Здравствуйте, коллеги!
Помогите решить проблему. Есть 2 подсети, одна висит на lan, другая на dmz
Настроены разрешающие правила allow в Polices (all_services) на прохождение пакетов между этими подсетями в обе стороны (логирование убрал)
Между подсетями идет активный обмен трафиком. Процессор DFL-860E занят при этом на 99% (Status-CPU Load), скорость обмена резко падает
Сетка гигабитная. Когда компы и сервера были в одной подсети, проблем не было, все летало очень быстро. Стоило разнести их в разные подсети - начались эти проблемы.
Подскажите что делать.

После lan порта коммутатор? и полсе DMZ коммутатор,? и почему именно DMZ а не vlan?

Да, после lan - коммутатор и после dmz - тоже коммутатор. Vlan не использовал из-за того, что коммутаторы достаточно часто меняются, да и подключения
клиентов к портам коммутатора тоже нередко перекидываются.

делал, подобное но с вланами, и всё ок,, вот и спросил

Результат закономерный.

Пропускная способность DFL-860E 200 МБит/с. Поскольку весь этот трафик обрабатывается устройством, он работает на пределе возможностей, грузится на 100% и скорость трафика не превышает 200 МБит/с против 2 ГБит/с в теории для полнодуплекстого гигабитного соединения.

Что собрали, то и получили.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо Юрий за ответ. А если для каждой подсети использовать свой DFL и потом оба DFL соединить VLAN транком - это поможет или тоже глухо?

Это также глухо. Принцип работы не меняется.

Если вы хотите сделать эти сети логически разными и ускорить обмен и разгрузить DFL вариант единственный - маршрутизацию между этими сетями возложить на другое устройство.

Ограничение скорости маршрутизации при этом - проблема нового устройства. Идеальный вариант это коммутатор 3-го уровня с маршрутизацией на скорости среды передачи, но это очень недешевое удовольствие.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Еще раз спасибо.