[GTER] Firewalls virtuais [ERA] Metrica para Throughput

Thu Dec 26 23:52:46 -02 2013

Fugindo do assunto, um movimento que eu tenho visto e achei interessante é
a oferta de firewall em VMs.
O balanceamento (que também está começando a oferecer orquestramento em
VMs) pode ser realizado por controllers que por sua vez coordenam os fluxos
nos data planes.

Apreciaria opiniões e experiências dos colegas com esse ambiente.

Em 24 de dezembro de 2013 19:34, Marcelo Gondim <gondim at bsdinfo.com.br>escreveu:

> Em 24/12/13 17:44, Marcelo Gondim escreveu:
>
>  Em 24/12/13 09:55, Samir Patrice escreveu:
>>
>>> Achei interessante o texto do Alexandre Moraes, realmente eu somente
>>> considerava o throughput para avaliar um firewall statefull. Porem agora
>>> surgiu uma dúvida, como eu faço para testar essas outras métricas
>>> (CPS,PPS)? Que ferramentas que eu posso usar para gerar trafego aleatório
>>> tcp?
>>> Antes eu simplesmente colocava um firewall em bridge entre dois hosts e
>>> testava com o iperf pra saber o throughput, mas depois do texto vi que
>>> meu
>>> método não é recomendado.
>>>
>> Siga a RFC [1] que é a melhor maneira de você avaliar seus equipamentos.
>> O iperf é uma excelente ferramenta de avaliação mas precisa saber usar e
>> também não é a única.  :)
>> Seguindo a RFC você pode avaliar melhor isso.
>>
>> [1] http://www.ietf.org/rfc/rfc2544.txt
>>
> Outro detalhe que esqueci de comentar: cuidado com o stateful. Existem
> casos em que é melhor o uso de um Firewall stateless. Stateful é bom mas os
> recursos podem ser consumidos rapidamente em um ataque, por isso todo
> cuidado é bom. Se a sua tabela conntrack lotar, acabou seu Firewall.
> Se você está pensando em um grande volume de tráfego existem 2 coisas
> limitantes no hardware: throughput e pps (packet per second) o que estourar
> primeiro vai parar a sua rede. Por exemplo: imagina uma situação onde você
> tem uma interface de rede Gigabit que teoricamente você poderia ter um
> tráfego de quase 1Gbps e aí no meio do tráfego de 700Mbps você percebe que
> tudo ficou lento, perdendo pacotes e aí vai ver um tráfego de 300kpps.
> Provavelmente o tráfego real em pps está acima do limite que a sua
> interface suporta e aí não consegue passar dos 700Mbps. Isso é apenas um
> exemplo, o RFC vai te ajudar à entender que o pps suportado pode variar de
> acordo com o tamanho do pacote de testes e os fabricantes deveriam colocar
> isso em seus datasheets mas nem todos fazem isso e alguns até mentem.
>
> []'s
>
>
>
>>>
>>> Em 19 de dezembro de 2013 16:18, Eng. Fabio Roberto
>>> <ipsolon2005 at gmail.com>escreveu:
>>>
>>>  corrigindo: está sendo*
>>>>
>>>> Em 19/12/2013 17:16, Eng. Fabio Roberto escreveu:
>>>>
>>>>  Leia sobre a RFC2544 e RFC6349, é o que está solicitado* nas ativações
>>>>> dos links.
>>>>>
>>>>>
>>>>> Abs
>>>>>
>>>>> Em 19/12/2013 15:12, Guilherme Loch Waltrick Góes escreveu:
>>>>>
>>>>>  Recomendo a leitura do Alexandre Moraes sobre o assunto:
>>>>>> http://alexandremspmoraes.wordpress.com/2011/05/24/
>>>>>> consideracoes-sobre-
>>>>>> desempenho-de-firewalls/
>>>>>>
>>>>>> Att,
>>>>>>
>>>>>> Guilherme Loch Góes
>>>>>>
>>>>>>
>>>>>> 2013/12/19 Thiago Gomes <thiagomespb at gmail.com>:
>>>>>>
>>>>>>  Pessoal,
>>>>>>>
>>>>>>> Quais seriam os parâmetros para medir  throughput de um hardware para
>>>>>>> firewall, por exemplo
>>>>>>> tenho um hardware, memoria, placa de rede, gostaria de saber como eu
>>>>>>> faço saber
>>>>>>> alguns parâmetros que tem em certos applicance .
>>>>>>>
>>>>>>> Ex,
>>>>>>>
>>>>>>> http://www.fortinet.com/products/fortigate/40C.html
>>>>>>>
>>>>>>> --
>>>>>>> Thiago Gomes
>>>>>>> --
>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>>>  --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>>
>>>>>>  --
>>>> Eng. Fabio Roberto
>>>> *S.O DO BRASIL TELECOMUNICACOES*
>>>> /www.superonda.com.br | www.zamix.com.br /
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>>
>>>
>>>
>>
>>  --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>