[MASOCH-L] Roteador/filtro de pacotes com Linux: necessidade de rotear/filtrar tráfego gigabit: especificação de hardware.

Antonio Carlos Pina antoniocarlospina at gmail.com
Tue Sep 25 13:10:03 BRT 2007 

Para registro: Tenho configurações linux+iptables chegando a 500Kpps.
E temos uma configuração em testes FreeBSD+ipfw que chegou a 1,2Mpps, com
78% idle CPU.

Hardware "normal" dual-xeon com tunning no SO.

Abs

Em 24/09/07, Tukso Antartiko <tukso.antartiko at gmail.com> escreveu:
>
> Não entendo muito do assunto, mas como ninguém disse o pouco que sei ...
>
> 12kpps não é alto mas supondo que você vá usar mesmo 300kpps eu não
> utilizaria linux com iptables a não ser que queira testar os limites desta
> configuração. A princípio FreeBSD + ipfw aguenta sem problemas, mas
> tomando
> cuidado com a quantidade/qualidade das suas regras e a capacidade do
> hardware. Como disse não sou especialista, para maiores detalhes veja em
> uma
> lista especializada do ipfw. Mas para constar não acho que uma placa gbit
> pci seja séria, tente escolher uma que além de boa tenha bom suporte no
> kernel e um P4 HT vai te dar pouca redundância.
>
> Você deve estar recebendo várias propostas de appliances mas qualquer um
> muito barato deve ser na verdade um pc rodando FreeBSD.
>
> On 9/24/07, casfre at gmail.com <casfre at gmail.com> wrote:
> >
> > Pessoal,
> >
> >      Estou buscando uma solução para resolver o seguinte problema:
> >
> >      Há uma DMZ, com servidores  (web atualmente) que precisam de
> > acesso a servidores de bancos de dados (CRÍTICOS). Entre a DMZ e os
> > CRÍTICOS, há um filtro de pacotes (FW1) com Linux.
> >
> >      Há a rede INTERNA, que também precisa de acesso aos CRÍTICOS (
> > via aplicação/bde). Entre eles, há um filtro de pacotes (FW2) com
> > Linux.
> >
> >      Atualmente há, na DMZ, 3 servidores que precisam de acesso aos
> > CRÍTICOS e, na INTERNA 50 estações com acesso direto (aplicação/bde).
> >
> >      Solicitou-se uma alteração que elevará esse número para cerca de
> > 120 estações, sendo que, a demanda das 70 adicionais será (previsão)
> > bem superior à das atuais. Além disso, há previsão de aumento nos
> > acessos feitos nas atuais 50 estações.
> >
> >      O esquema é assim ( aceita-se anexo na lista?)  (sw1 é um SWITCH
> só):
> >
> > DMZ>SWITCH>FW1>(sw1)>CRÍTICOS<(sw1)<FW2<SWITCH<INTERNA
> >
> >      Problema: o tráfego em FW2 (e, em breve em FW1), está alto e
> > preciso rotear/filtrar volumes que tendem a 1Gbps. Estimo (
> > infelizmente só estimo ) que haverá necessidade de filtrar/rotear
> > acima de 300kpps.
> >
> >      Atualmente, FW1 e FW2 são P4 HT 3.0, 512MB RAM, com placa de rede
> > e1000 (Intel - gigabit) onboard e DGE530 (Dlink - gigabit) em um slot
> > PCI. Há uma terceira placa de rede FAST ETH, mas só para monitoração
> > (ssh).
> >
> >      Tenho dados ( em ambiente de testes ) de roteamento/filtragem (
> > uma dúzia de regras de iptables ), de até 35kpps(?) (verificarei esse
> > número - iptraf), mas a placa DGE chegou a registrar um alto número de
> > overruns ( ifconfig ). Em produção, atualmente, FW2 mostra próximo de
> > 12kpps (pico máximo). ( Linux Slackware 11.0 - Kernel série 2.6 ).
> >
> >      Para o momento, eu preciso achar ( ou tentar ) um PC e placas de
> > rede que sejam capazes de fazer isso, usando Linux e mantendo a atual
> > estrutura. Há propostas para fazer uma análise/reestruturação completa
> > da rede, mas o custo ainda é proibitivo, (para o momento).
> >
> >      Alguém saberia me indicar que tipo de placa mãe conseguiria
> > suportar tais placas de rede e que placas de rede suportariam tal
> > demanda?  Estou buscando soluções que utilizem PCI Express, mas não
> > tenho experiência com placas de rede/hardware de alta performance (
> > processamento próprio para não sobrecarregar a CPU, dual port, quad
> > port etc).
> >
> >      Também estou procurando informações sobre roteadores/filtros
> > Linux nessas condições (google - fornecedores), mas ainda não consegui
> > chegar a uma especificação.
> >
> >      Por fim, qualquer informação será de grande ajuda, inclusive
> > sobre algum appliance que possa suportar a demanda, pois, creio eu, o
> > PC em questão não deve ficar barato, logo, um appliance pode se tornar
> > "atingível".
> >
> >      Agradeço pela atenção.
> >
> > Cássio
> >
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list