[MASOCH-L] Roteador/filtro de pacotes com Linux: necessidade de rotear/filtrar tráfego gigabit: especificação de hardware.
Fernando Ulisses dos Santos
fernando at bluesolutions.com.br
Mon Sep 24 15:38:56 -03 2007
Cássio,
Para saber se você vai precisar de mais processador, você tem que observar
o load da máquina atual. Quando as regras de iptables saturam o
processador, o load começa a aumentar sem nenhum processo usando CPU.
De qualquer forma, os processadores de hoje são bem superiores ao P4HT
(mesmo em clocks inferiores), em termos de CPU, no máximo você pode
dimensionar um Xeon, mas um Core 2 Duo ou um Opteron X2 devem dar conta.
Sobre as placas gigabit, é importante estarem no slot PCI-Express mesmo. O
fato de ser as Dual-port ou Quad-port é mais para alocar mais interfaces
por servidor, a interface PCI-Express deve dar conta de qualquer um.
Recomendo partir para um equipamento de "marca", com placa mãe da linha
server, memória ECC, etc.
Se você achar que o tráfego de 1 Gigabit é pouco, pode considerar 2
interfaces usando o módulo bond do Linux, elas te darão redundância e
balanceamento de link.
--
Fernando Ulisses dos Santos
Blue Solutions - Soluções em TI
19-3551-3898 / 11-4062-9218
fernando at bluesolutions.com.br
Certificado Linux LPIC-1
casfre at gmail.com escreveu:
> Pessoal,
>
> Estou buscando uma solução para resolver o seguinte problema:
>
> Há uma DMZ, com servidores (web atualmente) que precisam de
> acesso a servidores de bancos de dados (CRÍTICOS). Entre a DMZ e os
> CRÍTICOS, há um filtro de pacotes (FW1) com Linux.
>
> Há a rede INTERNA, que também precisa de acesso aos CRÍTICOS (
> via aplicação/bde). Entre eles, há um filtro de pacotes (FW2) com
> Linux.
>
> Atualmente há, na DMZ, 3 servidores que precisam de acesso aos
> CRÍTICOS e, na INTERNA 50 estações com acesso direto (aplicação/bde).
>
> Solicitou-se uma alteração que elevará esse número para cerca de
> 120 estações, sendo que, a demanda das 70 adicionais será (previsão)
> bem superior à das atuais. Além disso, há previsão de aumento nos
> acessos feitos nas atuais 50 estações.
>
> O esquema é assim ( aceita-se anexo na lista?) (sw1 é um SWITCH só):
>
> DMZ>SWITCH>FW1>(sw1)>CRÍTICOS<(sw1)<FW2<SWITCH<INTERNA
>
> Problema: o tráfego em FW2 (e, em breve em FW1), está alto e
> preciso rotear/filtrar volumes que tendem a 1Gbps. Estimo (
> infelizmente só estimo ) que haverá necessidade de filtrar/rotear
> acima de 300kpps.
>
> Atualmente, FW1 e FW2 são P4 HT 3.0, 512MB RAM, com placa de rede
> e1000 (Intel - gigabit) onboard e DGE530 (Dlink - gigabit) em um slot
> PCI. Há uma terceira placa de rede FAST ETH, mas só para monitoração
> (ssh).
>
> Tenho dados ( em ambiente de testes ) de roteamento/filtragem (
> uma dúzia de regras de iptables ), de até 35kpps(?) (verificarei esse
> número - iptraf), mas a placa DGE chegou a registrar um alto número de
> overruns ( ifconfig ). Em produção, atualmente, FW2 mostra próximo de
> 12kpps (pico máximo). ( Linux Slackware 11.0 - Kernel série 2.6 ).
>
> Para o momento, eu preciso achar ( ou tentar ) um PC e placas de
> rede que sejam capazes de fazer isso, usando Linux e mantendo a atual
> estrutura. Há propostas para fazer uma análise/reestruturação completa
> da rede, mas o custo ainda é proibitivo, (para o momento).
>
> Alguém saberia me indicar que tipo de placa mãe conseguiria
> suportar tais placas de rede e que placas de rede suportariam tal
> demanda? Estou buscando soluções que utilizem PCI Express, mas não
> tenho experiência com placas de rede/hardware de alta performance (
> processamento próprio para não sobrecarregar a CPU, dual port, quad
> port etc).
>
> Também estou procurando informações sobre roteadores/filtros
> Linux nessas condições (google - fornecedores), mas ainda não consegui
> chegar a uma especificação.
>
> Por fim, qualquer informação será de grande ajuda, inclusive
> sobre algum appliance que possa suportar a demanda, pois, creio eu, o
> PC em questão não deve ficar barato, logo, um appliance pode se tornar
> "atingível".
>
> Agradeço pela atenção.
>
> Cássio
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list