防火墙与L3交换机的路由选择
因此,我们有一个使用多个接口连接到FortiNet防火墙的环境,这些VLAN连接到L3戴尔PowerConnect 6248 P交换机。
目前,FortiNet是为所有网络的路由设置,但我很好奇,性能的好处,我们可以从FortiNet转移到戴尔交换机。我在戴尔交换机上为我们网络上的几个VLAN创建了一个IP地址,并确保在交换机上启用了路由。然后,我将我的计算机设置为使用该交换机的新测试网关。
我做了一个简单的ping测试来获得延迟,每次我在交换机上为那个VLAN点击新的IP地址时,它平均返回大约1.5ms。
如果我改回去,使我的网关通过FortiNet来完成路由,并在FortiNet上为VLAN分配IP地址,则平均延迟为0.5ms。
通过L3交换机进行路由难道不应该减少FortiNet上的延迟吗?
我是不是错过了一些明显的关键部分,以使这一工作,如我所预期的?
回答 2
Network Engineering用户
发布于 2014-10-30 10:35:55
我是不是错过了一些明显的关键部分,以使这一工作,如我所预期的?
您不应将发送到交换机的通信的延迟与通过交换机的延迟混淆。
当您在交换机上切换VLAN接口时,您经常会碰到CPU/Control平面,在大多数企业级交换机中,CPU/Control平面并不是一个非常强大的处理器,并且以非常低的优先级对待入站ICMP。
重新运行您的测试,快速敲击一个设备(多次)在另一个子网时,防火墙是网关,再次当交换机是网关。您可能会发现,延迟度量现在几乎无法区分。
但是,您将获得最佳性能改进的地方是路由吞吐量--大多数交换机应该能够以线速率路由L3 (至少大多数交换机的大多数接口应该是这样)。
使用像iperf这样的工具来测量不同子网上两个主机之间的吞吐量,同时使用防火墙和路径中的开关,看看结果是什么样子。
您没有提到您的防火墙模型,但它可以处理1 1Gbps的流量,没有任何问题,所以一定要扩大您的测试!
Network Engineering用户
发布于 2021-01-28 18:32:08
看来你的方向是对的。由于防火墙是安全设备,优化其路由特性,提高防火墙性能,最好将路由部分转移到戴尔交换机。
Layer3戴尔交换机能够执行路由。因此,最好和优化的方式是在戴尔的交换机上设置网关。
https://networkengineering.stackexchange.com/questions/12733
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号