Привет всем, я опубликовываю это, чтобы задокументировать проблему, с которой я разбираюсь уже несколько дней — крайне низкая производительность UDP на UDM Pro. После тщательного тестирования я уверен, что причина в CPU-bound NAT/UDP обработке в firmware 4.0.x–4.4.x. Этот пост включает все тесты, которые я провел, на случай если другие смогут воспроизвести проблему.
Конфигурация железа:
UDM Pro (firmware 4.4.6 на момент тестирования)
UniFi 48-port PoE switch (USW-Pro-48 PoE) через SFP+ uplink
Несколько VLAN, без IDS/IPS, без Smart Queues, без DPI
Все функции безопасности отключены во время тестов
WAN: 1 Гбит/с симметричная оптика
LAN тесты: прямой путь 10G через SFP+
Краткое описание симптомов:
TCP работает нормально — я получаю полную скорость TCP (≈950 Мбит/с) в обе стороны.
UDP критически деградирует — при тестах iperf3 UDP пропускная способность падает до ~300–350 Мбит/с с огромными потерями пакетов.
CPU скачет на 100% на одном ядре во время операций UDP/NAT.
Это явно указывает на то, что offload не работает для UDP в текущей firmware.
Команда тестирования (reverse UDP):
iperf3 -4c [server] -u -b 1G -R --bind [LAN_IP] -t 120 --dont-fragment
[ 5] 0.00-1.00 sec 40.1 MBytes 336 Mbits/sec 0.043 ms 54719/88985 (61%)
[ 5] 1.00-2.00 sec 39.6 MBytes 332 Mbits/sec 0.041 ms 53112/87302 (60%)
Наблюдаемое поведение:
Пропускная способность UDP остается в районе 300–350 Мбит/с.
Потери пакетов около 50–60%.
Всплески задержки.
CPU на UDM Pro прыгает на 100% на одном ядре, стабильно.
TCP сразу после этого возвращается к 950 Мбит/с без проблем.
Изменение IP-адреса bind, VLAN, портов, SFP+ vs RJ45 или WAN IPv4 vs IPv6 никаких результатов не дало.
Дополнительные тесты:
1. Отключил все в разделе "Security"
IPS/IDS off
Threat detection off
Geo-blocking off
Signature updates off
Traffic identification off
→ Никаких изменений.
2. Пробовал SFP+ → RJ45 модуль и прямой RJ45
Никакой разницы.
3. Пробовал IPv4 vs IPv6
Небольшое улучшение.
4. Пробовал LAN-only UDP тесты
LAN → LAN UDP маршрутизация также ограничена в том же диапазоне 300–350 Мбит/с при маршрутизации через UDM Pro. Прямая коммутация на уровне L2 достигает полной скорости.
5. Пробовал WireGuard клиент на Windows, сначала через UDM — скорость ограничена, потом напрямую без UDM — получил ожидаемую скорость.
Выводы:
Все указывает на то, что на firmware 4.3.x–4.4.x UDM Pro:
Не аппаратно-ускоряет UDP NAT/маршрутизацию должным образом → что заставляет CPU максимизироваться → что жестко ограничивает пропускную способность UDP до ~300–350 Мбит/с → с огромными потерями пакетов.
TCP не затронут, потому что аппаратное ускорение работает для TCP.
Это согласуется с сообщениями сообщества о том, что ветка firmware 4.3–4.4 сломала аппаратное ускорение, особенно для WireGuard и высокоскоростных UDP потоков.
Просьба:
Может ли Ubiquiti, пожалуйста:
Подтвердить, сломано ли UDP/NAT ускорение на UDM Pro в firmware 4.0–4.4.
Предоставить информацию по поводу:
планируется ли исправление
намеренно ли отключено ускорение
есть ли обходные пути кроме downgrade firmware.
Рад предоставить больше данных.
Если команде UniFi нужны:
полные логи iperf
pcap файлы
графики CPU
support файлы
Я могу все это предоставить.
Спасибо.
Конфигурация железа:
UDM Pro (firmware 4.4.6 на момент тестирования)
UniFi 48-port PoE switch (USW-Pro-48 PoE) через SFP+ uplink
Несколько VLAN, без IDS/IPS, без Smart Queues, без DPI
Все функции безопасности отключены во время тестов
WAN: 1 Гбит/с симметричная оптика
LAN тесты: прямой путь 10G через SFP+
Краткое описание симптомов:
TCP работает нормально — я получаю полную скорость TCP (≈950 Мбит/с) в обе стороны.
UDP критически деградирует — при тестах iperf3 UDP пропускная способность падает до ~300–350 Мбит/с с огромными потерями пакетов.
CPU скачет на 100% на одном ядре во время операций UDP/NAT.
Это явно указывает на то, что offload не работает для UDP в текущей firmware.
Команда тестирования (reverse UDP):
iperf3 -4c [server] -u -b 1G -R --bind [LAN_IP] -t 120 --dont-fragment
[ 5] 0.00-1.00 sec 40.1 MBytes 336 Mbits/sec 0.043 ms 54719/88985 (61%)
[ 5] 1.00-2.00 sec 39.6 MBytes 332 Mbits/sec 0.041 ms 53112/87302 (60%)
Наблюдаемое поведение:
Пропускная способность UDP остается в районе 300–350 Мбит/с.
Потери пакетов около 50–60%.
Всплески задержки.
CPU на UDM Pro прыгает на 100% на одном ядре, стабильно.
TCP сразу после этого возвращается к 950 Мбит/с без проблем.
Изменение IP-адреса bind, VLAN, портов, SFP+ vs RJ45 или WAN IPv4 vs IPv6 никаких результатов не дало.
Дополнительные тесты:
1. Отключил все в разделе "Security"
IPS/IDS off
Threat detection off
Geo-blocking off
Signature updates off
Traffic identification off
→ Никаких изменений.
2. Пробовал SFP+ → RJ45 модуль и прямой RJ45
Никакой разницы.
3. Пробовал IPv4 vs IPv6
Небольшое улучшение.
4. Пробовал LAN-only UDP тесты
LAN → LAN UDP маршрутизация также ограничена в том же диапазоне 300–350 Мбит/с при маршрутизации через UDM Pro. Прямая коммутация на уровне L2 достигает полной скорости.
5. Пробовал WireGuard клиент на Windows, сначала через UDM — скорость ограничена, потом напрямую без UDM — получил ожидаемую скорость.
Выводы:
Все указывает на то, что на firmware 4.3.x–4.4.x UDM Pro:
Не аппаратно-ускоряет UDP NAT/маршрутизацию должным образом → что заставляет CPU максимизироваться → что жестко ограничивает пропускную способность UDP до ~300–350 Мбит/с → с огромными потерями пакетов.
TCP не затронут, потому что аппаратное ускорение работает для TCP.
Это согласуется с сообщениями сообщества о том, что ветка firmware 4.3–4.4 сломала аппаратное ускорение, особенно для WireGuard и высокоскоростных UDP потоков.
Просьба:
Может ли Ubiquiti, пожалуйста:
Подтвердить, сломано ли UDP/NAT ускорение на UDM Pro в firmware 4.0–4.4.
Предоставить информацию по поводу:
планируется ли исправление
намеренно ли отключено ускорение
есть ли обходные пути кроме downgrade firmware.
Рад предоставить больше данных.
Если команде UniFi нужны:
полные логи iperf
pcap файлы
графики CPU
support файлы
Я могу все это предоставить.
Спасибо.