Firewall cargado

Llevamos unos dias con quejas por lentitud en algunas redes, parece que el firewall esta retrasando las conexiones, y solo pasa en momentos puntuales del dia.

Echando un vistazo en general… no parece que este tan cargado.
Esto es mas o menos lo normal…
14:55:14 up 6 days, 3:48, 1 user, load average: 0.66, 0.67, 0.89
76 processes: 73 sleeping, 3 running, 0 zombie, 0 stopped
CPU states: cpu user nice system irq softirq iowait idle
total 0.0% 0.0% 0.0% 0.0% 100.0% 6.0% 293.2%
cpu00 0.0% 0.0% 0.0% 0.0% 99.6% 0.0% 0.3%
cpu01 0.1% 0.0% 0.1% 0.0% 0.0% 0.7% 98.8%
cpu02 0.1% 0.0% 0.1% 0.0% 0.3% 5.3% 93.8%
cpu03 0.0% 0.0% 0.0% 0.0% 0.0% 0.0% 100.0%
Mem: 4146828k av, 551456k used, 3595372k free, 0k shrd, 105504k buff
321860k active, 90112k inactive
Swap: 9959272k av, 0k used, 9959272k free 151628k cached

PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME CPU COMMAND
2191 root 22 0 127M 42M 14672 S 0.0 1.0 0:09 2 cpd
2328 root 15 0 225M 38M 9456 S 0.0 0.9 0:02 3 vpnd
2271 root 15 0 341M 33M 11192 S 0.0 0.8 0:05 2 fw
2326 root 18 0 177M 27M 8356 S 0.0 0.6 0:02 1 in.aufpd
2327 root 17 0 177M 27M 8328 S 0.0 0.6 0:01 2 in.asessiond
2257 root 15 0 164M 19M 3644 S 0.0 0.4 0:01 2 cphamcset
21939 root 15 0 41936 9.9M 7264 S 0.0 0.2 0:00 3 cpsnmpagentx
2071 root 15 0 36144 9140 6904 S 0.0 0.2 0:05 2 cpwmd
2334 root 15 0 11592 6104 4732 S 0.0 0.1 0:03 2 dtls
2062 nobody 18 0 18928 4796 3568 S 0.0 0.1 0:09 3 cp_http_serve
21935 root 15 0 8380 4544 2780 S 0.0 0.1 0:00 2 snmpd

A veces la carga subia hasta 1.5 mas o menos, pero he visto firewalls con mucha mas carga y nadie se inmutaba.

Haciendo cphaprob -a if muestra los 16 interfaces up, por cierto, encontré un articulo interesante sobre los interfaces y el cluster xl.
El caso es que ya no se me ocurre donde mirar.
Hay una cosa que me escama un poco, haciendo fw ctl pstat todo salia mas o menos normal salvo esto…
Sync:
Version: new
Status: Able to Send/Receive sync packets
Sync packets sent:
total : 253276654, retransmitted : 4654415, retrans reqs : 102, acks : 1435
Sync packets received:
total : 3050380, were queued : 110, dropped by net : 94
retrans reqs : 1031059, received 8196 acks
retrans reqs for illegal seq : 7250

dropped updates as a result of sync overload: 0
Callback statistics: handled 3 cb, average delay : 1, max delay : 1

¿Retransmisiones en el hearbeat?, ¿Como puede ser eso?. El Hb es una tarjeta dedicada con un cable cruzado.¿Puede ser que eso este penalizando las conexiones?.
Voy a ver sin consigo bajar ese numero, le he pueso un heartbeat secundario (este no va con cable, sino a una vlan que estaba vacia) a ver si nota algo en el rendimiento.)
Alguna idea para seguir mirando ??.

2 Comments