Ir al contenido
Avanet

Pruebe el rendimiento de Sophos Firewall con iPerf

iPerf es una buena herramienta si desea medir el rendimiento de una ruta de red específica. Para un Sophos Firewall, por ejemplo, esto se aplica a pruebas entre dos redes internas, a través de una conexión VPN de sitio a sitio, a través de Remote Access VPN o entre un cliente detrás del firewall y un servidor en Internet.

Una prueba iPerf no reemplaza una prueba de aplicación normal o una prueba de velocidad WAN pura directamente en el firewall. Responde a otra pregunta: ¿Cuánto rendimiento TCP o UDP logra esta ruta entre dos puntos finales definidos en las condiciones de prueba seleccionadas?

Área de aplicación y modelo de medición

iPerf es útil si desea medir una distancia específica de forma reproducible. Antes de ejecutar comandos, debe quedar claro qué se está midiendo y qué es lo que la prueba no responde deliberadamente.

Cuando iPerf tiene sentido

iPerf es particularmente útil cuando una declaración de rendimiento debe ser reproducible:

  • después de una migración de firewall o un cambio de modelo
  • antes y después de cambios en las reglas del firewall, IPS, TLS Inspection o configuración del tráfico
  • para conexiones lentas entre VLAN o ubicaciones
  • para problemas de rendimiento de VPN a través de IPsec, SSL VPN o Sophos Connect
  • para temas UDP como voz, transmisiones de conferencias o determinadas aplicaciones industriales
  • para diferenciar entre firewall, WAN, WLAN, cliente, servidor y aplicación

Para una prueba pura de Internet desde la perspectiva del firewall, el artículo Prueba de velocidad de Internet a través de la CLI Sophos Firewall es más adecuado. Sophos Firewall Comprobar métricas de rendimiento también es adecuado para clasificar la utilización del firewall.

Qué mide iPerf

iPerf establece una conexión de prueba entre un servidor y un cliente. Por lo tanto, el valor medido se aplica exactamente a esta ruta, esta dirección, este puerto, este protocolo y estos puntos finales.

La interpretación correcta es importante:

  • TCP muestra un rendimiento alcanzable con control de congestión, retransmisiones y tamaños de ventana.
  • UDP muestra pérdida de paquetes y fluctuación, pero requiere un ancho de banda objetivo definido.
  • Una sola ejecución de prueba no es una declaración confiable de capacidad.
  • WiFi, cliente CPU, máquinas virtuales, adaptadores de red USB y funciones de ahorro de energía pueden limitar la medición.
  • Las funciones de seguridad en el Sophos Firewall solo afectan el resultado si la conexión de prueba se ejecuta a través de una regla y política adecuadas.

Planificar la configuración de la prueba

Antes del primer comando, debe quedar claro qué ruta se está verificando:

  1. ¿Dónde está ubicado el servidor iPerf?
  2. ¿Dónde está el cliente iPerf?
  3. ¿En qué dirección se debe realizar la prueba?
  4. ¿Qué regla de firewall se aplica a esta conexión?
  5. ¿Hay NAT, VPN, Traffic Shaping, IPS o TLS Inspection en la ruta?
  6. ¿La prueba se realiza mediante cable o WLAN?
  7. ¿Debería comprobar el rendimiento de TCP, la pérdida de UDP o ambos?

Para las pruebas detrás de un Sophos Firewall, una estructura limpia suele ser más importante que el valor máximo individual. Un cliente con WiFi, un hipervisor sobrecargado o un servidor Public-iPerf lento pueden simular un problema de firewall falso.

Instalar iPerf

iPerf está disponible para Windows, macOS, Linux, Android e iOS. Una fuente de descarga conocida es iPerf.fr.

Herramienta de prueba de velocidad iPerf3 en Windows
iPerf3 en Windows
Para mediciones productivas, iPerf3 es la opción habitual. Si es posible, el servidor y el cliente deben utilizar la misma versión principal.

Ejecute iPerf

Si la configuración de la prueba es clara, primero inicia el servidor y luego realiza pruebas específicas del cliente. TCP, UDP, flujos en dirección opuesta y paralelos responden a preguntas diferentes y, por lo tanto, no deben mezclarse.

Iniciar el servidor iPerf

En el sistema de destino, iPerf se inicia en modo servidor:

iperf3 -s

De forma predeterminada, iPerf3 escucha en el puerto 5201 TCP. Si se va a utilizar un puerto diferente, se especifica lo mismo en el servidor y en el cliente:

iperf3 -s -p 5200

Precaución: En Windows, macOS o Linux, el firewall del host local puede bloquear el puerto iPerf. Si el cliente no puede acceder al servidor, primero se debe verificar el firewall local en el servidor iPerf.

Iniciar la prueba TCP

En el cliente, el servidor se direcciona con su dirección IP:

iperf3 -c 10.10.10.50

Para obtener resultados más estables, tiene sentido realizar una prueba más larga:

iperf3 -c 10.10.10.50 -t 30

Prueba de velocidad iPerf del rendimiento TCP
Prueba de velocidad iPerf del rendimiento TCP
Si hay un Sophos Firewall entre el cliente y el servidor, la regla de firewall adecuada debe permitir el tráfico. Si la asignación de reglas no está clara, ayuda probar reglas de Sophos Firewall de forma específica. En caso de problemas de conexión, Packet Capture en Sophos Firewall y los registros de servicio de Sophos Firewall son los siguientes pasos.

Verifique la dirección específicamente

Los problemas de rendimiento a menudo ocurren sólo en una dirección. iPerf3 puede revertir el flujo de datos sin intercambiar servidor y cliente:

iperf3 -c 10.10.10.50 -t 30 -R

Esto es particularmente útil para rutas VPN, enrutamiento asimétrico, problemas de carga o líneas WAN con diferente ancho de banda descendente y ascendente.

Realizar la prueba UDP

UDP siempre debe probarse con un ancho de banda objetivo razonable. Sin un ancho de banda objetivo adecuado, la prueba no mide la carga real esperada.

iperf3 -c 10.10.10.50 -u -b 100M -t 30

Para una ruta de 1 Gbit, puede tener sentido un valor objetivo más alto:

iperf3 -c 10.10.10.50 -u -b 1G -t 30

Estos valores son particularmente importantes para UDP:

  • Datagramas perdidos/total: Pérdida de paquetes
  • Jitter: Variación en el tiempo de tránsito de paquetes
  • Bitrate: ancho de banda efectivo enviado o recibido

Una prueba UDP con un ancho de banda objetivo demasiado alto crea intencionalmente una sobrecarga. Esto puede resultar útil para pruebas de límites, pero no debe malinterpretarse como una prueba de línea normal.

Usar múltiples transmisiones

Una única transmisión TCP puede estar limitada por la latencia, el tamaño de la ventana TCP o el rendimiento del cliente. Puede utilizar varios flujos paralelos para realizar pruebas de capacidad:

iperf3 -c 10.10.10.50 -t 30 -P 4

El resultado muestra una mayor parte de la capacidad utilizable total de la ruta. Para una sola aplicación, una prueba de flujo único suele ser más significativa.

Utilice el servidor público-iPerf

Se puede utilizar un servidor público iPerf para realizar comparaciones aproximadas de Internet. Sin embargo, los servidores públicos no se pueden controlar: el uso, las limitaciones, la accesibilidad y la distancia pueden variar mucho. Puede encontrar una descripción general bien mantenida, por ejemplo, en la lista de Servidores públicos iPerf en GitHub.

Cuando se trata de si el firewall local, el VPN o una política específica lo están ralentizando, un servidor iPerf separado en el otro lado suele ser mucho más confiable.

Medición y evaluación comparativa

Un único valor iPerf es bastante raro. La prueba sólo adquiere sentido cuando la dirección, los parámetros, la regla del cortafuegos y el tiempo de medición se documentan y luego se repiten en las mismas condiciones.

Planificar mediciones de referencia y de comparación

iPerf es particularmente valioso cuando se realizan mediciones comparables antes y después de un cambio. Una sola prueba después de una queja solo muestra la condición actual. Aún no dice si la ruta ya era lenta de antemano o si una nueva regla de firewall, un perfil IPS, TLS Inspection, configuración de tráfico, un parámetro VPN o un problema de proveedor desencadenaron el cambio.

Para comparaciones confiables, se deben registrar estas condiciones de prueba:

  • Fecha y hora: Las copias de seguridad, las actualizaciones, los informes o la carga del proveedor pueden distorsionar los resultados.
  • Origen y Destino: Otros clientes, servidores o VLAN dan como resultado otras rutas.
  • Dirección: Descargar, Cargar y -R pueden mostrar valores muy diferentes.
  • Protocolo y parámetros: TCP, UDP, las transmisiones, la duración y el ancho de banda objetivo deben seguir siendo comparables.
  • Regla de firewall aplicable: Los perfiles de seguridad, el registro, NAT y la configuración del tráfico dependen de la política.
  • Ruta VPN o WAN: El estado de SD-WAN, Route Precedence, Gateway y el tipo de túnel afectan la ruta.
  • Entorno: Se debe clasificar cable, WLAN, hipervisor, carga CPU y tráfico paralelo.

Si se planean cambios, un proceso simple tiene sentido:

  1. Realice una prueba de referencia antes de realizar cambios.
  2. Documente la regla del firewall, la política, la ruta VPN y los parámetros de medición.
  3. Realice exactamente un cambio.
  4. Ejecute la misma prueba nuevamente.
  5. Si hay desviaciones, verifique Log Viewer, Packet Capture, error de interfaz y carga del sistema.
  6. Sólo entonces pruebe el siguiente cambio.

Especialmente con VPN y pruebas de ubicación, este procedimiento evita que se mezclen múltiples causas. Si MTU, IPS, SD-WAN, reglas de firewall y perfiles de cliente se ajustan al mismo tiempo, es difícil asignar un mejor valor iPerf más adelante.

Evaluar resultados

Al realizar la evaluación, no sólo se debe prestar atención al número más alto Mbit/s.

Observaciones típicas:

  • Bajo rendimiento TCP con muchas retransmisiones: indica pérdida de paquetes, un problema de dúplex/enlace, calidad WAN o un tema MTU/MSS.
  • Buena descarga, mala carga: Son posibles líneas asimétricas, enrutamiento, configuración de proveedor o dirección VPN.
  • Pérdida de paquetes UDP incluso bajo carga moderada: Las causas comunes son sobrecarga, mala calidad de WAN, configuración incorrecta o WLAN.
  • Valores altamente fluctuantes: Verifique la carga paralela, WLAN, límite CPU o entorno virtual.
  • Solo los servidores públicos son lentos: Entonces el servidor externo o el emparejamiento se ven afectados, no automáticamente el firewall local.

Durante la prueba, se deben verificar la RAM, la carga de la interfaz, la carga de IPS y las reglas afectadas en el Sophos Firewall CPU. Los valores se pueden clasificar mejor utilizando las métricas de rendimiento y los registros en vivo.

Errores y lista de verificación

Muchas conclusiones falsas surgen porque la ruta de prueba no está claramente definida o no se tienen en cuenta los servidores públicos, la WLAN, los cortafuegos del host local y la dirección VPN.

Errores comunes

  • El puerto iPerf está bloqueado en el servidor por el firewall del host local.
  • Se prueba la dirección incorrecta.
  • Se utiliza un cliente WLAN para una declaración de rendimiento del firewall.
  • UDP se prueba sin un ancho de banda objetivo adecuado o con un ancho de banda objetivo irrealmente alto.
  • Se utiliza un servidor público iPerf como única prueba del rendimiento de Internet.
  • Se mezclan secuencias únicas TCP y múltiples secuencias paralelas TCP.
  • La regla Sophos Firewall aplicable no está marcada.
  • Las pruebas VPN se evalúan sin revisar MTU, MSS, CPU y el extremo remoto.

Lista de verificación breve

  1. Definir la ruta y dirección de la prueba.
  2. Inicie el servidor iPerf en un punto final apropiado.
  3. Verifique el firewall del host local en el servidor iPerf.
  4. Identifique la regla Sophos Firewall adecuada.
  5. Ejecute la prueba TCP durante al menos 30 segundos.
  6. Si es necesario, pruebe en la dirección opuesta con -R.
  7. Pruebe UDP solo con un ancho de banda objetivo realista.
  8. Verifique las métricas del firewall, los registros y Packet Capture en paralelo.
  9. Repita la prueba después de los cambios y documente los resultados.
  10. Utilice los mismos parámetros, dirección y trayectoria al realizar mediciones comparativas.

Preguntas frecuentes

¿iPerf mide la velocidad de Internet de Sophos Firewall?

iPerf mide el rendimiento entre dos puntos finales definidos. Para una prueba WAN directamente en el firewall, es más adecuada una prueba de velocidad del firewall separada usando SSH. Para VPN, VLAN, conexiones de sitios o rutas de cliente a servidor, iPerf suele ser más informativo.

¿Debería utilizar un servidor público iPerf?

Los servidores públicos iPerf sólo son adecuados para comparaciones aproximadas. Para un firewall confiable, VPN o pruebas de ubicación, es mejor tener su propio servidor iPerf en el otro lado, porque la carga, la distancia, el emparejamiento y los límites del servidor público pueden distorsionar el resultado.

¿Por qué los resultados de TCP y UDP son diferentes?

TCP responde a la pérdida de paquetes, latencia y retransmisiones con control de congestión. UDP envía con un ancho de banda objetivo específico y muestra principalmente pérdida, fluctuación y velocidad de bits alcanzada. Ambas pruebas responden a preguntas diferentes y no deben equipararse directamente.

¿Por qué deberías probar la dirección opuesta con -R?

Muchos problemas de rendimiento sólo ocurren en una dirección. -R invierte la dirección de los datos sin intercambiar servidor y cliente. Esto ayuda con líneas asimétricas, rutas de retorno VPN, rutas SD-WAN o problemas de carga.

¿Una prueba iPerf lenta demuestra un problema de firewall?

No. Una prueba iPerf lenta inicialmente solo muestra que esta ruta específica es lenta bajo las condiciones seleccionadas. Después de eso, la regla de firewall, NAT, ruta VPN, MTU/MSS, calidad WAN, cliente, servidor, WLAN y carga paralela se deben verificar por separado.