top of page
Foto do escritorAgricio Santana

Solução de problemas de taxa de transferência, latência e largura de banda no Firewall SonicWall



Este artigo fornece uma lista de possíveis motivos que causam problemas de taxa de transferência e desempenho em firewall da SonicWall. Cada modelo de firewall SonicWall tem capacidades de desempenho diferentes, dependendo das especificações de hardware, como CPU, RAM ou memória Flash. Recomenda-se verificar os recursos do dispositivo específico antes de decidir se os problemas relacionados ao desempenho do dispositivo se devem a outros fatores. CUIDADO: lembre-se de que os sites de teste de velocidade não são uma representação precisa da taxa de transferência da rede. Há muitos fatores que afetam a taxa de transferência antes que os pacotes saiam do SonicWall e façam a viagem de volta ao host que está executando o teste de velocidade. Recomendamos enfaticamente examinar sua rede como um todo ao solucionar problemas de taxa de transferência.

OBSERVAÇÃO: execute as etapas a seguir na ordem em que são apresentadas conforme o sistema novo e antigo da SonicWall (SonicOS) e teste taxa de transferência após cada alteração.

 

Resolução para SonicOS 7.X


Esta versão inclui mudanças significativas na interface do usuário e muitos novos recursos que são diferentes do SonicOS 6.5 e firmware anterior. A resolução abaixo é para clientes que usam o firmware SonicOS 7.X.


Maximum Transmission Unit (MTU) da interface WAN do SonicWall


1. Clique em Network no menu de navegação superior .

2. Clique em System | Interfaces e Configure a interface WAN em questão. O tamanho máximo da unidade de transmissão é o tamanho máximo de um quadro Ethernet enviado por meio de um dispositivo de rede. Por padrão, esse valor é de 1500 bytes, mas em xDSL e conexões a cabo esse valor geralmente é reduzido para obter uma conexão mais estável e/ou melhor desempenho. Os valores comuns são: 1492 SDSL / 1460 ADSL / 1404 Cabo . O valor MTU é alterado em incrementos de 8 bytes . Na interface SonicWall WAN, esse valor é, por padrão, 1500 bytes.

DICA: Altere o tamanho da MTU após determinar o tamanho ideal da MTU para evitar fragmentação desnecessária. Consulte o seguinte artigo para determinar o valor MTU ideal: Como posso determinar o tamanho da MTU das interfaces WAN para otimizar a taxa de transferência? | SonicWall


Fragmentar pacotes de saída não VPN maiores que o MTU desta interface


1. Clique em Network no menu de navegação superior.

2. Clique em System | Interfaces e Configure a interface WAN em questão. Essa configuração de caixa de seleção funciona em conjunto com MTU e é habilitada por padrão. Ter essa opção habilitada é uma prática recomendada e ajudará a garantir que o SonicWall não esteja encaminhando pacotes com um MTU maior do que o que pode ser usado na interface.

DICA: Ative esta opção em Network | System | Interfaces | WAN Interfaces | Advanced Tab


Ignorar bit não fragmentar (DF)


1. Clique em Rede no menu de navegação superior.

2. Clique em Sistema | Interfaces e Configure a interface WAN em questão.

3. Habilitar esta opção iria fragmentar os pacotes mesmo que o bit Don't Fragment esteja definido. Por padrão, esta opção está desmarcada nas configurações avançadas da interface WAN e é recomendável mantê-la desmarcada

DICA: Ative esta opção em Network | System | Interfaces | WAN Interfaces | Advanced Tab


Configurações de velocidade de link da WAN e outras interfaces


1. Clique em Network no menu de navegação superior.

2. Clique em System | Interfaces e Configure a interface WAN em questão.

3. Por padrão, todas as interfaces no SonicWall são definidas para detectar automaticamente a velocidade do link. No entanto, em determinadas implantações, as configurações de velocidade do link devem ser definidas manualmente de acordo com o dispositivo conectado à Interface. Entre em contato com seu ISP ou fabricante do dispositivo conectado à interface WAN para encontrar as melhores configurações Duplex e velocidade de link. Configurações duplex incorretas de sua WAN, por exemplo, teriam os seguintes efeitos nocivos.

  • Não é possível negociar uma conexão com o ISP.

  • Uma conexão de Internet inconsistente.

  • Pacotes descartados.

  • Taxa de transferência lenta.

DICA: verifique com o fabricante todos os dispositivos conectados diretamente a uma interface SonicWall e certifique-se de que as configurações de velocidade de link e duplex estejam definidas de maneira ideal. Altere as configurações relevantes em Network | System | Interfaces | WAN interface | Advanced Tab.


Gerenciamento de largura de banda

Certifique-se de que o gerenciamento de largura de banda esteja desabilitado nas interfaces LAN e WAN e nas regras de acesso.

1. Para desabilitar o gerenciamento de largura de banda na interface, clique em Network | System | Interfaces (Edit LAN and WAN) | Advanced Tab.

2. Para desativar o gerenciamento de largura de banda nas regras de acesso. Clique em Policy | Rules and Policies | Access Rules | Configure access rule from LAN to WAN |Traffic shaping , certifique-se de que o gerenciamento de largura de banda esteja disabled.

Ativar manipulação de pacotes fragmentados nas configurações avançadas de VPN


1. Clique em Network no menu de navegação superior.

2. Navegue até IPsec VPN | Advanced.

3. A ativação da fragmentação (Enable Fragmented Packet Handling) ajudaria a SonicWall a lidar com pacotes IPsec fragmentados. Isso pode afetar a taxa de transferência de WAN do SonicWall se quaisquer políticas de VPN forem configuradas e enabled, mesmo que não sejam estabelecidas.

DICA: É recomendável habilitar essa opção e deixar a opção Ignorar bit DF desmarcada em IPsec | Advanced na GUI do SonicWall.


Permitir pacotes fragmentados nas regras de acesso


1. Clique em Policy no menu de navegação superior.

2. Navegue até Rules and Policies | Access rules e configure a regra de acesso desejada.

3. Essa opção é enabled por padrão e a prática recomendada seria mantê-la enabled.

DICA: Certifique-se de que todas as Regras de acesso em Rules and Policies | Access Rules têm a caixa de seleção Permitir pacotes fragmentados ativada.


Verifique o Monitor de Conexões para determinar se os hosts na rede estão usando um grande número de conexões


1. Clique em Monitor no menu de navegação superior.

2. Navegue até Tools and Monitors | Connections.

3. Se um host na rede estiver infectado com malware, ele frequentemente abrirá, aleatoriamente, centenas ou milhares de conexões com a Internet ou recursos internos.

Em Connections exibem exibições em tempo real de todas as conexões para e através do dispositivo de segurança SonicWall, permitindo que você encontre hosts infectados e remova-os da rede. DICA: Isole o host afetado e remova-o da rede.


Definir resolução de nome para nenhum


1. Clique em Dispositivo no menu de navegação superior.

2. Navegue até Log | Name Resolution. Redes de alto tráfego resultarão em grandes quantidades de consultas de DNS para o SonicWall enquanto ele tenta gerar entradas de log. Por padrão, o SonicWall preencherá o Endereço DNS para entradas de log resultantes de Serviços de segurança , Regras de acesso do firewall e similares.


DICA: Altere a resolução do nome em Device | Log | Name Resolution para None.

Serviços de segurança otimizados para desempenho


1. Clique em Policy no menu de navegação superior.

2. Navegue até Security Services | Summary.

3. Para práticas recomendadas de taxa de transferência, recomendamos disabling a segurança aprimorada. Isso inspecionará e bloqueará os pacotes que correspondem às assinaturas matching Medium or High Priority Threat probability. O bloqueio do tráfego Low Threat Probability descartará pacotes desnecessariamente, como ICMP , e not recommended para a maioria das implantações.

DICA: também Disable Low Priority Attacks em Prevent All para prevenção de intrusão e anti-spyware.


Ping de caminho para uma rede remota


Para ajudar a descartar ou provar um problema com um dispositivo ou rede acima do SonicWall, você pode usar o Path Ping. Este utilitário de linha de comando fará ping e rastreará a latência na rota para um destino de destino, fornecendo feedback sobre se um determinado salto está latente, se os pacotes estão sendo roteados incorretamente, etc.


DICA: execute um ping de caminho para a rede ou endereço IP que você está testando. https://technet.microsoft.com/en-us/library/bb490964.aspx


Rede Física


1. Se a solução de problemas acima não produzir um aumento na taxa de transferência, muitas vezes é necessário tentar remover o SonicWall da rede física e testar novamente as velocidades. São esperados aumentos na taxa de transferência ao remover o SonicWall da rede física, mas é importante ter informações sobre as velocidades com e sem o SonicWall no local para posterior solução de problemas. Também pode ser benéfico conectar diretamente um host ao dispositivo de transferência do ISP e testar um problema de taxa de transferência no lado do ISP.


NOTA: Se os testes de velocidade mostrarem velocidades mais altas com um host conectado diretamente ao modem ISP/dispositivo de transferência, verifique se o host está obtendo um IP privado (DHCP). Se o host for atribuído com um IP privado (DHCP) do modem ISP, configure a interface WAN no modo DHCP em vez de IP estático e teste as velocidades.


2. Além disso, recomendamos fazer um teste iPerf no SonicWall para testar problemas físicos nas interfaces do SonicWall. Isso requer que o SonicWall seja retirado temporariamente da linha de rede para evitar o envolvimento de outros dispositivos de rede que possam alterar os resultados.


DICA: Remova o SonicWall da rede física após obter uma linha de base da taxa de transferência da rede. Teste a taxa de transferência usando as mesmas ferramentas e observe a diferença. Enquanto o SonicWall estiver fora da rede, execute um teste iPerf: Como usar o iPerf para medir a taxa de transferência em um dispositivo SonicWall? | SonicWall


OBSERVAÇÃO: execute as etapas a seguir na ordem em que são apresentadas e teste a taxa de transferência após cada alteração.


 

Resolução para SonicOS 6.5


Esta versão inclui mudanças significativas na interface do usuário e muitos novos recursos que são diferentes do SonicOS 6.2 e firmware anterior. A resolução abaixo é para clientes que usam o firmware SonicOS 6.5.


Maximum Transmission Unit (MTU) da interface WAN do SonicWall


1. Clique em Manage no menu de navegação superior.

2. Clique Network | Interfaces e abrindo a Interface em questão.


O tamanho máximo da unidade de transmissão é o tamanho máximo de um quadro Ethernet enviado por meio de um dispositivo de rede. Por padrão, esse valor é de 1500 bytes, mas em xDSL e conexões a cabo, esse valor geralmente é reduzido para obter uma conexão mais estável e/ou melhor desempenho. Os valores comuns são: 1492 SDSL / 1460 ADSL / 1404 Cable. O valor MTU é alterado em incrementos de 8 bytes. Na interface SonicWall WAN, esse valor é, por padrão, 150 0 bytes.

DICA: Altere o tamanho da MTU após determinar o tamanho ideal da MTU para evitar fragmentação desnecessária. Consulte o artigo a seguir para determinar o valor MTU ideal: Determinando o valor MTU para sua conexão com a Internet.


Fragmentar pacotes de saída não VPN maiores que o MTU desta interface


1. Clique em Manage no menu de navegação superior.

2. Clique Network | Interfaces e abrindo a Interface em questão. Essa configuração de caixa de seleção funciona em conjunto com MTU e é habilitada por padrão. Ter essa opção habilitada é uma prática recomendada e ajudará a garantir que o SonicWall não esteja encaminhando pacotes com um MTU maior do que o que pode ser usado na interface.

DICA: Ative esta opção em Network | Interfaces| WAN Interface | Advanced Tab.


Ignorar bit não fragmentar (DF)


1. Clique em Manage no menu de navegação superior.

2. Navegue até Network | Interfaces e abrindo a Interface em questão.

3. Habilitar esta opção iria fragmentar os pacotes mesmo que o bit Don't Fragment esteja definido. Por padrão, esta opção está desmarcada nas configurações avançadas da interface WAN e é recomendável mantê-la desmarcada.

DICA: Desabilite esta opção em Network | Interfaces| WAN Interface | Advanced Tab.


Configurações de velocidade de link da WAN e outras interfaces


1. Clique em Manage no menu de navegação superior.

2. Clique em Network | Interfaces e abrindo a Interface em questão.

3. Por padrão, todas as interfaces no SonicWall são definidas para detectar automaticamente a velocidade do link. No entanto, em determinadas implantações, as configurações de velocidade do link devem ser definidas manualmente de acordo com o dispositivo conectado à Interface. Entre em contato com seu ISP ou fabricante do dispositivo conectado à interface WAN para encontrar as melhores configurações Duplex e velocidade de link. Configurações duplex incorretas de sua WAN, por exemplo, teriam os seguintes efeitos nocivos.

  • Não é possível negociar uma conexão com o ISP

  • Uma conexão de Internet inconsistente

  • Pacotes descartados

  • Rendimento lento

DICA: Verifique com o fabricante todos os dispositivos conectados diretamente a uma interface SonicWall e certifique-se de que as configurações de velocidade de link e duplex estejam definidas de maneira ideal. Altere as configurações relevantes em Network | Interfaces| WAN Interface | Advanced Tab.


Gerenciamento de largura de banda


1. Clique em Manage no menu de navegação superior.

2. Navegue até Firewall Settings | Bandwidth Management.

3. Você pode aplicar o gerenciamento de largura de banda ao tráfego de entrada e saída nas interfaces associadas à zona WAN. Habilitar implica inserir os valores de largura de banda (em Kbps) disponíveis para a Interface. O gerenciamento de largura de banda causará degradação da taxa de transferência se configurado incorretamente.

EXEMPLO: Se o gerenciamento de largura de banda foi ativado em uma interface sem especificar os valores de largura de banda, o tráfego de entrada e saída que atravessa esse link será limitado aos valores padrão ( 384 Kbps ).

DICA: Desative o gerenciamento de largura de banda se não for necessário em Firewall Settings | Bandwidth Management.


Ativar manipulação de pacotes fragmentados nas configurações avançadas de VPN


1. Clique em Manage no menu de navegação superior.

2. Navegue até VPN | Advanced Settings.

3. habilitar a fragmentação ajudaria a SonicWall a lidar com pacotes IPsec fragmentados. Isso pode afetar a taxa de transferência de WAN do SonicWall se quaisquer políticas de VPN estiverem configuradas e Enabled, mesmo que não estejam estabelecidas.

DICA: É recomendável ativar esta opção e deixar a opção Ignorar DF ​​Bit desmarcada em VPN | Configurações avançadas na GUI do SonicWall.


Permitir pacotes fragmentados nas regras de acesso


1. Clique em Manage no menu de navegação superior.

2. Navegue até VPN | Advanced Settings e configuração da regra de acesso desejada.

3. Esta opção é habilitada por padrão e a melhor prática seria mantê-la habilitada.


DICA: Certifique-se de que todas as regras de acesso em Rules | Access Rules têm a caixa de seleção Permitir pacotes fragmentados ativada.


Verifique o Monitor de Conexões para determinar se os hosts na rede estão usando um grande número de conexões


1. Clique em Investigate no menu de navegação superior.

2. Clique em Connections Logs.

3. Se um host na rede estiver infectado com malware, ele frequentemente abrirá, aleatoriamente, centenas ou milhares de conexões com a Internet ou recursos internos. Em Connections Monitor exibe exibições em tempo real de todas as conexões para e através do dispositivo de segurança SonicWall, permitindo que você encontre hosts infectados e remova-os da rede.

DICA: Isole o host afetado e remova-o da rede. O Monitor de Conexão está disponível em Investigar no menu de navegação superior | Registros de conexão.


Definir resolução de nome para nenhum


1. Clique em Investigate no menu de navegação superior.

2. Navegue até Log Settings | Name Resolution. Redes de alto tráfego resultarão em grandes quantidades de consultas de DNS para o SonicWall enquanto ele tenta gerar entradas de log. Por padrão, o SonicWall preencherá o Endereço DNS para entradas de log resultantes de Security Services , Access Rules firewall e similares.

DICA: Altere a resolução do nome em Log Settings | Name Resolution para None.


Serviços de segurança otimizados para desempenho


1. Clique em Manage no menu de navegação superior.

2. Navegue até Security Services | Base Setup.

3. Para práticas recomendadas de taxa de transferência, recomendamos definir as configurações de serviços de segurança para Performance Optimized . Isso inspecionará e bloqueará os pacotes que correspondem às Signatures correspondentes à probabilidade de ameaça Medium ou alta prioridade (High PriorityThreat) . O bloqueio do tráfego de baixa probabilidade de ameaça(Low Threat Probability) descartará pacotes desnecessariamente , como ICMP , e não é recomendado para a maioria das implantações.

DICA: Altere as configurações dos serviços de Security Services | Base Setup para Performance Optimized. Também Disable Low Priority Attacks em Prevent All para prevenção de intrusão e anti-spyware.


Ping de caminho para uma rede remota


1. Para ajudar a descartar ou provar um problema com um dispositivo ou rede acima do SonicWall, você pode usar o Path Ping . Este utilitário de linha de comando fará ping e rastreará a latência na rota para um destino de destino, fornecendo feedback sobre se um determinado salto está latente, se os pacotes estão sendo roteados incorretamente, etc.

DICA: execute um ping de caminho para a rede ou endereço IP para o qual você está testando. Você pode descobrir mais sobre o Path Ping lendo o artigo Microsoft Technet vinculado.


Rede Física


1. Se a solução de problemas acima não produzir um aumento na taxa de transferência, muitas vezes é necessário tentar remover o SonicWall da rede física e testar novamente as velocidades. São esperados aumentos na taxa de transferência ao remover o SonicWall da rede física, mas é importante ter informações sobre as velocidades com e sem o SonicWall no local para posterior solução de problemas. Também pode ser benéfico conectar diretamente um host ao dispositivo de transferência do ISP e testar um problema de taxa de transferência no lado do ISP.

NOTA: Se os testes de velocidade mostrarem velocidades mais altas com um host conectado diretamente ao modem ISP/dispositivo de transferência, verifique se o host está obtendo um IP privado (DHCP). Se o host for atribuído com um IP privado (DHCP) do modem ISP, configure a interface WAN no modo DHCP em vez de IP estático e teste as velocidades.


2. Além disso, recomendamos fazer um teste iPerf no SonicWall para testar problemas físicos nas interfaces do SonicWall. Isso requer que o SonicWall seja retirado temporariamente da linha de rede para evitar o envolvimento de outros dispositivos de rede que possam alterar os resultados. DICA: Remova o SonicWall da rede física após obter uma linha de base da taxa de transferência da rede. Teste a taxa de transferência usando as mesmas ferramentas e observe a diferença. Enquanto o SonicWall estiver fora da rede, execute um teste iPerf: How to Use iPerf to Measure throughput on a SonicWall.


FONTE: https://www.sonicwall.com/support/knowledge-base/troubleshooting-network-throughput-latency-and-bandwidth-issues-with-a-sonicwall-utm/170504563958424/

1.036 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page