[MASOCH-L] Roteador/filtro de pacotes com Linux: necessidade de rotear/filtrar tráfego gigabit: especificação de hardware.

casfre at gmail.com casfre at gmail.com
Mon Sep 24 12:54:30 -03 2007


Pessoal,

     Estou buscando uma solução para resolver o seguinte problema:

     Há uma DMZ, com servidores  (web atualmente) que precisam de
acesso a servidores de bancos de dados (CRÍTICOS). Entre a DMZ e os
CRÍTICOS, há um filtro de pacotes (FW1) com Linux.

     Há a rede INTERNA, que também precisa de acesso aos CRÍTICOS (
via aplicação/bde). Entre eles, há um filtro de pacotes (FW2) com
Linux.

     Atualmente há, na DMZ, 3 servidores que precisam de acesso aos
CRÍTICOS e, na INTERNA 50 estações com acesso direto (aplicação/bde).

     Solicitou-se uma alteração que elevará esse número para cerca de
120 estações, sendo que, a demanda das 70 adicionais será (previsão)
bem superior à das atuais. Além disso, há previsão de aumento nos
acessos feitos nas atuais 50 estações.

     O esquema é assim ( aceita-se anexo na lista?)  (sw1 é um SWITCH só):

DMZ>SWITCH>FW1>(sw1)>CRÍTICOS<(sw1)<FW2<SWITCH<INTERNA

     Problema: o tráfego em FW2 (e, em breve em FW1), está alto e
preciso rotear/filtrar volumes que tendem a 1Gbps. Estimo (
infelizmente só estimo ) que haverá necessidade de filtrar/rotear
acima de 300kpps.

     Atualmente, FW1 e FW2 são P4 HT 3.0, 512MB RAM, com placa de rede
e1000 (Intel - gigabit) onboard e DGE530 (Dlink - gigabit) em um slot
PCI. Há uma terceira placa de rede FAST ETH, mas só para monitoração
(ssh).

     Tenho dados ( em ambiente de testes ) de roteamento/filtragem (
uma dúzia de regras de iptables ), de até 35kpps(?) (verificarei esse
número - iptraf), mas a placa DGE chegou a registrar um alto número de
overruns ( ifconfig ). Em produção, atualmente, FW2 mostra próximo de
12kpps (pico máximo). ( Linux Slackware 11.0 - Kernel série 2.6 ).

     Para o momento, eu preciso achar ( ou tentar ) um PC e placas de
rede que sejam capazes de fazer isso, usando Linux e mantendo a atual
estrutura. Há propostas para fazer uma análise/reestruturação completa
da rede, mas o custo ainda é proibitivo, (para o momento).

     Alguém saberia me indicar que tipo de placa mãe conseguiria
suportar tais placas de rede e que placas de rede suportariam tal
demanda?  Estou buscando soluções que utilizem PCI Express, mas não
tenho experiência com placas de rede/hardware de alta performance (
processamento próprio para não sobrecarregar a CPU, dual port, quad
port etc).

     Também estou procurando informações sobre roteadores/filtros
Linux nessas condições (google - fornecedores), mas ainda não consegui
chegar a uma especificação.

     Por fim, qualquer informação será de grande ajuda, inclusive
sobre algum appliance que possa suportar a demanda, pois, creio eu, o
PC em questão não deve ficar barato, logo, um appliance pode se tornar
"atingível".

     Agradeço pela atenção.

Cássio



More information about the masoch-l mailing list