Teste o desempenho do Sophos Firewall com iPerf
iPerf é uma boa ferramenta se você deseja medir o desempenho de uma rota de rede específica. Para um Sophos Firewall, por exemplo, isso se aplica a testes entre duas redes internas, em uma conexão VPN site a site, em Remote Access VPN ou entre um cliente atrás do firewall e um servidor na Internet.
Um teste iPerf não substitui um teste de aplicação normal ou um teste de velocidade WAN puro diretamente no firewall. Ele responde a outra pergunta: quanto de rendimento TCP ou UDP essa rota atinge entre dois pontos de extremidade definidos sob as condições de teste selecionadas?
Área de aplicação e modelo de medição
iPerf é útil se você deseja medir uma distância específica de forma reproduzível. Antes de executar comandos, deve ficar claro o que está sendo medido e o que o teste deliberadamente não está respondendo.
Quando iPerf faz sentido
iPerf é particularmente útil quando uma declaração de desempenho deve ser reproduzível:
- após uma migração de firewall ou mudança de modelo
- antes e depois de alterações nas regras de firewall, IPS, TLS Inspection ou modelagem de tráfego
- para conexões lentas entre VLANs ou locais
- para problemas de desempenho VPN via IPsec, SSL VPN ou Sophos Connect
- para tópicos UDP, como voz, transmissões de conferência ou determinadas aplicações do setor
- para diferenciar entre firewall, WAN, WLAN, cliente, servidor e aplicativo
Para um teste puro da Internet do ponto de vista do firewall, o artigo Internet Speedtest via Sophos Firewall CLI é mais adequado. Sophos Firewall Verificar métricas de desempenho também é adequado para classificar a utilização do firewall.
O que iPerf mede
iPerf estabelece uma conexão de teste entre um servidor e um cliente. O valor medido, portanto, aplica-se exatamente a este caminho, a esta direção, a esta porta, a este protocolo e a estes pontos finais.
A interpretação correta é importante:
- TCP mostra a taxa de transferência alcançável com controle de congestionamento, retransmissões e tamanhos de janela.
- UDP mostra perda de pacotes e jitter, mas requer uma largura de banda alvo definida.
- Um único teste não é uma declaração confiável de capacidade.
- WiFi, cliente CPU, máquinas virtuais, adaptadores de rede USB e funções de economia de energia podem limitar a medição.
- As funções de segurança no Sophos Firewall só afetam o resultado se a conexão de teste for executada por meio de uma regra e política adequadas.
Planejar configuração de teste
Antes do primeiro comando, deve ficar claro qual rota está sendo verificada:
- Onde está localizado o servidor iPerf?
- Onde está o cliente iPerf?
- Em que direção o teste deve ser realizado?
- Qual regra de firewall se aplica a esta conexão?
- Existe NAT, VPN, Traffic Shaping, IPS ou TLS Inspection no caminho?
- O teste é executado via cabo ou WLAN?
- Você deve verificar a taxa de transferência TCP, a perda UDP ou ambos?
Para testes atrás de Sophos Firewall, uma estrutura limpa geralmente é mais importante do que o valor máximo individual. Um cliente em WiFi, um hipervisor sobrecarregado ou um servidor Public-iPerf lento pode imitar um falso problema de firewall.
Instale iPerf
iPerf está disponível para Windows, macOS, Linux, Android e iOS. Uma fonte de download bem conhecida é iPerf.fr.
Execute iPerf
Se a configuração do teste estiver clara, primeiro inicie o servidor e depois execute testes de cliente direcionados. TCP, UDP, direção oposta e fluxos paralelos respondem a perguntas diferentes e, portanto, não devem ser misturados.
Iniciar servidor iPerf
No sistema de destino, iPerf é iniciado no modo servidor:
iperf3 -s
Por padrão, o iPerf3 escuta na porta TCP 5201. Se uma porta diferente for usada, ela será especificada da mesma forma no servidor e no cliente:
iperf3 -s -p 5200
Cuidado: No Windows, macOS ou Linux, o firewall do host local pode bloquear a porta iPerf. Se o cliente não conseguir acessar o servidor, o firewall local no servidor iPerf deverá ser verificado primeiro.
Iniciar teste TCP
No cliente, o servidor é endereçado com seu endereço IP:
iperf3 -c 10.10.10.50
Para resultados mais estáveis, faz sentido um teste mais longo:
iperf3 -c 10.10.10.50 -t 30

Verifique a direção especificamente
Os problemas de desempenho geralmente ocorrem apenas em uma direção. iPerf3 pode reverter o fluxo de dados sem trocar servidor e cliente:
iperf3 -c 10.10.10.50 -t 30 -R
Isto é particularmente útil para rotas VPN, roteamento assimétrico, problemas de upload ou linhas WAN com diferentes larguras de banda downstream e upstream.
Execute o teste UDP
UDP deve sempre ser testado com uma largura de banda alvo razoável. Sem uma largura de banda alvo adequada, o teste não mede a carga real esperada.
iperf3 -c 10.10.10.50 -u -b 100M -t 30
Para uma rota de 1 Gbit, um valor alvo mais alto pode fazer sentido:
iperf3 -c 10.10.10.50 -u -b 1G -t 30
Estes valores são particularmente importantes para UDP:
- Datagramas perdidos/totais: Perda de pacotes
- Jitter: Variação no tempo de trânsito do pacote
- Taxa de bits: largura de banda efetiva enviada ou recebida
Um teste UDP com uma largura de banda alvo muito alta cria sobrecarga intencionalmente. Isto pode ser útil para testes de limites, mas não deve ser mal interpretado como um teste de linha normal.
Use vários fluxos
Um único fluxo TCP pode ser limitado pela latência, tamanho da janela TCP ou desempenho do cliente. Você pode usar vários streams paralelos para testes de capacidade:
iperf3 -c 10.10.10.50 -t 30 -P 4
O resultado mostra mais da capacidade útil total da rota. Para um único aplicativo, um teste de fluxo único costuma ser mais significativo.
Usar servidor público-iPerf
Um servidor público iPerf pode ser usado para comparações aproximadas na Internet. No entanto, os servidores públicos não podem ser controlados: a utilização, as limitações, a acessibilidade e a distância podem variar muito. Uma visão geral bem mantida pode ser encontrada, por exemplo, na lista de iPerf Servidores Públicos no GitHub.
Quando se trata de saber se o firewall local, o VPN ou uma política específica está deixando-o lento, um servidor iPerf separado no outro lado geralmente é muito mais confiável.
Medição e avaliação comparativa
Um único valor iPerf é bastante raro. O teste só se torna significativo quando a direção, os parâmetros, a regra do firewall e o tempo de medição são documentados e posteriormente repetidos nas mesmas condições.
Planeje medidas de linha de base e de comparação
iPerf é particularmente valioso quando medições comparáveis são feitas antes e depois de uma alteração. Um único teste após uma reclamação mostra apenas a condição atual. Ainda não diz se a rota já estava lenta anteriormente ou se uma nova regra de firewall, um perfil IPS, TLS Inspection, modelagem de tráfego, um parâmetro VPN ou um problema de provedor acionou a mudança.
Para comparações confiáveis, estas condições de teste devem ser registradas:
- Data e hora: Backups, atualizações, relatórios ou carga do provedor podem distorcer os resultados.
- Origem e Destino: Outros clientes, servidores ou VLANs resultam em outros caminhos.
- Direção: Download, Upload e
-Rpodem mostrar valores muito diferentes. - Protocolo e parâmetros: TCP, UDP, fluxos, duração e largura de banda alvo devem permanecer comparáveis.
- Regra de firewall aplicável: Perfis de segurança, registro em log, NAT e modelagem de tráfego dependem da política.
- Caminho VPN ou WAN: O status SD-WAN, Route Precedence, Gateway e o tipo de túnel afetam a rota.
- Ambiente: Cabo, WLAN, hipervisor, carga CPU e tráfego paralelo devem ser classificados.
Se as mudanças forem planejadas, um processo simples faz sentido:
- Realize um teste de referência antes de fazer alterações.
- Documente a regra de firewall, a política, o caminho VPN e os parâmetros de medição.
- Faça exatamente uma alteração.
- Execute o mesmo teste novamente.
- Se houver desvios, verifique Log Viewer, Packet Capture, erro de interface e carga do sistema.
- Só então teste a próxima alteração.
Especialmente com VPN e testes de localização, este procedimento evita que múltiplas causas sejam confundidas. Se MTU, IPS, SD-WAN, regras de firewall e perfis de cliente forem ajustados ao mesmo tempo, será difícil atribuir um valor iPerf melhor posteriormente.
Avaliar resultados
Ao avaliar, não se deve prestar atenção apenas ao número Mbit/s mais alto.
Observações típicas:
- Baixo rendimento TCP com muitas retransmissões: isto indica perda de pacotes, problema de duplex/link, qualidade WAN ou um tema MTU/MSS.
- Bom download, upload ruim: Linha assimétrica, roteamento, modelagem de provedor ou direção VPN são possíveis.
- Perda de pacotes UDP mesmo sob carga moderada: As causas comuns são sobrecarga, baixa qualidade WAN, formato incorreto ou WLAN.
- Valores altamente flutuantes: Verifique carga paralela, WLAN, limite CPU ou ambiente virtual.
- Apenas servidores públicos lentos: Então o servidor externo ou peering é afetado, e não automaticamente o firewall local.
Durante o teste, RAM, carga de interface, carga de IPS e regras afetadas devem ser verificadas no Sophos Firewall CPU. Os valores podem ser melhor classificados usando métricas de desempenho e logs ao vivo.
Erros e lista de verificação
Muitas conclusões falsas surgem porque o caminho de teste não está claramente definido ou servidores públicos, WLAN, firewalls de host local e direção VPN não são levados em consideração.
Erros comuns
- A porta iPerf está bloqueada no servidor pelo firewall do host local.
- A direção errada é testada.
- Um cliente WLAN é usado para uma declaração de desempenho do firewall.
- UDP é testado sem uma largura de banda alvo adequada ou com uma largura de banda alvo irrealisticamente alta.
- Um servidor público iPerf é usado como única prova do desempenho da Internet.
- O fluxo único TCP e vários fluxos paralelos TCP são misturados.
- A regra Sophos Firewall aplicável não está verificada.
- Os testes VPN são avaliados sem verificar MTU, MSS, CPU e a contraparte remota.
Lista de verificação curta
- Defina a rota e a direção do teste.
- Inicie o servidor iPerf em um terminal apropriado.
- Verifique o firewall do host local no servidor iPerf.
- Identifique a regra Sophos Firewall apropriada.
- Execute o teste TCP por pelo menos 30 segundos.
- Se necessário, teste na direção oposta com
-R. - Teste UDP apenas com largura de banda alvo realista.
- Verifique métricas de firewall, logs e Packet Capture em paralelo.
- Repita o teste após as alterações e documente os resultados.
- Use os mesmos parâmetros, direção e caminho ao fazer medições comparativas.
PERGUNTAS FREQUENTES
iPerf mede a velocidade da Internet de Sophos Firewall?
Você deve usar um servidor público iPerf?
Por que os resultados TCP e UDP são diferentes?
Por que você deveria testar a direção oposta com -R?
-R inverte a direção dos dados sem trocar servidor e cliente. Isso ajuda com linhas assimétricas, caminhos de retorno VPN, caminhos SD-WAN ou problemas de upload.