Pruebe el rendimiento de Sophos Firewall con iPerf
iPerf es una buena herramienta si desea medir el rendimiento de una ruta de red específica. Para un Sophos Firewall, por ejemplo, esto se aplica a pruebas entre dos redes internas, a través de una conexión VPN de sitio a sitio, a través de Remote Access VPN o entre un cliente detrás del firewall y un servidor en Internet.
Una prueba iPerf no reemplaza una prueba de aplicación normal o una prueba de velocidad WAN pura directamente en el firewall. Responde a otra pregunta: ¿Cuánto rendimiento TCP o UDP logra esta ruta entre dos puntos finales definidos en las condiciones de prueba seleccionadas?
Área de aplicación y modelo de medición
iPerf es útil si desea medir una distancia específica de forma reproducible. Antes de ejecutar comandos, debe quedar claro qué se está midiendo y qué es lo que la prueba no responde deliberadamente.
Cuando iPerf tiene sentido
iPerf es particularmente útil cuando una declaración de rendimiento debe ser reproducible:
- después de una migración de firewall o un cambio de modelo
- antes y después de cambios en las reglas del firewall, IPS, TLS Inspection o configuración del tráfico
- para conexiones lentas entre VLAN o ubicaciones
- para problemas de rendimiento de VPN a través de IPsec, SSL VPN o Sophos Connect
- para temas UDP como voz, transmisiones de conferencias o determinadas aplicaciones industriales
- para diferenciar entre firewall, WAN, WLAN, cliente, servidor y aplicación
Para una prueba pura de Internet desde la perspectiva del firewall, el artículo Prueba de velocidad de Internet a través de la CLI Sophos Firewall es más adecuado. Sophos Firewall Comprobar métricas de rendimiento también es adecuado para clasificar la utilización del firewall.
Qué mide iPerf
iPerf establece una conexión de prueba entre un servidor y un cliente. Por lo tanto, el valor medido se aplica exactamente a esta ruta, esta dirección, este puerto, este protocolo y estos puntos finales.
La interpretación correcta es importante:
- TCP muestra un rendimiento alcanzable con control de congestión, retransmisiones y tamaños de ventana.
- UDP muestra pérdida de paquetes y fluctuación, pero requiere un ancho de banda objetivo definido.
- Una sola ejecución de prueba no es una declaración confiable de capacidad.
- WiFi, cliente CPU, máquinas virtuales, adaptadores de red USB y funciones de ahorro de energía pueden limitar la medición.
- Las funciones de seguridad en el Sophos Firewall solo afectan el resultado si la conexión de prueba se ejecuta a través de una regla y política adecuadas.
Planificar la configuración de la prueba
Antes del primer comando, debe quedar claro qué ruta se está verificando:
- ¿Dónde está ubicado el servidor iPerf?
- ¿Dónde está el cliente iPerf?
- ¿En qué dirección se debe realizar la prueba?
- ¿Qué regla de firewall se aplica a esta conexión?
- ¿Hay NAT, VPN, Traffic Shaping, IPS o TLS Inspection en la ruta?
- ¿La prueba se realiza mediante cable o WLAN?
- ¿Debería comprobar el rendimiento de TCP, la pérdida de UDP o ambos?
Para las pruebas detrás de un Sophos Firewall, una estructura limpia suele ser más importante que el valor máximo individual. Un cliente con WiFi, un hipervisor sobrecargado o un servidor Public-iPerf lento pueden simular un problema de firewall falso.
Instalar iPerf
iPerf está disponible para Windows, macOS, Linux, Android e iOS. Una fuente de descarga conocida es iPerf.fr.
Ejecute iPerf
Si la configuración de la prueba es clara, primero inicia el servidor y luego realiza pruebas específicas del cliente. TCP, UDP, flujos en dirección opuesta y paralelos responden a preguntas diferentes y, por lo tanto, no deben mezclarse.
Iniciar el servidor iPerf
En el sistema de destino, iPerf se inicia en modo servidor:
iperf3 -s
De forma predeterminada, iPerf3 escucha en el puerto 5201 TCP. Si se va a utilizar un puerto diferente, se especifica lo mismo en el servidor y en el cliente:
iperf3 -s -p 5200
Precaución: En Windows, macOS o Linux, el firewall del host local puede bloquear el puerto iPerf. Si el cliente no puede acceder al servidor, primero se debe verificar el firewall local en el servidor iPerf.
Iniciar la prueba TCP
En el cliente, el servidor se direcciona con su dirección IP:
iperf3 -c 10.10.10.50
Para obtener resultados más estables, tiene sentido realizar una prueba más larga:
iperf3 -c 10.10.10.50 -t 30

Verifique la dirección específicamente
Los problemas de rendimiento a menudo ocurren sólo en una dirección. iPerf3 puede revertir el flujo de datos sin intercambiar servidor y cliente:
iperf3 -c 10.10.10.50 -t 30 -R
Esto es particularmente útil para rutas VPN, enrutamiento asimétrico, problemas de carga o líneas WAN con diferente ancho de banda descendente y ascendente.
Realizar la prueba UDP
UDP siempre debe probarse con un ancho de banda objetivo razonable. Sin un ancho de banda objetivo adecuado, la prueba no mide la carga real esperada.
iperf3 -c 10.10.10.50 -u -b 100M -t 30
Para una ruta de 1 Gbit, puede tener sentido un valor objetivo más alto:
iperf3 -c 10.10.10.50 -u -b 1G -t 30
Estos valores son particularmente importantes para UDP:
- Datagramas perdidos/total: Pérdida de paquetes
- Jitter: Variación en el tiempo de tránsito de paquetes
- Bitrate: ancho de banda efectivo enviado o recibido
Una prueba UDP con un ancho de banda objetivo demasiado alto crea intencionalmente una sobrecarga. Esto puede resultar útil para pruebas de límites, pero no debe malinterpretarse como una prueba de línea normal.
Usar múltiples transmisiones
Una única transmisión TCP puede estar limitada por la latencia, el tamaño de la ventana TCP o el rendimiento del cliente. Puede utilizar varios flujos paralelos para realizar pruebas de capacidad:
iperf3 -c 10.10.10.50 -t 30 -P 4
El resultado muestra una mayor parte de la capacidad utilizable total de la ruta. Para una sola aplicación, una prueba de flujo único suele ser más significativa.
Utilice el servidor público-iPerf
Se puede utilizar un servidor público iPerf para realizar comparaciones aproximadas de Internet. Sin embargo, los servidores públicos no se pueden controlar: el uso, las limitaciones, la accesibilidad y la distancia pueden variar mucho. Puede encontrar una descripción general bien mantenida, por ejemplo, en la lista de Servidores públicos iPerf en GitHub.
Cuando se trata de si el firewall local, el VPN o una política específica lo están ralentizando, un servidor iPerf separado en el otro lado suele ser mucho más confiable.
Medición y evaluación comparativa
Un único valor iPerf es bastante raro. La prueba sólo adquiere sentido cuando la dirección, los parámetros, la regla del cortafuegos y el tiempo de medición se documentan y luego se repiten en las mismas condiciones.
Planificar mediciones de referencia y de comparación
iPerf es particularmente valioso cuando se realizan mediciones comparables antes y después de un cambio. Una sola prueba después de una queja solo muestra la condición actual. Aún no dice si la ruta ya era lenta de antemano o si una nueva regla de firewall, un perfil IPS, TLS Inspection, configuración de tráfico, un parámetro VPN o un problema de proveedor desencadenaron el cambio.
Para comparaciones confiables, se deben registrar estas condiciones de prueba:
- Fecha y hora: Las copias de seguridad, las actualizaciones, los informes o la carga del proveedor pueden distorsionar los resultados.
- Origen y Destino: Otros clientes, servidores o VLAN dan como resultado otras rutas.
- Dirección: Descargar, Cargar y
-Rpueden mostrar valores muy diferentes. - Protocolo y parámetros: TCP, UDP, las transmisiones, la duración y el ancho de banda objetivo deben seguir siendo comparables.
- Regla de firewall aplicable: Los perfiles de seguridad, el registro, NAT y la configuración del tráfico dependen de la política.
- Ruta VPN o WAN: El estado de SD-WAN, Route Precedence, Gateway y el tipo de túnel afectan la ruta.
- Entorno: Se debe clasificar cable, WLAN, hipervisor, carga CPU y tráfico paralelo.
Si se planean cambios, un proceso simple tiene sentido:
- Realice una prueba de referencia antes de realizar cambios.
- Documente la regla del firewall, la política, la ruta VPN y los parámetros de medición.
- Realice exactamente un cambio.
- Ejecute la misma prueba nuevamente.
- Si hay desviaciones, verifique Log Viewer, Packet Capture, error de interfaz y carga del sistema.
- Sólo entonces pruebe el siguiente cambio.
Especialmente con VPN y pruebas de ubicación, este procedimiento evita que se mezclen múltiples causas. Si MTU, IPS, SD-WAN, reglas de firewall y perfiles de cliente se ajustan al mismo tiempo, es difícil asignar un mejor valor iPerf más adelante.
Evaluar resultados
Al realizar la evaluación, no sólo se debe prestar atención al número más alto Mbit/s.
Observaciones típicas:
- Bajo rendimiento TCP con muchas retransmisiones: indica pérdida de paquetes, un problema de dúplex/enlace, calidad WAN o un tema MTU/MSS.
- Buena descarga, mala carga: Son posibles líneas asimétricas, enrutamiento, configuración de proveedor o dirección VPN.
- Pérdida de paquetes UDP incluso bajo carga moderada: Las causas comunes son sobrecarga, mala calidad de WAN, configuración incorrecta o WLAN.
- Valores altamente fluctuantes: Verifique la carga paralela, WLAN, límite CPU o entorno virtual.
- Solo los servidores públicos son lentos: Entonces el servidor externo o el emparejamiento se ven afectados, no automáticamente el firewall local.
Durante la prueba, se deben verificar la RAM, la carga de la interfaz, la carga de IPS y las reglas afectadas en el Sophos Firewall CPU. Los valores se pueden clasificar mejor utilizando las métricas de rendimiento y los registros en vivo.
Errores y lista de verificación
Muchas conclusiones falsas surgen porque la ruta de prueba no está claramente definida o no se tienen en cuenta los servidores públicos, la WLAN, los cortafuegos del host local y la dirección VPN.
Errores comunes
- El puerto iPerf está bloqueado en el servidor por el firewall del host local.
- Se prueba la dirección incorrecta.
- Se utiliza un cliente WLAN para una declaración de rendimiento del firewall.
- UDP se prueba sin un ancho de banda objetivo adecuado o con un ancho de banda objetivo irrealmente alto.
- Se utiliza un servidor público iPerf como única prueba del rendimiento de Internet.
- Se mezclan secuencias únicas TCP y múltiples secuencias paralelas TCP.
- La regla Sophos Firewall aplicable no está marcada.
- Las pruebas VPN se evalúan sin revisar MTU, MSS, CPU y el extremo remoto.
Lista de verificación breve
- Definir la ruta y dirección de la prueba.
- Inicie el servidor iPerf en un punto final apropiado.
- Verifique el firewall del host local en el servidor iPerf.
- Identifique la regla Sophos Firewall adecuada.
- Ejecute la prueba TCP durante al menos 30 segundos.
- Si es necesario, pruebe en la dirección opuesta con
-R. - Pruebe UDP solo con un ancho de banda objetivo realista.
- Verifique las métricas del firewall, los registros y Packet Capture en paralelo.
- Repita la prueba después de los cambios y documente los resultados.
- Utilice los mismos parámetros, dirección y trayectoria al realizar mediciones comparativas.
Preguntas frecuentes
¿iPerf mide la velocidad de Internet de Sophos Firewall?
¿Debería utilizar un servidor público iPerf?
¿Por qué los resultados de TCP y UDP son diferentes?
¿Por qué deberías probar la dirección opuesta con -R?
-R invierte la dirección de los datos sin intercambiar servidor y cliente. Esto ayuda con líneas asimétricas, rutas de retorno VPN, rutas SD-WAN o problemas de carga.