[GTER] Hardware de Firewall

Rubens Kuhl rubensk at gmail.com
Thu Oct 28 17:00:23 -02 2010 

2010/10/28 Rafael M. Koike <r.koike at terra.com.br>:
>
> Poxa, ai comparando com Cisco fica covardia heim Rubens :-)
> Mas pelo visto a placa pode fazer forwarding entre as 4 interfaces a
> full-rate (8Gbps no caso da 4 interfaces Giga).
> Agora se for usar como um DPI vai ter que jogar o trafego para inspeção na
> CPU e ai a interface vai fazer a diferença ;-)

Não precisa não. Procure por "SNORT FPGA" e veja quantas
implementações de Network IDS já existem com FPGA... algumas inclusive
com sistemas parcialmente reconfiguráveis em que cada novo arquivo de
string match gera um reprojeto parcial da FPGA para match.

> Como ela tem 64Mb de RAM até mesmo um router com Full BGP (Acho que vamos
> precisar de 1gb ou 2gb de RAM para armazenar toda a tabela de roteamento)
> ela vai interfacear com a CPU, mas como o máximo de throughput vai ser 8Gbps
> 4 interfaces a full speed) acho que dá e sobra para o througput de 1.06 GB/s
> da PCI-X 1.0

No caso do "Hardware Accelerated Linux Router", é enviada apenas a
tabela de forwarding para a placa (assim como o dCEF em equipamentos
Cisco) então a comutação é local mesmo para um roteador num ambiente
de full routing.

> Voce sabe de algum appliance que já está usando ela comercialmente?

Não sei.

> A Fortinet e Juniper sempre alegaram que seus firewalls usam ASIC para
> processamento e por isso tem maior performance, mas na hora que voce
> habilita as funcionalidades de DPI a caixa já não consegue sustentar a mesma
> performance que somente a de FW que deveria estar sendo feita no ASIC, Dai
> para aplicações atuais que voce demanda processamento DPI acaba todos os
> fabricantes tendo performance semelhante porque todos eles tem que analisar
> pacotes na CPU e isso vira o gargalo da solução (devido a limitações de
> velocidade do BUS, CPU FSB, memória, etc.)

No caso da Juniper, o match em hardware é por pesquisa de padrões
simples, através de memória endereçada a conteúdo. Num FPGA você pode
implementar algo mais complexo como um autômato finito, algo que é um
pouco mais versátil.

> A nova placa de 4x10G não diz se ela suportará fullspeed entre as interfaces
> usando o ASIC (80Gbps) mas se suportar a interface PCI-Express 8x que tem
> taxa de transferencia de 8GB/s e isso aliado a um bom processador (Xeon 8
> Cores 3.2Ghz) e um kit de memória de alta velocidade (16GB DDR3) pode até
> começar a trocar seus ASR :-) ou até os CRS :-O (Com  DPI do tráfego ainda)

ASR-1x já dá para trocar hoje com a NetFPGA de 4x1G. Com a de 4x10G
vai dar para trocar o ASR-9k.


Rubens

More information about the gter mailing list