[Çözüldü] Farklı Vlanlar arası veri gönderim yavaşlığı ve Link Aggregation

Merhaba,

vlan 'ların L3 interface 'leri switch mi router & firewall mı ? farklı vlanlar arasında trafik L3 e çıktığı için performans aynı vlanda L2 gibi olmaması normaldir. Kullanılan switch kapasitesi itibari ile paylaştığınız hızlar normaldir.

Sunucu üzerinde nic teaming yapsanızda bir kaynak ile bir hedef arasındaki erişim hızınız 1 Gbps i geçemez. Farklı kaynalardan ilgili sunucuya yada ilgili sunucudan farklı birden fazla hedefe trafik yaparsanız 1 Gbps 'in üzerine çıkabilirsiniz.

her iki konuda da performans ihtiyacınız varsa, sunucuda 10 Gbps ethernet, switch'lerde de 10 G bağlantı kurabilirsiniz.

yB

Selamlar,

hesap soyle oluyor;

1gbit = 110mbyte/sn

bir ipden yine bir ipye bu hizi alirsin, 2 kaynaktan bir hedefe kaynak basi 50mbyte olur.

3 interface port/channel yaptiginda ise 3 kaynaga kadar ortalama 100mbyte alirsin.

Diger konu ise; vlan 10 ile 20 arasinda hiz dusuyor demissin, intervlan-routing nerden donuyor? Mtu size nedir?

Yapı aşağı yukarı şu şekilde. Herhangi bir static route vs yapmadım. Acaba PC gateway iplerinin pfsense lan ip olması bir etkenmidir? veya nasıl bir yapı kurmam gerekiyor? Nerden başlayacağımı bilemedim.

@muhammedyucal interVlan routingi pfsense yapıyor sanırım onu ayrı bir vlana alıp VLAN routing'in switch üzerinde yapılması daha performanslı olacaktır.

Gönderen: @vasviuysal

@muhammedyucal interVlan routingi pfsense yapıyor sanırım onu ayrı bir vlana alıp VLAN routing'in switch üzerinde yapılması daha performanslı olacaktır.

Hocam belirttiğiniz bilgi üzerine daha basit bir yapı kurup dosya transferini izlemeye aldım.
Kurduğum basit yapı tek switch üzerinden:

İlk etapta, gateway ipleri pfsense lan ve vlan bacakları olarak tanımlıydı DHCP Server üzerinde (DHCP Server olarakta aynı pfsense fiziksel cihazı kullanıyorum.) Vlan10 da ki cihazdan Vlan20 de ki cihaza dosya aktarımı başlattım ve lan bacağındaki trafik şu şekilde oldu.

Daha sonra, DHCP server üzerinde gateway IP' lerini switch üzerinde tanımladığım lan ve vlan bacakları olarak değiştirdim. Aktarımlar sorunsuz ve tam kapasite ile çalıştı. Buraya kadar sorun yok. 
Ancak daha sonra farkettimki, firewall üzerinde yazdığım hiç bir iç kural işe yaramaz hale geldi. VLAN10 ve VLAN20 arasındaki tüm kuralları kaldırsam da veya iki blok arasını engelleme komutu yazsam da, iki farklı ağa dahil pcler birbirlerini görmeye devam ediyor.
Bu yapıyla firewall kurallarını çalıştırabilmem için nasıl bir yol izlemeliyim?

Ben çizimden sonuca gidemedim. Gateway'ler (ağ geçitleri) nerede?

Gönderen: @SerkanAtes

Ben çizimden sonuca gidemedim. Gateway'ler (ağ geçitleri) nerede?

Şu şekilde anlatayım. 

• Eğer ağ geçitlerini pfsense IP' leri 
  VLAN1: 192.168.1.2,
  VLAN10: 192.168.10.2
  VLAN20: 192.168.20.2
  olarak ayarlarsam, tüm yük bu interfaceler üzerine biniyor ve network trafiği yavaş ilerliyor (görseldeki gibi). 
• Eğer ağ geçitlerini switchteki atadığım IP ler olarak ayarlarsam,
  LAN: 192.168.1.1,
  VLAN10: 192.168.10.1,
  VLAN20: 192.168.20.1
  ağdaki trafik hızları normale dönüyor ancak bu seferde firewall üzerine tanımladığım iç kurallar çalışmıyor.

Gönderen: @muhammedyucal

olarak ayarlarsam, tüm yük bu interfaceler üzerine biniyor ve network trafiği yavaş ilerliyor (görseldeki gibi). 

GBit bant genişliği kolay dolacak bir kapasite değil. Bence PFsense üzerindeki kurallarınızı gözden geçirin. PFsense cihazınızın yazdığınız kurallara göre üzerinden geçen trafiği denetleyecek kapasitede olup olmadığını bilmiyoruz. Ağ geçidinizi PFsense yapıp, pfsense'nin tüm özelliklerini kapatın ve sadece full access route yapın ve sonuçlarını paylaşın.

Gönderen: @muhammedyucal

Eğer ağ geçitlerini switchteki atadığım IP ler olarak ayarlarsam,
LAN: 192.168.1.1,
VLAN10: 192.168.10.1,
VLAN20: 192.168.20.1
ağdaki trafik hızları normale dönüyor ancak bu seferde firewall üzerine tanımladığım iç kurallar çalışmıyor.

Normal çünkü ağ geçidiniz artık switch olmuş oluyor.

 Pfsense tarafındaki ve tüm diğer ağ kartlarındaki ethernetlerin gb hızında olduğundan eminmisiniz? belki pfsense tarafındaki ağ kartı 100mb yada 10 mb olarak tanınmasın ?

Gönderen: @aytacarslan

 Pfsense tarafındaki ve tüm diğer ağ kartlarındaki ethernetlerin gb hızında olduğundan eminmisiniz? belki pfsense tarafındaki ağ kartı 100mb yada 10 mb olarak tanınmasın ?

Kendi ellerimle taktım. Adım gibi eminim 😁

23 gündür bu sistem çalışmıyo ama şirkette sorun olmuyor mu yoksa bu sizin lab ortamınız mı?

@hakanuzuner abi selam. Mevcut yapıda VLAN kullanılmıyor. Benden önceki arkadaşlar firewall bile kurmamışlar. Tüm yapıyı modeme port açarak halletmişler. Şu an ki mevcut sistemde VLAN yapısına gerek te yok açıkçası. Yeni binaya taşınmayı bekliyoruz. Aklımdaki yapıyı oraya kuracağım. Bu bahsettiğim sistemi de evde test ediyorum. Standart bir bilgisayara pfsense kurdum. dahili ve harici olmak üzere 2 adet interface bulunuyor üzerinde. 2si de gigabit. 1 adet switch ve 2 adet te pc olmak üzere basit bir sistem üzerinden deniyorum.   

Ama sizin standart bilgisayardaki test ortamı ile prod ortam uzmanlarını yoruyorsunuz ne yazık ki, yani gerçek bir sunucu bile değil ve performans sorununu araştırıyorsunuz, bence bu insanların zamanına yazık.

@hakanuzuner

Abi öncelikle özür dilerim. Birşeyleri öğrenmeye çalışıyorum. Malesef etrafımda danışabileceğim kimse yok. Araştırdığım öğrenmeye çalıştığım bir çok konuyu bugüne kadar kendi başıma bir şekilde hallettim. Buraya konu açmadan önce yapmam gereken herşeyi yapıp denediğime emin olabilirsin. 

Bütün konuyu sadeleştirecek olursak;
1) Gateway iplerini firewall yaparsam, tüm trafik yükü firewall bacağına bindiği için performans kaybı yaşanıyor.
2) Gateway iplerini switch ipleri yaparsam, trafik yükü haberleşen cihazların kendi interface lerinde dönüyor ve performans sorunu yaşanmıyor. Ancak firewall üzerindeki iç kurallarda bu yöntemle çalışmıyor.

Kimseyi yormak veya uğraştırmak gibi bir gayem yoktu. Kendi imkanlarımla birşeyler öğrenmeye çalışıyorum. İllaki tıkandığım yerler oluyor. Bunu da siz büyüklerime sorarak, fikir alarak öğrenmeye çalışıyorum. Ben burayı yardım ve paylaşım platformu olarak görüyordum senin şu postuna kadar. Verdiğim rahatsızlıktan dolayı özür dilerim. Sorularımı asla bir daha bu platforma taşımayacağıma ve sizleri yormayacağıma emin olabilirsin. Tekrar bugüne kadar verdiğiniz değerli bilgileriniz için teşekkür ederim. 

İşte bu sizin lab'ınızda pc veya ethernetleriniz kaynaklı olabilir özellikle re(4) görünen realtek gibi birşey kullanıyorsanız. Bu şekilde uzaktan arkadaşlara anlaşılmaz gelmesi çok normal.
Interface Types and Configuration — Interface Configuration | pfSense Documentation (netgate.com)
ek olarak buradaki konulara bakın ve sys/advanced/system tunables altında ki set'leri öğrenmeye çalışın derim.

Gönderen: @muhammedyucal

@hakanuzuner

Abi öncelikle özür dilerim. Birşeyleri öğrenmeye çalışıyorum. Malesef etrafımda danışabileceğim kimse yok. Araştırdığım öğrenmeye çalıştığım bir çok konuyu bugüne kadar kendi başıma bir şekilde hallettim. Buraya konu açmadan önce yapmam gereken herşeyi yapıp denediğime emin olabilirsin. 

Bütün konuyu sadeleştirecek olursak;
1) Gateway iplerini firewall yaparsam, tüm trafik yükü firewall bacağına bindiği için performans kaybı yaşanıyor.
2) Gateway iplerini switch ipleri yaparsam, trafik yükü haberleşen cihazların kendi interface lerinde dönüyor ve performans sorunu yaşanmıyor. Ancak firewall üzerindeki iç kurallarda bu yöntemle çalışmıyor.

Kimseyi yormak veya uğraştırmak gibi bir gayem yoktu. Kendi imkanlarımla birşeyler öğrenmeye çalışıyorum. İllaki tıkandığım yerler oluyor. Bunu da siz büyüklerime sorarak, fikir alarak öğrenmeye çalışıyorum. Ben burayı yardım ve paylaşım platformu olarak görüyordum senin şu postuna kadar. Verdiğim rahatsızlıktan dolayı özür dilerim. Sorularımı asla bir daha bu platforma taşımayacağıma ve sizleri yormayacağıma emin olabilirsin. Tekrar bugüne kadar verdiğiniz değerli bilgileriniz için teşekkür ederim. 

Soru sormak veya sormamak senin tercihin, ben 55.000 tane posta cevap vermiş bir insan olarak son 15 yıldır aralıksız forum üzerinden insanlara yardım eden bir insanım, ancak zamanımız çok değerli, mevcut ortam hakkında bilgi vermeden bu soruyu sorman diğer insanların zamanını çalıyor, yani yaptığım yorum doğru, eğer bundan alındın ise yapabileceğim bir şey yok, dost acı söyler derler benimde görevim burada herkese doğruları söylemek.

Bence konuyu anladın, bundan sonra dediğim gibi soru sormak veya sormamak sana kalmış. Biz buradayız.

Gönderen: @muhammedyucal

Ben burayı yardım ve paylaşım platformu olarak görüyordum senin şu postuna kadar. Verdiğim rahatsızlıktan dolayı özür dilerim. Sorularımı asla bir daha bu platforma taşımayacağıma ve sizleri yormayacağıma emin olabilirsin. Tekrar bugüne kadar verdiğiniz değerli bilgileriniz için teşekkür ederim. 

Merhaba @muhammedyucal;

Doğrusunu isterseniz bu başlık altına başka birşey yazmayacaktım ancak portalda yakın dönemde peş peşe benzer durumları yaşayınca yazma ihtiyacı hissettim. @hakanuzuner hocam bu konuda haklı. İnanın ortamın pclerden oluşan derme çatma bir test ortamı olduğunu hissedince içimden bende başlık çöp oldu takibi bırak diye geçirdim. Ancak konunun devamında siteminizi görünce yazma ihtiyacı hissettim. Siz açık yüreklilikle durumunuzu anlatmışsınız ve serzenişte bulunuyorsunuz. Bende bugün yaşadıklarımı paylaşayım, birde beni dinleyin sonra isterseniz yine gönül koyabilirsiniz.

Formatın dışına çıkıyor olabilirim, moderasyon gerekli gördüğü takdirde her türlü yetkisini kullanabilir (cümleye bak bana soracak değil ya :)). Duble kahvemi aldım, spotify'da tracy chapman'dan change  parçasını açtım ve başlıyorum. (siz de açın, güzel parçadır)

Sıkıntı aslında sorunun kendisinde. Başlığı açtığınız postu tekrar okuyun lütfen. Sunuculardan switchlerden bahsediyorsunuz. Okuyanlar olarak sorunuzu sorunsuz çalışan aktif bir yapıda sonradan gözlemlenmeye başlayan bir problem olarak değerlendiriyoruz. Sonra kafamızda beliren ilk ihtimallere göre yorumlamaya çalışıyoruz. Ancak sorunuzu şu şekilde değiştirelim mesela. "Yapımda değişiklik yapmayı planlıyorum. Eksik bilgilerimi tamamlamaya çalışıyorum. Evde bir lab ortamı kurdum. Eski bir bilgisayara pfsense kurdum. Şu yapılandırmaları yaptım ve test sonuçlarım şu şekilde. Hangi kontrolleri yapmalıyım?" İnanın sorunuzu ilk okuyan @ibrahimyildiz ın son postunda verdiği cevaba yakın bir cevap verecekti ve hiç birimiz bu kadar zaman kaybetmeyecektik. Forumda daha önce de birkaç kez dile getirdiğim bir konu var. Kaliteli cevap bekliyorsanız, sorunuz da kalite olmalı.

Sorduğunuz sorulardan temel network kavramları hakkında da eksiğiniz olduğu hissediliyor (bunu eleştiri olarak algılamayın lütfen). Yine sık gözlemlediğim bir konu olduğu için vurgulamak istedim. İnanın bu sektördeki azımsanmayacak sayıda personel ip, subnet, gateway, dns tanımlaması yapıyor ancak bu kavramların ne olduğu hakkında sadece kulaktan duyma bilgilere sahipler. Tamam OSI katmanlarını, ip paketinin bütün yapısını bilmeyelim ama ağ geçidi nedir sorusuna da modemin ip'sinin yazıldığı yer gözüyle bakmayalım. Size tavsiyem öncelikle ip, subnet, gateway, dns, tcp/ip  kavramlarını tam anlamıyla öğrenmeniz. Bu kavramlar oturduktan sonra gerek kurulum, gerekse problem çözme noktasında bakış açınızın çok değiştiğini göreceksiniz. Evet sonuca gitmek için hep acele ediyoruz ancak temel önemli. Kaynak konusunda sorun yaşayacağınızı düşünmüyorum, bolca mevcut. (Ayrıca bknz: vlan, layer2, layer3, tagged, untagged). Bu paragrafı bilgi eksikliğinizi vurgulamak için değil, çevremde ve sorulan sorularda gördüğüm genel eksiklikler için yazdım tekrar ediyorum lütfen kişiselleştirmeyin.

Bak bu paragrafımı üzerinize alınabilirsiniz ama. Hepimiz işinde gücünde insanlarız. Tamamen bireysel olarak bu portala soru sorarak veya sorulan soruları cevaplayarak katkı sağlamaya çalışıyoruz. Ve bunu yaparken gerçekten zaman ve emek harcıyoruz (hepimiz). Ama açılan başlık soru olmaktan çıkıp soru ağacına dönüşünce de gerçekten yoruluyoruz. Kendi adıma santralin sahadaki bir baz istasyonunda yaşanan başta anlamlandıramadığımız bir problemi 5 dakika yerinde incelemek üzere çıkıp 1 saat sonra ofise döndüğümde tamamen kafam toparlansın diye foruma girdiğimde gördüm ve yazdım. Ancak cevap verince biliyorsunuz takip etmek gerekiyor. Bu iş yoğunluğunda takip yaparken karşımıza sunucu odasından test ortamına dönmüş bir durum çıkınca inanın biz de hiç eğlenmiyoruz. Başka bir örnek, soru kötü sorulduğu için, eleştiri olarak algılanabilir kaygısıyla özelden açıklama yaptığım arkadaşlar oldu ama inanın bu durumda bile ısrarcı olan davrananlar olabiliyor. Bu sefer cevap vermemeyi tercih etmek durumunda kalabiliyoruz. (bknz: zaman değerli)

Neyse toparlayalım (Serkan "Can't help falling in love" dinliyor.), ben de eleştiriye açığım ama savunmaktan vazgeçmeyeceğim bir durum var. Soru kalitemizi mutlaka arttırmalıyız. Bunun hem portalı daha verimli hale getireceğine, hem çözüm arayanlar, cevap vermek isteyenler için daha faydalı bir ortam sağlayacağına inanıyorum.

Amacım yapıcı olmak, her türlü görüş ve eleştirinizi ister genel ister özelden paylaşabilirsiniz.

Dostlukla...

Not : Maroon 5 - Memories çalmaya başladı (buraya iki eliyle yüzünü kapatan maymun emojisi gelecek)

Switch üzerinde sorun yok fakat pfsense tarafında aktarımda sıkıntı çekmişsiniz. Test ortamında sizin yapmaya çalıştığınız uygulamadım fakat Clamav açık geliyor diye hatırlıyorum onu kapatıp deneyin. 4 çekirdekli ssd 4gb-dd4 ramli pc ye pfsense kurdum test ortamında gereksiz yavaşlık vardı, Clamav kapatınca sorunum düzelmişti.