UDM-Pro schlechter Durchsatz zwischen VLANs

Hallo in die Runde,

ich habe ein Problem mit der Performance zwischen meinen VLANs, welches ich mir nicht so richtig erklären kann. Zunächst aber einmal ein wenig zum Netzwerkaufbau:

UDM-Pro ist mit 10Gbit mit DAC an einen USW-Enterprise-24-PoE angeschlossen. Gateway ist für alle VLANs die UDM-Pro. Als AccessPoints wird für alle Tests ein UAP-AC-Pro verwendet. Das interne Ziel ist ein ESXi Server, welcher mit 2,5Gbit an den USW-Enterprise angebunden ist. Mein Internetanschluss beträgt 100Mbit.

Meine Geschwindigkeitsprobleme bestehen ausschließlich bei inter-VLAN-Kommunikation (zwischen (allen) VLANs). Internet oder im gleichen VLAN ist alles kein Problem.

Mit iPerf3 erhalte ich folgende Transferraten:

• VLAN 100 <--> 100 500Mbit/s
• VLAN 100 <--> 400 15Mbit/s
• VLAN 100 <--> 500 15Mbit/s
• VLAN 100 <--- Internet 90Mbit/s
• VLAN 100 --> Internet 20Mbit/s

Bedeutet ich bekomme überall meine maximal mögliche Geschwindigkeit nur nicht wenn ich von einem VLAN in ein anderes möchte. Habt ihr hier einen Lösungsansatz? Ich konnte bisher dazu nicht wirklich etwas finden und verzweifle langsam etwas daran.

Falls ich Infos vergessen habe, kann ich diese gerne nachreichen.

Danke & Gruß

Florian

Es dürfte ja nur die LAN Freigaben betreffen. Da habe ich keine besonderen aktiven Regeln, nur das mein Gäste-Netz nicht ins Hausnetz und Adminnetz kommt und der Zugang zur DMZ aus dem Gästenetz erlaubt ist:

Traffic Rules sind keine aktiven definiert.

Traffic Restrictions sind alle VLANs auf Default ohne Restriktionen.

Port Gruppen gibt es nur für das PortForwarding aus dem Internet in die DMZ für Mail/Webserver etc..

defcon ja die (theoretische) Routing Capacity war der Hauptgrund mir die UDM Pro letztes Jahr zu holen. CPU und Arbeitsspeicherauslastung ist auch eher gering 5% CPU und 72% Arbeitsspeicher. Außer der Network Appliance ist nichts aktiv (kein Protect oder ähnliches).

Danke schonmal für eure Hilfe.

Edit: gerade noch eine Beobachtung gemacht, die es für mich nicht logischer macht. Sobald ich iperf3 mit mehreren Parallelen Streams mache wird es kommutiert deutlich schneller (aber die einzelnen Streams zwischen den VLANs bleiben bei etwa 15-20 MBit/s). Mit iperf3 -c www -P 40 komme ich dann auf "[SUM] 0.00-10.01 sec 350 MBytes 294 Mbits/sec", was auch immer noch nicht gut ist aber das Problem evtl. eingrenzen lässt...

Gruß

Florian

Als DNS Server wird ein Windows Server 2022 verwendet, da ich meine Windows Domäne nicht sauber zum laufen bekommen habe mit dem eingebauten DNS Server auf der UDM.

Da die Antworten im gleichen VLAN vom gleichen DNS Server stammen, kann ich mir das nicht vorstellen. Auch die Antworten aus dem Internet stammen alle vom gleichen DNS Server. Wenn ich iperf mit IP statt Name mache, sind die Ergebnisse aber auch identisch :/.

iperf3 -c 192.168.184.4 bringt das identische Ergebnis: "0.00-10.01 sec 16.0 MBytes 13.4 Mbits/sec"

iperf3 -c www mit dem Ergebnis: "0.00-10.01 sec 18.1 MBytes 15.2 Mbits/sec"

im gleichen VLAN iperf3 -c pcwillie kommen über WLAN immerhin folgende Werte (was per WLAN ja noch gut ist) "0.00-10.01 sec 456 MBytes 383 Mbits/sec"

Mein Ursprüngliches Problem war eine extrem niedrige Übertragungsrate von 1,5MB/s zu und von meiner Nextcloud in einem anderen VLAN. Mit iPerf wurden die werde nur gegengeprüft. Das bei mehreren Verbindungen die Geschwindigkeit steigt ist ja auch logisch, allerdings nicht, dass es bei einem gleichzeitigen Stream im gleichen VLAN deutlich schneller ist als bei einem Stream zu einem anderen VLAN.

Ich habe heute morgen einmal die Funktionen:

• Device Identification
• Traffic Identification
• IDS/IPS mit Blocking

deaktiviert. Hat zunächst nichts verändert bis ich die UDM neugestartet habe. Anschließend wurden die Transferraten besser auch nachdem die Features wieder aktiviert wurden. Seitdem habe ich deutlich bessere Transferraten aber leider immer noch nicht in dem Bereich, was die UDM eigentlich können müsste.

iperf3

• VLAN 100 <--> VLAN 100: 338 Mbit/s
• VLAN 100 <--> VLAN 300: 97,6 Mbit/s

SMB Verkehr:

• VLAN 100 <--> VLAN 100: 40MB/s
• VLAN 100 <--> VLAN 300: 8,88MB/s

Also iperf und SMB ist ziemlich identisch und bis gestern waren das zwischen den VLANs noch 10% vom jetzigen Wert, der aber auch noch stark ausbaufähig ist

Nachdem die Performance im WLAN zumindest wieder besser ist, habe ich nun ein paar Speedtests ohne WLAN gemacht und das ganze direkt auf meinem ESXi. Problem dabei ist nur, dass VLAN interner Traffic direkt auf dem ESXi verarbeitet wird, daher nicht wirklich vergleichbar... Direkt VLAN 300 zu VLAN 300 kann ich daher auch nur eingeschränkt testen, da alle Rechner in VLAN 300 auf dem ESXi laufen (müsste ich erst etwas konstruieren um es zu testen).

VLAN 100 <--> VLAN 100 30,9 GBit/s

VLAN 300 <--> VLAN 300 31,0 GBit/s

Wie gesagt beides direkt auf dem Switch des ESXi verarbeitet daher für mein Problem eher nicht relevant.

VLAN 100 <--> UDMPro 1,65GBit/s (Single Thread)

VLAN 100 <--> UDMPro 2,28GBit/s (5 Parallele Threads)

VLAN 100 <--> VLAN 300 757MBit/s (Single Thread)

VLAN 100 <--> VLAN 300 2,15GBit/s (10 Parallele Threads)

VLAN 100 <--> VLAN 500 800MBit/s (Single Thread)

VLAN 100 <--> VLAN 500 2,26GBit/s (10 Parallele Threads)

VLAN 300 <--> VLAN 500 ist identisch zu 100 und den anderen. Auch die Geschwindigkeit zur UDM ist immer identisch.

Stellt sich mir nun die Frage, wieso ein einzelner Thread nichtmal Gigabit erreicht und wieso es im WLAN nochmal um den Faktor 8 langsamer ist... Auch ein neuer AP der heute gekommen ist (habe einen Unifi 7 Pro bestellt) hat die Geschwindigkeit nicht beeinflusst... Wenn hier noch jemand Ideen hat, wie ich die Single Thread Performance am Kabel steigern kann oder auch die WLAN Performance (über VLANs hinweg... im gleichen VLAN hab eich ja keine Probleme, daher leuchtet mir auch ein "WLAN Problem" nicht so richtig ein...) immer her damit, bin gewillt alles auszuprobieren :).

Und nein den 8-Port Switch der UDM nutze ich nicht. Es geht nur 1 x 10 GB DAC Kabel an den USW 24 Enterprise und ein 1 GB Uplink an die FritzBox. Das der Switch in der UDM so beschnitten ist war mir zwar auch nicht klar ist aber gut zu wissen.

Gruß

Florian

Zitat von phino

Vielleicht nutzt du mal ein FTP-Programm zum Testen, dies wäre ja eine reale Situation.

SMB liefert die identischen Werte (über WLAN) wie ein Single Thread iperf, daher ist der Wert vom iPerf auch der einer realen Situation.

Zitat von phino

Hast du da mal Daten direkt auf die Festplatte der UDM geschoben?

Doofe Idee, die ist ja zu langsam!

Nein aber auf der UDM ist auch ein iperf3 installiert, dass man für sowas nutzen kann :).

Zitat von swag

Evt könnte es auch eine Erkenntnis bringen zu schauen was der Client im VLAN 300 leistet (falls es nicht der ESXi ist)

Dazu muss ich mir mal einen zusätzlichen Hardware Client in das Netz verschieben. Aber ja müsste ich mal testen aber wie du schon schriebst ist die Performance im WLAN (VLAN übergreifend) das größere Problem...

Habe meinen 802.1x Radius umkonfiguriert und nun lande ich im VLAN 300. Ergebnis ist aber identisch.

VLAN intern über WLAN (VLAN 300 iPhone 14 Pro im WLAN zu Server in VLAN 300 auf ESXi):

VLAN 300 <--> VLAN 300

390 MBit/s (Single Thread)

628MBit/s (5 Thread parallel)

VLAN übergreifend im WLAN (VLAN 300 iPhone 14 Pro im WLAN zu Server in VLAN 100 auf ESXi)

VLAN 300 <---> VLAN 100

105MBit/s (Single Thread)

345MBit/s (5 Threads parallel)

Es ist also egal in welchem VLAN mein Endgerät hängt, sobald ich VLAN übergreifend kommuniziere bricht die Datenrate ein. Bei Single Thread nochmal deutlich stärker als bei MultiThread...