajności oprogramowania. Trzy produkty kategorii „XL”: ClusterXL : łączenie urządzeń w klastry ClusterXL LS for VPN-1 and Connectra ClusterXL VSLS for VSX VSLS

hal
Download Presentation

Skalowanie wydajności, konfiguracje ClusterXL, SecureXL i CoreXL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Skalowanie wydajności, konfiguracje ClusterXL, SecureXL i CoreXL J. ProkopCheck Point

  2. Skalowanie wydajności oprogramowania Trzy produkty kategorii „XL”: • ClusterXL: łączenie urządzeń w klastry • ClusterXL LS for VPN-1 and Connectra • ClusterXL VSLS for VSX VSLS • Nokia IP Clustering, Crossbeam X80 itp • SecureXL (Accelerated Path) • Hardware: (Nokia) ADP • Software: • Performance Pack (SecurePlatform, Crossbeam XOS) • IPSO SecureXL implementation („fastpath”, SecureXL) • CoreXL: wielordzeniowa implementacja Firewall Path / Middle Path

  3. Cluster XL Cele klastrowania urzadzeń: • Zwiększenie niezawodności • Zwiększenie wydajności

  4. Cluster XL Problemy rozwiązywane przy klastrowaniu: • Sieć (adresy MAC, IP) • Synchronizacja (asynchroniczny routing pakietów, krótkotrwałe sesje, sposoby dzielenia sesji między węzłami)

  5. Cluster XL z ograniczoną liczbą adresów IP

  6. Accelerated Path (brak „wzorca” – template) Core #4 Core #... Core #... FW Path FW Path FW Path Medium Path Medium Path Medium Path Queue Queue Queue Core #0 Core #1 Secure Dispatcher Secure Dispatcher Performance Pack Performance Pack eth0 eth1 Syn SynAck + subsequent S2C packets Subsequent C2S packets

  7. Accelerated Path (ze „wzorcem” – template) Core #4 Core #... Core #... FW Path FW Path FW Path Medium Path Medium Path Medium Path Queue Queue Queue Core #0 Core #1 Secure Dispatcher Secure Dispatcher Performance Pack Performance Pack eth0 eth1 Syn + subsequent C2S packets SynAck + subsequent S2C packets

  8. Medium Path – IPS Traffic Core #4 Core #... Core #... FW Path FW Path FW Path Medium Path Medium Path Medium Path Queue Queue Queue Core #0 Core #1 Secure Dispatcher Secure Dispatcher Performance Pack Performance Pack eth0 eth1 Syn + subsequent C2S packets SynAck + subsequent S2C packets

  9. Monitorowanie CoreXL Funkcja hash rozdzielająca sesje pomiędzy instancjami (rdzeniami): • Source IP address • Destination IP address • Destination TCP/UDP port • IP protocol number VoIP i IPSec : zawsze na instancji „0” ! • Nie ma tu portu źródłowego: • konserwatywna, słabo rozrzucająca funkcja • Jeżeli grupa klientów pracuje za • translatorem adresów na pojedynczym • serwerze to wszyscy będą przetwarzani na • tym samym rdzeniu.

  10. Monitorowanie ścieżek pakietów:accelerated / firewall / medium # fwaccel stat SXL on/off Templates enabled? Disabled after rule # X ? # fwaccel stats Firewall path: F2F Accelerated path: accel Medium path: PXL (* dopiero od wersji R70 *) # fwaccel conns C2S, S2C: client2server, server2client flaga „F” : firewall, connection not accelerated # fwaccel templates

  11. # fwaccel stats [Expert@cpmodule]# fwaccel stats Name Value Name Value -------------------- --------------- -------------------- --------------- conns created 7136 conns deleted 5969 temporary conns 0 templates 10 nat conns 0 accel packets 32044625 accel bytes 7559714608 F2F packets 7319991 ESP enc pkts 0 ESP enc err 0 ESP dec pkts 0 ESP dec err 0 ESP other err 0 espudp enc pkts 0 espudp enc err 0 espudp dec pkts 0 espudp dec err 0 espudp other err 0 AH enc pkts 0 AH enc err 0 AH dec pkts 0 AH dec err 0 AH other err 0 memory used 0 free memory 0 acct update interval 3600 current total conns 22 TCP violations 8 conns from templates 3999624 TCP conns 12 delayed TCP conns 0 non TCP conns 10 delayed nonTCP conns 0F2F conns 2 F2F bytes 493868773crypt conns 0 enc bytes 0 dec bytes 0 partial conns 0 anticipated conns 0 dropped packets 1498945 dropped bytes 143185454 nat templates 0 port alloc templates 0 conns from nat tmpl 0 port alloc conns 0 port alloc f2f 0 PXL templates 5 PXL conns 5 PXL packets 126 PXL bytes 34254 PXL async packets 126 FW path

  12. # fwaccel stats [Expert@cpmodule]# fwaccel stats Name Value Name Value -------------------- --------------- -------------------- --------------- conns created 7136 conns deleted 5969 temporary conns 0templates 10 nat conns 0 accel packets 32044625 accel bytes 7559714608 F2F packets 7319991 ESP enc pkts 0 ESP enc err 0 ESP dec pkts 0 ESP dec err 0 ESP other err 0 espudp enc pkts 0 espudp enc err 0 espudp dec pkts 0 espudp dec err 0 espudp other err 0 AH enc pkts 0 AH enc err 0 AH dec pkts 0 AH dec err 0 AH other err 0 memory used 0 free memory 0 acct update interval 3600 current total conns 22 TCP violations 8 conns from templates 3999624TCP conns 12 delayed TCP conns 0 non TCP conns 10 delayed nonTCP conns 0 F2F conns 2 F2F bytes 493868773 crypt conns 0 enc bytes 0 dec bytes 0 partial conns 0 anticipated conns 0 dropped packets 1498945 dropped bytes 143185454 nat templates 0 port alloc templates 0 conns from nat tmpl 0 port alloc conns 0 port alloc f2f 0 PXL templates 5 PXL conns 5 PXL packets 126 PXL bytes 34254 PXL async packets 126 Accelerated path (SecureXL)

  13. # fwaccel stats [Expert@cpmodule]# fwaccel stats Name Value Name Value -------------------- --------------- -------------------- --------------- conns created 7136 conns deleted 5969 temporary conns 0 templates 10 nat conns 0 accel packets 32044625 accel bytes 7559714608 F2F packets 7319991 ESP enc pkts 0 ESP enc err 0 ESP dec pkts 0 ESP dec err 0 ESP other err 0 espudp enc pkts 0 espudp enc err 0 espudp dec pkts 0 espudp dec err 0 espudp other err 0 AH enc pkts 0 AH enc err 0 AH dec pkts 0 AH dec err 0 AH other err 0 memory used 0 free memory 0 acct update interval 3600 current total conns 22 TCP violations 8 conns from templates 3999624 TCP conns 12 delayed TCP conns 0 non TCP conns 10 delayed nonTCP conns 0 F2F conns 2 F2F bytes 493868773 crypt conns 0 enc bytes 0 dec bytes 0 partial conns 0 anticipated conns 0 dropped packets 1498945 dropped bytes 143185454 nat templates 0 port alloc templates 0 conns from nat tmpl 0 port alloc conns 0 port alloc f2f 0PXL templates 5 PXL conns 5 PXL packets 126 PXL bytes 34254 PXL async packets 126 Middle Path pojawia się w R70 do obsługi nowego IPS (nie ma tych statystyk w R65) Medium path (IPS)

  14. Konfiguracja CoreXL/SecureXL: cpconfig [CP-R70]# cpconfig This program will let you re-configure your Check Point products configuration. Configuration Options: ---------------------- (1) Licenses and contracts (2) Administrator (3) GUI Clients (4) SNMP Extension (5) PKCS#11 Token (6) Random Pool (7) Certificate Authority (8) Certificate's Fingerprint (9) Disable Advanced Routing (10) Disable Check Point SecureXL (11) Configure Check Point CoreXL (12) Automatic start of Check Point Products (13) Exit Enter your choice (1-13) :

  15. Monitorowanie konfiguracji wielordzeniowej za pomocą ” top ”

  16. Które rdzenie obsługują interfejsy sieciowe (affinity) ? Affinity interfejsów sieciowych jest podzielone pomiędzy CPU na których działa SND (Secure Network Dispatcher)

  17. „ fwpprof ” : analiza # ./fwpprof Data collection stopped after 0 minutes and 53 seconds. Analyzing results... Performance Statistics: ---------------------------------------------------------------- CPU Component Average load Maximal load ---------------------------------------------------------------- 0 N/A 17% 20% 1 N/A 0% 2% 2 fw_5 21% 24% 3 fw_4 22% 25% 4 fw_3 22% 24% 5 fw_2 0% 2% 6 fw_1 8% 9% 7 fw_0 15% 17% ---------------------------------------------------------------- Current core optimization grade: 62%

  18. „ fwpprof ” : zalecenia konfiguracyjne Recommended configuration: ------------------------------------------------------ CPU Component ------------------------------------------------------ 0 Network |-Sync ...... |-Mgmt |-Lan1 ....... |-Lan8 1 fw_6 2 fw_5 3 fw_4 4 fw_3 5 fw_2 6 fw_1 7 fw_0 ------------------------------------------------------ VPN and VoIP traffic percentage 0% ------------------------------------------------------ Expected optimization grade following recommended changes: 68% Summary of recommendations: 1. Increase number of active instances from 6 to 7

  19. Podsumowanie i tematy ciekawych rozważań związanych z wydajnością CoreXL jest częścią każdej instalacji wielordzeniowej (nie wymaga dodatkowej licencji). CoreXL: • R65: przerwania (SPLAT kernel 2.4 / 2.6) • R70: przerwania, konfigurowalna liczba instancji, fwpprof, możliwość ignorowania procesorów

  20. Dziękuję za uwagę!

More Related