Testare le prestazioni del Sophos Firewall con iPerf
iPerf è un ottimo strumento se desideri misurare le prestazioni di un percorso di rete specifico. Per un Sophos Firewall, ad esempio, questo vale per i test tra due reti interne, su una connessione VPN da sito a sito, su Remote Access VPN o tra un client dietro il firewall e un server in Internet.
Un test iPerf non sostituisce un normale test dell’applicazione o un puro test di velocità WAN direttamente sul firewall. Risponde a un’altra domanda: quanta velocità effettiva TCP o UDP raggiunge questo percorso tra due endpoint definiti nelle condizioni di test selezionate?
Ambito di applicazione e modello di misurazione
iPerf è utile se si desidera misurare una distanza specifica in modo riproducibile. Prima di eseguire i comandi, dovrebbe essere chiaro cosa viene misurato e a cosa il test non risponde deliberatamente.
Quando iPerf ha senso
iPerf è particolarmente utile quando una dichiarazione di prestazione deve essere riproducibile:
- dopo una migrazione del firewall o una modifica del modello
- prima e dopo le modifiche alle regole del firewall, IPS, TLS Inspection o traffic shaping
- per connessioni lente tra VLAN o posizioni
- per problemi di prestazioni di VPN tramite IPsec, SSL VPN o Sophos Connect
- per argomenti UDP come voce, flussi di conferenze o determinate applicazioni di settore
- distinguere tra firewall, WAN, WLAN, client, server e applicazione
Per un test Internet puro dal punto di vista del firewall, l’articolo Test di velocità Internet tramite la CLI Sophos Firewall è più adatto. Sophos Firewall Controlla i parametri delle prestazioni è adatto anche per classificare l’utilizzo del firewall.
Cosa misura iPerf
iPerf stabilisce una connessione di prova tra un server e un client. Il valore misurato vale quindi esattamente per questo percorso, questa direzione, questa porta, questo protocollo e questi punti finali.
L’interpretazione corretta è importante:
- TCP mostra il throughput ottenibile con controllo della congestione, ritrasmissioni e dimensioni delle finestre.
- UDP mostra perdita di pacchetti e jitter, ma richiede una larghezza di banda target definita.
- Una singola esecuzione di prova non costituisce una dichiarazione affidabile di capacità.
- WiFi, client CPU, macchine virtuali, adattatori di rete USB e funzioni di risparmio energetico possono limitare la misurazione.
- Le funzioni di sicurezza sul Sophos Firewall influiscono sul risultato solo se la connessione di prova viene eseguita attraverso una regola e una policy adeguate.
Pianifica l’impostazione del test
Prima del primo comando dovrebbe essere chiaro quale percorso viene controllato:
- Dove si trova il server iPerf?
- Dov’è il client iPerf?
- In quale direzione deve essere effettuato il test?
- Quale regola del firewall si applica a questa connessione?
- Sul percorso sono presenti NAT, VPN, Traffic Shaping, IPS o TLS Inspection?
- Il test viene eseguito tramite cavo o WLAN?
- Dovresti controllare il throughput di TCP, la perdita di UDP o entrambi?
Per i test dietro un Sophos Firewall, una struttura pulita è solitamente più importante del valore massimo individuale. Un client su WiFi, un hypervisor sovraccarico o un server Public-iPerf lento possono simulare un falso problema di firewall.
Installa iPerf
iPerf è disponibile per Windows, macOS, Linux, Android e iOS. Una fonte di download molto nota è iPerf.fr.
Esegui iPerf
Se la configurazione del test è chiara, avviare prima il server e poi eseguire test client mirati. TCP, UDP, direzione opposta e flussi paralleli rispondono a domande diverse e pertanto non devono essere mischiati.
Avvia il server iPerf
Sul sistema di destinazione, iPerf viene avviato in modalità server:
iperf3 -s
Per impostazione predefinita, iPerf3 è in ascolto sulla porta TCP 5201. Se si deve utilizzare una porta diversa, viene specificata la stessa cosa sul server e sul client:
iperf3 -s -p 5200
Attenzione: Su Windows, macOS o Linux, il firewall dell’host locale potrebbe bloccare la porta iPerf. Se il client non riesce a raggiungere il server, è necessario controllare prima il firewall locale sul server iPerf.
Avviare il test TCP
Sul client il server viene indirizzato con il suo indirizzo IP:
iperf3 -c 10.10.10.50
Per risultati più stabili, è opportuno un test più lungo:
iperf3 -c 10.10.10.50 -t 30

Controlla specificatamente la direzione
I problemi di prestazioni spesso si verificano solo in una direzione. iPerf3 può invertire il flusso di dati senza scambiare server e client:
iperf3 -c 10.10.10.50 -t 30 -R
Ciò è particolarmente utile per i percorsi VPN, il routing asimmetrico, i problemi di upload o le linee WAN con diversa larghezza di banda downstream e upstream.
Eseguire il test UDP
UDP deve essere sempre testato con una larghezza di banda target ragionevole. Senza una larghezza di banda target adeguata, il test non misura il carico effettivo previsto.
iperf3 -c 10.10.10.50 -u -b 100M -t 30
Per un percorso da 1 Gbit può avere senso un valore target più elevato:
iperf3 -c 10.10.10.50 -u -b 1G -t 30
Questi valori sono particolarmente importanti per UDP:
- Datagrammi persi/totali: Perdita di pacchetti
- Jitter: Variazione del tempo di transito dei pacchetti
- Bitrate: larghezza di banda effettiva inviata o ricevuta
Un test UDP con una larghezza di banda target troppo elevata crea intenzionalmente un sovraccarico. Ciò può essere utile per i test sui confini, ma non deve essere interpretato erroneamente come un normale test di linea.
Utilizza più flussi
Un singolo flusso TCP può essere limitato dalla latenza, dalle dimensioni della finestra TCP o dalle prestazioni del client. È possibile utilizzare più flussi paralleli per il test della capacità:
iperf3 -c 10.10.10.50 -t 30 -P 4
Il risultato mostra una parte maggiore della capacità utilizzabile totale del percorso. Per una singola applicazione, un test a flusso singolo è spesso più significativo.
Utilizza il server pubblico-iPerf
Un server pubblico iPerf può essere utilizzato per confronti Internet approssimativi. Tuttavia, i server pubblici non possono essere controllati: l’utilizzo, le limitazioni, l’accessibilità e la distanza possono variare notevolmente. Una panoramica ben curata si trova ad esempio nell’elenco dei iPerf Public Servers on GitHub.
Quando si tratta di stabilire se il firewall locale, il VPN o una policy specifica lo rallentano, un server iPerf separato sull’altro lato è solitamente molto più affidabile.
Misurazione e valutazione comparativa
Un singolo valore iPerf è abbastanza raro. Il test diventa significativo solo quando la direzione, i parametri, la regola firewall e il tempo di misurazione vengono documentati e successivamente ripetuti nelle stesse condizioni.
Pianificare misurazioni di riferimento e di confronto
iPerf è particolarmente utile quando vengono effettuate misurazioni comparabili prima e dopo una modifica. Un singolo test dopo un reclamo mostra solo la condizione attuale. Non è ancora detto se il percorso fosse già lento prima o se la modifica sia stata innescata da una nuova regola firewall, da un profilo IPS, TLS Inspection, dal traffic shaping, da un parametro VPN o da un problema del provider.
Per confronti affidabili, queste condizioni di prova dovrebbero essere registrate:
- Data e ora: Backup, aggiornamenti, report o carico del provider possono distorcere i risultati.
- Origine e destinazione: Altri client, server o VLAN risultano in altri percorsi.
- Direzione: Download, caricamento e
-Rpossono mostrare valori molto diversi. - Protocollo e parametri: TCP, UDP, flussi, durata e larghezza di banda target devono rimanere comparabili.
- Regola firewall applicabile: I profili di sicurezza, la registrazione, NAT e il modellamento del traffico dipendono dalla policy.
- Percorso VPN o WAN: Lo stato di SD-WAN, Route Precedence, Gateway e il tipo di tunnel influiscono sul percorso.
- Ambiente: Cavo, WLAN, hypervisor, carico CPU e traffico parallelo devono essere classificati.
Se sono pianificate modifiche, ha senso un processo semplice:
- Eseguire un test di riferimento prima di apportare modifiche.
- Documentare la regola del firewall, la policy, il percorso VPN e i parametri di misurazione.
- Apportare esattamente una modifica.
- Eseguire nuovamente lo stesso test.
- Se sono presenti deviazioni, controllare Log Viewer, Packet Capture, errore di interfaccia e carico del sistema.
- Solo allora testare la modifica successiva.
Soprattutto con VPN e test di localizzazione, questa procedura impedisce che più cause vengano confuse. Se MTU, IPS, SD-WAN, regole firewall e profili client vengono modificati contemporaneamente, è difficile assegnare in seguito un valore iPerf migliore.
Valuta i risultati
Durante la valutazione, l’attenzione non dovrebbe essere prestata solo al numero Mbit/s più alto.
Osservazioni tipiche:
- Basso throughput TCP con molte ritrasmissioni: indica perdita di pacchetti, un problema duplex/link, qualità WAN o un tema MTU/MSS.
- Buon download, caricamento scadente: Sono possibili linee asimmetriche, routing, modellazione del provider o direzione VPN.
- Perdita di pacchetti UDP anche con carico moderato: Le cause più comuni sono sovraccarico, scarsa qualità WAN, shaping o WLAN errati.
- Valori altamente fluttuanti: Controllare il carico parallelo, la WLAN, il limite CPU o l’ambiente virtuale.
- Solo i server pubblici sono lenti: In questo caso viene interessato il server esterno o il peering, non automaticamente il firewall locale.
Durante il test, è necessario controllare la RAM, il carico dell’interfaccia, il carico IPS e le regole interessate sul Sophos Firewall CPU. I valori possono essere meglio classificati utilizzando le metriche prestazionali e i registri in tempo reale.
Errori e lista di controllo
Molte conclusioni errate derivano dal fatto che il percorso di prova non è chiaramente definito o che i server pubblici, la WLAN, i firewall dell’host locale e la direzione VPN non vengono presi in considerazione.
Errori comuni
- La porta iPerf è bloccata sul server dal firewall dell’host locale.
- Viene testata la direzione sbagliata.
- Un client WLAN viene utilizzato per una dichiarazione sulle prestazioni del firewall.
- UDP è stato testato senza una larghezza di banda target adeguata o con una larghezza di banda target irrealisticamente elevata.
- Un server pubblico iPerf viene utilizzato come unica prova delle proprie prestazioni Internet.
- Il flusso singolo TCP e i flussi multipli paralleli TCP sono misti.
- La regola Sophos Firewall applicabile non è selezionata.
- I test VPN vengono valutati senza considerare MTU, MSS, CPU e controparte.
Breve lista di controllo
- Definire il percorso e la direzione del test.
- Avviare il server iPerf su un endpoint appropriato.
- Controllare il firewall dell’host locale sul server iPerf.
- Identificare la regola Sophos Firewall appropriata.
- Eseguire il test TCP per almeno 30 secondi.
- Se necessario, testare nella direzione opposta con
-R. - Testare UDP solo con una larghezza di banda target realistica.
- Controllare le metriche del firewall, i registri e Packet Capture in parallelo.
- Ripetere il test dopo le modifiche e documentare i risultati.
- Utilizzare gli stessi parametri, direzione e percorso quando si effettuano misurazioni comparative.
Domande frequenti
iPerf misura la velocità Internet di Sophos Firewall?
Dovresti utilizzare un server iPerf pubblico?
Perché i risultati TCP e UDP sono diversi?
Perché dovresti testare la direzione opposta con -R?
-R inverte la direzione dei dati senza scambiare server e client. Questo aiuta con linee asimmetriche, percorsi di ritorno VPN, percorsi SD-WAN o problemi di caricamento.