[MASOCH-L] throughput de rede

Tiello Marin trc.tiello at gmail.com
Thu Jul 20 23:51:13 BRT 2017 

Pessoal, boa noite.

Este cenário seria interessante colocar um switch L3, que faça o roteamento
inter-VLAN, isolando a comunicação PC <-> Firewall <-> Servidor, ou seja,
toda a comunicação interna passa somente pelo switch; se necessário fazer
algum filtro, use ACLs no switch.



2017-07-03 13:39 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:

> Quando você coloca o firewall na jogada, coloca ele para cuidar de tudo?
>
> Esse Switch L3 faz VRF?
> Se sim , crie dois VRFs, um para cuidar do InterVlanRouting dos Servers e
> outro para cuidar do InterVlanrouting da estações.
> Aí coloque uma Vlan de cada VRF para "falar" com o Firewall.
> Nesse caso, só vai passar por dentro do Firewall oque realmente precisar
> ser inspecionado.
> Reduzindo muito o impacto de performance.
>
> Outra coisa:
> Como estão as interfaces Físicas?
> Quantas? Estão e LACP? Qual o algorítimo de load balance?
>
>
> Em 3 de julho de 2017 10:42, Rogério Moura <rogerpop at gmail.com> escreveu:
>
> > Em 3 de julho de 2017 10:03, Douglas Fischer
> > <fischerdouglas at gmail.com> escreveu:
> > > Se você falou em "estação copiando arquivo de servidor", isso não é o
> > foco
> > > do NSX.
> > >
> > > A ideia dele é firewall/routing Leste-Oeste(Entre Servers).
> > > Basicamente evitar por exemplo que o trafego do Servidor de Banco de
> > dados
> > > numa VlanX tenha que descer até o Switch físico, ir até o router,
> trocar
> > de
> > > Vlan(rotear L3), e voltar para o Switch Físico, subir na VM de
> > Application.
> >
> > OK Douglas, isso eu entendi.
> > Citei o exemplo da estação copiando porque nosso fileserver é uma VM,
> > todo nosso ambiente é VM, então o NSX se encaixaria no nosso ambiente.
> > tiraria o FW da jogada, passando ele para a borda e o NSX assumiria o
> > lugar dele no barramento dos servidores.
> >
> >
> > >
> > > Eu costumo resolver isso colocando uma segunda interface  de uma Vlan
> > > Burra(não roteada) entre os dois Servers. Mas é uma solução feia, eu
> sei.
> > >
> > >
> > > Nesse seu problema:
> > > Quem está fazendo o Firewall/Roteamento Inter-Vlan?
> > > Esse cara tem portas/banda o suficiente para dar conta do recado?
> > > Essa máquina tem motor suficiente para segurar o repuxo?
> >
> > Sim, hoje o FW faz tudo. Se coloco um switch L3 no lugar do FW o
> > tráfego melhora muito, como disse antes, fizemos uma cotação de
> > upgrade desse FW, mas ficou salgado.
> > Então pesamos em colocar um switch fazendo o roteamento inter-VLAN e
> > deixando o FW somente na borda, mas dai não sei como fazer em relação
> > a segurança entre as VLAN, já que não tenho mais o FW.
> >
> >
> > >
> > > Sobre a pergunta: Switch L3 ou Firewall:
> > > Resposta -> Depende! Mas pode ser os dois!
> > > Switch L3, com VRF separando as tabelas de Roteamento do que é Servers
> e
> > o
> > > que é Vlan de
> > >
> > >
> > > Em 30 de junho de 2017 17:03, Rogério Moura <rogerpop at gmail.com>
> > escreveu:
> > >
> > >> Pessoal,
> > >> Estamos enfrentando gargalo entre os barramentos de rede aqui, por
> > >> exemplo, uma estação que está numa VLAN e vai copiar um arquivo do
> > >> servidor de arquivos que esta em outra VLAN, não tem o desempenho
> > >> desejado, se eu colocar essa mesma estação no mesmo barramento do
> > >> servidor de arquivos, a transferência é bem mais rápida.
> > >>
> > >> Todo o nosso roteamento passa pelo firewall e acredito ser ele que não
> > >> está aguentando.
> > >> Cotamos um upgrade do firewall, mas ficou salgado.
> > >> Dai nos apresentaram o NSX como alternativa, pelo fato de todos os
> > >> nossos servidores esterem em VMWARE, mas não conhecemos essa solução.
> > >> A ideia seria deixar o firewall na borda o NSX cuidando do barramento
> > >> dos servidores e o roteamento feito por switch.
> > >> Alguém usa o NSX e quais experiencias boas ruins ?
> > >> Ou o que vocês estão usando para fazer o roteamento mais efetivo ? um
> > >> switch L3 ? ou o que ?
> > >> E como fica a segurança entre os barrametos/VLAN usando esse cenário
> > >> com switch L3
> > >> __
> > >> masoch-l list
> > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > >>
> > >
> > >
> > >
> > > --
> > > Douglas Fernando Fischer
> > > Engº de Controle e Automação
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Atenciosamente,

Tiello André Marin

More information about the masoch-l mailing list