[GTER] Hardware de Firewall

[Rafael M. Koike]

 Poxa, ai comparando com Cisco fica covardia heim Rubens :-)
 Mas pelo visto a placa pode fazer forwarding entre as 4 interfaces a
full-rate (8Gbps no caso da 4 interfaces Giga).
 Agora se for usar como um DPI vai ter que jogar o trafego para
inspeção na CPU e ai a interface vai fazer a diferença ;-)
 Como ela tem 64Mb de RAM até mesmo um router com Full BGP (Acho que
vamos precisar de 1gb ou 2gb de RAM para armazenar toda a tabela de
roteamento) ela vai interfacear com a CPU, mas como o máximo de
throughput vai ser 8Gbps 4 interfaces a full speed) acho que dá e
sobra para o througput de 1.06 GB/s da PCI-X 1.0
 Voce sabe de algum appliance que já está usando ela
comercialmente?
 A Fortinet e Juniper sempre alegaram que seus firewalls usam ASIC
para processamento e por isso tem maior performance, mas na hora que
voce habilita as funcionalidades de DPI a caixa já não consegue
sustentar a mesma performance que somente a de FW que deveria estar
sendo feita no ASIC, Dai para aplicações atuais que voce demanda
processamento DPI acaba todos os fabricantes tendo performance
semelhante porque todos eles tem que analisar pacotes na CPU e isso
vira o gargalo da solução (devido a limitações de velocidade do
BUS, CPU FSB, memória, etc.)
 A nova placa de 4x10G não diz se ela suportará fullspeed entre as
interfaces usando o ASIC (80Gbps) mas se suportar a interface
PCI-Express 8x que tem taxa de transferencia de 8GB/s e isso aliado a
um bom processador (Xeon 8 Cores 3.2Ghz) e um kit de memória de alta
velocidade (16GB DDR3) pode até começar a trocar seus ASR :-) ou
até os CRS :-O (Com  DPI do tráfego ainda)
 Mas vale uma sugestão mais "barata" para o nosso amigo estudante.
 Eu uso a placa da PCEngines para firewall em casa e para um trabalho
academico serve bem aos propósitos.
 CPU AMD Geode, memória RAM integrada, interface mini-PCI, 1/2/3
interfaces Fastethernet e alguns modelos possuem interface VGA e USB
(A minha só tem serial)
 E tambem vem slot para conexão de cartão compact flash (será seu
HD da placa)
 O custo é na faixa dos U$ 150,00 fora impostos e frete)
 E eles tambem vendem um box de aluminio para acomodar a placa.
 Performance vai ser bem abaixo da NetFPGA mas como é só para prova
de conceito do trabalho academico, vale a pena olhar.
 On Qui 28/10/10 13:13 , Rubens Kuhl rubensk at gmail.com sent:
  2010/10/28 Rafael M. Koike :
 >
 >
 > Muito interessante o Kit.
 >
 > Só pecou por usar interface PCI-X.
 > Pelo que vi a nova versão 10G vai vir com PCI-Express o que dará
mais
 > performance quando se usar mais placas ou fizer interface com o
PC.
 Ah sim, mas acho que os casos de uso prováveis ou utilizam apenas
uma
 das interfaces Gig-E para transferir dados para a CPU, ou utilizam
as
 interfaces quer para comutar/rotear pacotes, quer para analisar e
só
 passar alarmes (um IDS, por exemplo), sem ter que interagir tanto
com
 a CPU.
 > Mas achei o preço meio "salgado" para usuários não academicos
U$ 1.199,00
 > :-(
 Além dos não acadêmicos terem que financiar o lucro do produto,
eu não
 achei o preço alto. Um Cisco ASR 1002 não sai por menos de US$10k
FOB
 (e esse preço já é de EOS/refurbished...), some o preço da placa
com
 uns US$500 de um servidor de rack (Dell PowerEdge R210), e por menos
 de US$2k FOB você tem um roteador com forwarding por hardware. Se
você
 me vender um ASR1002 por R$6 mil eu vou achar o NetFPGA caro... do
 contrário... :-)
 Rubens
 --
 gter list https://eng.registro.br/mailman/listinfo/gter [2]