『CPU負荷が高すぎる』のクチコミ掲示板

[wharf686]

RTX1210(Rev.14.01.20)を自宅で使っていますが、
http://beta.speedtest.net/
等のスピードテストを実施すると、Down/Up共に800Mbps程度でるものの、CPU負荷は90%近くと
極めて高い状況です。スピードテスト終了後はCPU負荷は0%近くまで下がります。
フィルタ等もほとんど適用しておらず、極めてシンプルな構成であるにも関わらずです。

因みに別途保有しているFortigate 60Dで試したところ、Fortigate 60Dでは同様のスピードテスト中でも
CPU負荷は10%以下とほとんど負担になっていません。

configは以下のようにシンプルです。
LAN3にはプロバイダから支給されたルーターが接続されています(いわゆる2重ルーター)。

ip route default gateway dhcp lan3
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.4.254/24
ip lan1 proxyarp on
ip lan3 address dhcp
ip lan3 secure filter in 1020 1030 2000
ip lan3 secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
ip lan3 nat descriptor 1
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/16 *
ip filter 1030 pass * 192.168.4.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
dashboard accumulate traffic on

書込番号：21290138

[sorio-2215]

私も近似値構成ですが、こういったリソース問題の場合には、NATテーブル消費が想定されます。

NATテーブルを、無制限に消費する様なアプリの利用、動画サイトなどの参照があれば、ルーター自身にて、NATテーブルタイマーの設定や、NATテーブル数にリミットをかけることが可能ですが、ご指定の情報だけでは、判断が難しいです。

show environmentコマンドや、show nat descriptor addressコマンドの内容を、お教え下さい。

書込番号：21290611　スマートフォンサイトからの書き込み

[wharf686]

＞sorio-2215さん

ありがとうございます。

本ルーターを使っているPCが1〜2台で、家族が普段使うインターネット回線は別ルーターの別回線を使っているので、
スピードテストしただけでRTX1210のCPU負荷が100%近くに行くのは納得いきません。

ちなみに、今スピードテストをしてshow environment等のコマンドを実行したところ以下のようになりました。
現在の時間だとDown/Upが500Mbps程度なので、CPUの負荷も50%くらいです。
何もCPUの処理を食うようなものはないように見えるんですけどね・・・。

> show environment

RTX1210 BootROM Ver. 1.04
RTX1210 FlashROM Table Ver. 1.00
RTX1210 Rev.14.01.20 (Thu Jun 1 07:52:40 2017)
main: RTX1210 ver=00 serial=xxxxxxxxxxx MAC-Address=xx:xx:xx:xx:xx:xx MAC-Addr
ess=xx:xx:xx:xx:xx:xx MAC-Address=xx:xx:xx:xx:xx:xx
CPU: 50%(5sec) 6%(1min) 6%(5min) メモリ: 16% used
パケットバッファ: 0%(small) 0%(middle) 7%(large) 0%(huge) used
実行中ファームウェア: exec0 実行中設定ファイル: config0
デフォルトファームウェア: exec0 デフォルト設定ファイル: config0
シリアルボーレート: 9600
起動時刻: 2017/10/19 10:28:45 +09:00
現在の時刻: 2017/10/19 17:16:15 +09:00
起動からの経過時間: 0日 06:47:30
セキュリティクラス レベル: 1, FORGET: ON, TELNET: OFF
筐体内温度(℃): 42

> show nat descriptor address

NAT/IPマスカレード 動作タイプ : 2
参照NATディスクリプタ : 1, 適用インタフェース : LAN3(1)
Masqueradeテーブル
外側アドレス: primary/192.168.1.12
ポート範囲: 60000-64095, 49152-59999, 44096-49151 215 セッション
-*- -*- -*- -*- -*- -*- -*- -*- -*- -*- -*-
No. 内側アドレス セッション数 ホスト毎制限数 種別
1 192.168.4.233 200 65534 dynamic
2 192.168.4.13 14 65534 dynamic
3 192.168.4.52 1 65534 dynamic
---------------------
有効なNATディスクリプタテーブルが1個ありました

書込番号：21290652

[sorio-2215]

NATテーブル数、確認しました。
200テーブル前後しか、利用してませんので、原因としては、違うかと思います。

2重ルーターとのことですが、ルーター同士、ループ衝突や、lanケーブルなどの断線ショートなど、確認出来ませんでしょうか？

上位ルーターの方ですが、DMZホストなどに、RTX1210ルーターのlan3 アドレス設定が、固定設定されているか、ご確認下さい。

不要なルーティング設定も、上位ルーター内容を確認下さい。

書込番号：21292528　スマートフォンサイトからの書き込み

[wharf686]

＞sorio-2215さん

ありがとうございます。

上位ルーターはプロバイダによって管理されていて全くいじれないようになっており、
4つのLANポートに接続した機器に対してDHCPで192.168.1.xのプライベートアドレスを
割り当てるようになっています。

実は

プロバイダA提供ルーター - RTX1210 (192.168.4.254) - LAN
|----- Fortigate 60D (192.168.4.250) - LAN
プロバイダBモデム ------- ER-X (192.168.4.1) - LAN

のように、ちょっと複雑な構成になっているので、一旦シンプルな構成にして、もう一度負荷を見てみようと思います。

書込番号：21292681

[sorio-2215]

プロバイダにて、管理されているのは解りましたが、設定が変えられないルーターとは、あり得ないかと思います。

変えられないという事は、オンラインゲームや特定のアプリなどのポート開放も出来ないと言う形になります。

通常、NTTなどであれば、光電話ルーターなどは、設定変更出来るようになっており、KDDIやソフトバンクなども、変更可能なHGWになってますが。

書込番号：21292924　スマートフォンサイトからの書き込み

[wharf686]

＞sorio-2215さん

設定が変えられないルーターなんてないよ思いますよね。でもそれは日本の話。
でも、実は私は海外在住で、シンガポールのViewqwestという会社から提供されたルーターは一切変更できないんです。
ルーターのIPアドレス 192.168.1.1へhttp、httpsどちらもアクセスしてみましたが駄目でした。
サポートにも問い合わせましたが、会社が管理しているので変えられないの一点張り。

2Gbpsのプランなので、ブリッジ接続されてしまうと2Gbpsの速度が出ないので、このような取扱になっていると推察されます。
(1Gbpsのプランだと自分のルーターのMACアドレスを教えればなんとかしれくれるとの説明が)

ただし回線速度自体は早く、プロバイダから提供されたルーターにPC2台つなげて、Speedtestを行うと、
2台合計でDown 1311Mbps、Up605Mbpsと速度的には大変満足です。

ちなみに、NTTのケーブル回線も使っていますが、こちらもモデム+ルーターを提供されましたが、ルーターについては
プロバイダが管理しているので設定を変えられないと言ってきました。ただし、ルーターを市販のものに切り替えれば
DHCPでグローバルアドレスが降ってくるのでこまりませんが。
ただし速度はDown200Mbps、Up10Mbpsです・・・。

書込番号：21292994

[sorio-2215]

192.168.1.1にてアクセス出来ないと言う事は、web用のwelknownポートは利用不許可、telnetなどのアクセス設定するタイプになるかと思います。

どちらにしても、セキュリティ権限の設定をしている状態かと思います。

別回線に乗り換えされた方が、良いかと思います。

書込番号：21293408　スマートフォンサイトからの書き込み

[sorio-2215]

もう一つ方法が、有るかもしれません。
現在の回線契約に、ご利用ルーター分、グローバルIPアドレス複数契約の可否確認されると良いかと思います。

書込番号：21301136　スマートフォンサイトからの書き込み

[wharf686]

乗り換えたいんですが、当地ではほとんど選択がない上、今回引けた2Gbpsの回線も1月に申し込んで
漸く先週開通したという状況です。NTTのように当地ではNetlink Trustという会社が光回線を一社独占で
メンテナンスしていますが、この会社がイマイチで(政府に何度も罰金を食らっている)、プロバイダに申し込んでも
バックボーンの帯域不足のためなかなか回線が開通しません。

と、色々不満があるところですが、主題はRTX1210が高速通信をすると負荷が必要以上に高くなることです。
この現象は、日本に設置のRTX1210でも生じています(日本の回線も実測でUp/Down共に500Mbps以上)。
高速VPN回線で当地と日本を結ぶのが最終目標です。
VPNの通信は23MB/s = 184Mbps以上でていますが、CPUが100%に張り付いているので、何か改善すれば
もう少し速度が出るのではと考えています。

問題の切り分けのため、VPNの設定や余計なフィルタは削除して、単純構成にしてみたのですが、それでもCPU負荷
は高いので、困っています。

書込番号：21301263

[sorio-2215]

あまり考えられないですが、ルーターの専用キャッシュ機能、ファーストパス機能をファースト側では無く、ノーマル側にしても変わりませんか？
それと、インターフェースのMTU設定を、固定化してみるなど。

ip routing process normal
ip lan3 mtu 1500など。

書込番号：21301364　スマートフォンサイトからの書き込み

[wharf686]

＞sorio-2215さん

両方やってみましたが、前者は負荷が大きくなるだけで、後者は変化ありませんでした。

以下のページ見つけましたが、1Gbps近くの高速回線になると、NATだけでもCPUを使い切ってしまうみたいですね。

http://not-engineer.blogspot.sg/2016/09/ix2215-vs-rtx1210.html

拠点間のVPNが最終目標ですが、高速回線があってもRTX1210ではスペック不足のようです・・・。

書込番号：21309485

[sorio-2215]

NATテーブル処理だけで、CPUを占有してしまうと言うのは、誤解があるかと思います。
NATテーブル処理数のみで判断するのでしたら、仮にIX2215を利用しても変わりませんよ。

NATテーブル処理を発生させているのは、あくまでも配下のクライアント端末側のアプリケーションなどです。
NATテーブルを無法図に消費する様な、アプリケーションが無いか、ご確認下さい。

書込番号：21310231　スマートフォンサイトからの書き込み

[sorio-2215]

補足ですが、私もRTXとIX両方、利用してますが、普通の設定だけでしたら、ご指定のサイトの情報には、なりません。

両方の機種で違うのは、キャッシュ機能になります。
RTXのキャッシュ機能は、ソフトウェア制御で、若干CPUのリソースを消費しますが、IXのキャッシュ機能は、ハードウェアキャッシュになっており、VPNトンネル処理に、別のCPUを使う仕様になってます。

現状、VPNトンネル設定をしていない状態では、どちらのルーターも、性能上は変わらないかと存じます。

IXの方が、若干VPN性能が優れている点かと思います。

むしろ、機器の不良も考えた方が良いのでは？

書込番号：21310238　スマートフォンサイトからの書き込み

[wharf686]

RTX1210の負荷計測は、クライアント1台のみで行っており、NATテーブルがあふれるような処理はしていません。
スピードテストを実行すると、
800MbpsでDown/Upが出来ているとき→CPU負荷凡そ80%
700MbpsでDown/Upが出来ているとき→CPU負荷凡そ70%
600MbpsでDown/Upが出来ているとき→CPU負荷凡そ60%
500MbpsでDown/Upが出来ているとき→CPU負荷凡そ50%
という感じです。
site-to-siteで他拠点とipsecで繋ぐと、拠点間の通信が200Mbps程度でCPU負荷が100%になります。
拠点間のファイル伝送等を主目的としてRTX1210導入しましたが、
CPU負荷の問題が解決しない限りこれ以上速度の向上は見込めなそうです。

IXを含めた他のルーターに行くか色々検討しましたが、以下のFirewall Micro Appliance with 6x Gigabit Intel LAN Ports, AES-NI, i5, bareboneを注文しちゃいました。

https://www.amazon.com/Firewall-Appliance-Gigabit-AES-NI-barebone/dp/B076B6SWG5/ref=sr_1_3?s=electronics&ie=UTF8&qid=1509292723&sr=1-3&keywords=Firewall+Micro+Appliance+i5

ESXi + pfSenseを入れて、これで拠点間VPNをする予定です。
ためしに、Core i7 6700Kの余剰マシンにpfSense入れてスピードテストしたところ、CPU負荷はたったの2%。
4Gbit/s以上Intelの強力なAES-NIも使えるし、最初からこれにしておけばよかったかと・・・。

CPU負荷の問題もそうですが、下位機種に搭載されているdomain based routingも何故かRTX1210には
搭載されず。
世の中、クラウドを主体とした仮想化が進んでおりますし、ちょとだけですがpfSenseやVyOS使った限りは
圧倒的に機能が豊富で、仮想・実機ともに使えるという状況を考えると、Yamahaももっと頑張んないと
市場をどんどん食われるのではないかと思っちゃったりします。

RTXは初心者のネットワークのお勉強用には最適だと思うし、好きな部分でもあるんですけどね・・・。

書込番号：21318883

[sorio-2215]

　そうですか。
　また、ＵＴＭモドキの製品を選択されたのですね。

　ごく一般的な、日本国内のキャリア・プロバイダなどの接続ですと、ご指定の現象は見られないですが。
　ＮＡＴテーブル数から計算して、100台程度の接続しても、性能劣化などがおきるスペックでは無いです。

書込番号：21327783

[みねこたつ]

既定値で有効なはずなので、おまじない程度ですが、ファストパス機能を有効にしたらなにか変わるでしょうか。

http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/

書込番号：21380395

[wharf686]

＞sorio-2215さん

日本に行く機会があったので、シンガポールで使っているRTX1210を実家のNuro光の配下において
同様のテストをしてみましたが、やはり800Mbps程度でCPUを使い切ってしまいますね・・・。

最終的な目標は拠点間VPNスループット向上であり、RTX1210では色々試しましたが、おそらくCPU負荷が高すぎることに起因してスループットが向上しないので別の機器を検討中です。半ば、色々な機械を触って勉強してみたいというのもありますが。

Fortigate 60D、pfSense、Cisco 841M

とりあえず、両拠点にそれぞれの機器を設置したので、他の機器に変えるとどのように変化するか試してみます。

＞みねこたつさん

ファストパスが有効の状態でも800〜900Mbps程度の通信を行うとCPU100%近くになります。
ヤマハのサポートにも問い合わせましたが、正常動作とのことです。

書込番号：21381359

[sorio-2215]

　VPN機能にて、ルーターのCPU及び実装メモリ・リソースを消費してしまう件ですが、そこまでビットレートを追求してしまう状況ですと、厳しいです。

　NATテーブル処理にて、CPUやメモリ消費のウェートが高い訳では無いので、ルーターの選択肢として、VPNスループットとCPUキャッシュ機能、実装CPUのクロック数、メモリ容量に視点を置くしか無いかと存じます。

　Yamaha系でしたら、「RTX5000」、「RTX3500」などの選択肢が推奨、　多少リスク承知でしたら「RTX830」ですと、CPUクロックが1,333Mbps×２系統ですが、メモリ容量は「RTX1210」と変わってませんので、高スループット負荷になると、どこまでCPUリソースにて吸収出来るかは不透明です。

　個人的には、NEC　「UNIVERGE IX3315」、Yamaha「RTX5000」あたりが良いかと思います。
　NECはCPUがNXP(Freescale) QorIQ (マルチコア1.8GHz)、メモリ性能4GB、YamahaはCPUが1200MHz×4、メモリ1GBです。

書込番号：21389198

[sorio-2215]

時間経過してますが、追加情報ですが、RTX1210とIX2215を利用
しました情報ですが、実際接続スループットは、IX2215の方が速く、
CPU及びメモリリソースも消費率が低いです。

同一回線接続、多少RTX1210の方にipフィルター設定し、IX2215は、
同一ipフィルター状態で、RTX系が1gbps接続に対し300〜400Mbps、
IX系が500〜600Mbps、VPNなどを使用し、負荷をかけた状態で、
RTXがCPU70〜80パーセント、IXが30〜40パーセントでした。

CPUキャッシュ機能、搭載CPU処理仕様によって、メーカー告知スペック
をそのまま鵜呑みには出来ないかと思いました。

最新のファームウェアにて、IXの方は、250,000テーブルに対応した
アドバンテージが有りますが、参考までに。

書込番号：21462900　スマートフォンサイトからの書き込み

[sorio-2215]

対スループット、CPU使用率の点から言うと、fortigateはやめた方が
良いかと思います。
設計コンセプト、バランスが、セキュリティ機能寄りで、
逆に性能上のハンディキャップを持つ形になるかと思います。

書込番号：21462912　スマートフォンサイトからの書き込み

[sorio-2215]

IX系の場合、メインCPUとVPN処理するCPUを、それぞれ専用のハードウェアキャッシュ機能がアシストする設計になってますので、RTX系のソフトウェアキャッシュとはあまり比較出来ないかと思います。

書込番号：21463395　スマートフォンサイトからの書き込み