[Sysadmins] firewall

[Sysadmins] firewall

[Anton Gorlov]

А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco 
  или решение на базе чего-то на ксеона с 2 сетевыми картами intel.

Условия:
Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик - 
вплоть до 300-600 мбит при количестве клиентов на входе ~500.

Re: [Sysadmins] firewall

[Anton Farygin]

Anton Gorlov пишет:
> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco 
>   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> 
> Условия:
> Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик - 
> вплоть до 300-600 мбит при количестве клиентов на входе ~500.

А как измерять производительность ?

Есть вероятность, что 600 мегабит гигабитная карта просто не вытянет. Не 
считая правил и всего остального. Но эксперимент был бы интересный.

У меня с гигабитного интела больше 300 мегабит не удавалось получать, 
правда там данные шли с жёсткого диска на SATA, даже не RAID. Но 
локально диск отдаёт гораздо больше 300 мегабит.

Re: [Sysadmins] firewall

[Valery V. Inozemtsev]

[-- Attachment #1: Type: text/plain, Size: 1691 bytes --]

В сообщении от 13 сентября 2007 Anton Gorlov написал(a):
> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
>   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
>
> Условия:
> Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
> вплоть до 300-600 мбит при количестве клиентов на входе ~500.


$ ifconfig | grep "eth[0-9]*.[0-9]*" | wc -l
101

$ cat /proc/cpuinfo
processor       : 0
vendor_id       : GenuineIntel
cpu family      : 15
model           : 2
model name      : Intel(R) Celeron(R) CPU 1.80GHz
stepping        : 9
cpu MHz         : 1795.553
cache size      : 128 KB

$ cat /proc/meminfo
        total:    used:    free:  shared: buffers:  cached:
Mem:  245342208 226037760 19304448        0 61960192 118718464
Swap: 411222016        0 411222016
MemTotal:       239592 kB
MemFree:         18852 kB
MemShared:           0 kB

$ lspci | grep Ether
01:01.0 Ethernet controller: Intel Corp. 82547EI Gigabit Ethernet Controller (LOM)
02:00.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:01.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:02.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:03.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:04.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:05.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)

клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не гигабитные,
во вторых возможностей встроенного фаэрвола было недостаточно

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] firewall

[Anton Farygin]

Valery V. Inozemtsev пишет:
> В сообщении от 13 сентября 2007 Anton Gorlov написал(a):
>> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
>>   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
>>
>> Условия:
>> Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
>> вплоть до 300-600 мбит при количестве клиентов на входе ~500.
> 
> 
> $ ifconfig | grep "eth[0-9]*.[0-9]*" | wc -l
> 101
> 
> $ cat /proc/cpuinfo
> processor       : 0
> vendor_id       : GenuineIntel
> cpu family      : 15
> model           : 2
> model name      : Intel(R) Celeron(R) CPU 1.80GHz
> stepping        : 9
> cpu MHz         : 1795.553
> cache size      : 128 KB
> 
> $ cat /proc/meminfo
>         total:    used:    free:  shared: buffers:  cached:
> Mem:  245342208 226037760 19304448        0 61960192 118718464
> Swap: 411222016        0 411222016
> MemTotal:       239592 kB
> MemFree:         18852 kB
> MemShared:           0 kB
> 
> $ lspci | grep Ether
> 01:01.0 Ethernet controller: Intel Corp. 82547EI Gigabit Ethernet Controller (LOM)
> 02:00.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:01.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:02.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:03.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:04.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:05.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 
> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не гигабитные,
> во вторых возможностей встроенного фаэрвола было недостаточно

А какой поток в пике проходит через этот роутер ?

Re: [Sysadmins] firewall

[Valery V. Inozemtsev]

[-- Attachment #1: Type: text/plain, Size: 355 bytes --]

В сообщении от 13 сентября 2007 Anton Farygin написал(a):

> > клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не
> > гигабитные, во вторых возможностей встроенного фаэрвола было недостаточно
>
> А какой поток в пике проходит через этот роутер ?

давно не смотрел, пик будет часов в 10 вечера, может глану

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] firewall

[Anton Farygin]

Valery V. Inozemtsev пишет:
> В сообщении от 13 сентября 2007 Anton Farygin написал(a):
> 
>>> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не
>>> гигабитные, во вторых возможностей встроенного фаэрвола было недостаточно
>> А какой поток в пике проходит через этот роутер ?
> 
> давно не смотрел, пик будет часов в 10 вечера, может глану

Глянь, интересно. Вытянит ли эта штука хотя бы 200 мегабит.

Хотя скорее всего узкое место тут - канал  ? Или он гигабитный ?

Re: [Sysadmins] firewall

[Anton Gorlov]

Valery V. Inozemtsev пишет:

> $ ifconfig | grep "eth[0-9]*.[0-9]*" | wc -l
> 101

Ухты...

> $ lspci | grep Ether
> 01:01.0 Ethernet controller: Intel Corp. 82547EI Gigabit Ethernet Controller (LOM)
> 02:00.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:01.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:02.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:03.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:04.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:05.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)

Хм..а это в какую железку столько сетевых воткнуть-то можно? Или атм 
мультипортовки?

> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не гигабитные,
> во вторых возможностей встроенного фаэрвола было недостаточно
Ну у нас сейчас 73 кошак стоит... но ему становится очень не весело 
когда клиентов одновременно за 500 переваливает. Оно  там ещё пппое 
занимается. В общем  кошководы гооврят что средняя  скорость 200 пик 
600. Это в сумме по 2 физическим интерфейсам. Вот думаю какую железку 
сюда можно воткнуть?

Re: [Sysadmins] firewall

[Valery V. Inozemtsev]

[-- Attachment #1: Type: text/plain, Size: 734 bytes --]

В сообщении от 13 сентября 2007 Anton Farygin написал(a):
> Valery V. Inozemtsev пишет:
> > В сообщении от 13 сентября 2007 Anton Farygin написал(a):
> >>> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были
> >>> не гигабитные, во вторых возможностей встроенного фаэрвола было
> >>> недостаточно
> >>
> >> А какой поток в пике проходит через этот роутер ?
> >
> > давно не смотрел, пик будет часов в 10 вечера, может глану
>
> Глянь, интересно. Вытянит ли эта штука хотя бы 200 мегабит.
>
> Хотя скорее всего узкое место тут - канал  ? Или он гигабитный ?

до файловых серверов да, но заставить всех с них что то лить нет возможности. 
если только собирать статистику по этому интерфейсу

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] firewall

[Anton Gorlov]

Valery V. Inozemtsev пишет:

>>> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не
>>> гигабитные, во вторых возможностей встроенного фаэрвола было недостаточно
>> А какой поток в пике проходит через этот роутер ?
> давно не смотрел, пик будет часов в 10 вечера, может глану
Было бы интересно глянуть..

Re: [Sysadmins] firewall

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 1028 bytes --]

On Thu, Sep 13, 2007 at 02:08:38PM +0400, Anton Farygin wrote:
> Anton Gorlov пишет:
> > А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco 
> >   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> > 
> > Условия:
> > Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик - 
> > вплоть до 300-600 мбит при количестве клиентов на входе ~500.
> 
> А как измерять производительность ?
> 
> Есть вероятность, что 600 мегабит гигабитная карта просто не вытянет. Не 
> считая правил и всего остального. Но эксперимент был бы интересный.

Вытягивает только в путь.

Intel Corporation PRO/1000 EB Network Connection with I/O Acceleration
(rev 01)

-- 
Карточка у меня Radeon 8500.   В своём домашнем рабочем сизифе я
переполз на xorg только три дня назад.  Причём никакие
автоматические конфигураторы не помогли и пришлось править
xorg.conf ручками.   Результат - всё работает и даже с
ускорением.  В чём грабли - так пока и не понял.
		-- vvzhy in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] firewall

[Valery V. Inozemtsev]

[-- Attachment #1: Type: text/plain, Size: 1931 bytes --]

В сообщении от 13 сентября 2007 Anton Gorlov написал(a):
> Valery V. Inozemtsev пишет:
> > $ ifconfig | grep "eth[0-9]*.[0-9]*" | wc -l
> > 101
>
> Ухты...

есть и больше

>
> > $ lspci | grep Ether
> > 01:01.0 Ethernet controller: Intel Corp. 82547EI Gigabit Ethernet
> > Controller (LOM) 02:00.0 Ethernet controller: Intel Corp. 82540EM Gigabit
> > Ethernet Controller (rev 02) 02:01.0 Ethernet controller: Intel Corp.
> > 82540EM Gigabit Ethernet Controller (rev 02) 02:02.0 Ethernet controller:
> > Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02) 02:03.0 Ethernet
> > controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> > 02:04.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet
> > Controller (rev 02) 02:05.0 Ethernet controller: Intel Corp. 82540EM
> > Gigabit Ethernet Controller (rev 02)
>
> Хм..а это в какую железку столько сетевых воткнуть-то можно? Или атм
> мультипортовки?

здесь обычные сетевухи в обычной мамке. мультипортовки 82546EB 

>
> > клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не
> > гигабитные, во вторых возможностей встроенного фаэрвола было недостаточно
>
> Ну у нас сейчас 73 кошак стоит... но ему становится очень не весело
> когда клиентов одновременно за 500 переваливает. Оно  там ещё пппое
> занимается. В общем  кошководы гооврят что средняя  скорость 200 пик
> 600. Это в сумме по 2 физическим интерфейсам. Вот думаю какую железку
> сюда можно воткнуть?

у нас что то подобное. сам его в руках не держал, но по сравнению со старым 
самозборным vpn на linux г... редкостное. в стандартной конфигурации больше 
~500 клинтов подключиться не могли, пришлось покупать дополнительно память, 
шифрование/компрессию включить невозможно, т.к. оно тут же загнется и много 
еще чего.

в общем я давно разочаровался в специализированных железках, у меня даже дома 
роутер/точка доступа из старого IBM TP570 собран

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] firewall

[Dmytro O. Redchuk]

On Thu, Sep 13, 2007 at 01:47:21PM +0400, Anton Gorlov wrote:
> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco 
>   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> 
> Условия:
> Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик - 
> вплоть до 300-600 мбит при количестве клиентов на входе ~500.

Смотря как фильтровать, наверное.

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

Re: [Sysadmins] firewall

[Konstantin A. Lepikhov]

Hi Anton!

Thursday 13, at 01:47:21 PM you wrote:

> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco 
>   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
у 73x цисок процессоры/память/шина сильно зависят от коплектации. Поэтому
нужно точно знать что сравниваем.

-- 
WBR et al.

Re: [Sysadmins] firewall

[Anton Gorlov]

Konstantin A. Lepikhov пишет:
>> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco 
>>   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> у 73x цисок процессоры/память/шина сильно зависят от коплектации. Поэтому
> нужно точно знать что сравниваем.

===
топовая конфигурация. памяти, конечно не так много - 256м, но мы ее
мониторим, и она далека от исчерпания.

Cisco 7301 (NPE) processor (revision E) with 229376K/32768K bytes of memory.
Processor board ID 74831669
SB-1 CPU at 700Mhz, Implementation 0x401, Rev 0.2, 512KB L2 Cache
1 slot midplane, Version 2.0

Re: [Sysadmins] firewall

[Dmytro O. Redchuk]

On Fri, Sep 14, 2007 at 12:26:24PM +0400, Anton Gorlov wrote:
> Konstantin A. Lepikhov пишет:
> >> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco 
> >>   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> > у 73x цисок процессоры/память/шина сильно зависят от коплектации. Поэтому
> > нужно точно знать что сравниваем.
> 
> ===
> топовая конфигурация. памяти, конечно не так много - 256м, но мы ее
> мониторим, и она далека от исчерпания.
> 
> Cisco 7301 (NPE) processor (revision E) with 229376K/32768K bytes of memory.
> Processor board ID 74831669
> SB-1 CPU at 700Mhz, Implementation 0x401, Rev 0.2, 512KB L2 Cache
> 1 slot midplane, Version 2.0

Если бы я вибыирал за свои деньги -- то брал бы ксеоны, наверное. Если
дарят -- циску.

Многие считают, что циска -- "промышленный стандарт", и они, наверное,
правы.

Если я забабахаю "это всё" на ксеонах, то это будет "ручная работа";
а цискин CLI "и так все знают".

:-) "Где-то так."


Если вопрос -- "потянут ли ксеоны XMbps/YKpps (Zbytes/packet avg) на
интеловых карточах blahblah-1000" -- для большинства применений ответ
будет: "смотря как фильтровать".

IMHO.

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

Re: [Sysadmins] firewall

[Anton Gorlov]

> Если вопрос -- "потянут ли ксеоны XMbps/YKpps (Zbytes/packet avg) на
> интеловых карточах blahblah-1000" -- для большинства применений ответ
> будет: "смотря как фильтровать".

Стандартный - для тех-то ипишников порт такой-то на тмо интерфейсе 
открыт..а вот далее - рыба. или для тогото всё открыто и с того то ответ 
сюда открыт (в uDP ведь нету established)

Re: [Sysadmins] firewall

[Konstantin A. Lepikhov]

Hi Anton!

Friday 14, at 12:26:24 PM you wrote:

> Konstantin A. Lepikhov пишет:
> >> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco 
> >>   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> > у 73x цисок процессоры/память/шина сильно зависят от коплектации. Поэтому
> > нужно точно знать что сравниваем.
> 
> ===
> топовая конфигурация. памяти, конечно не так много - 256м, но мы ее
> мониторим, и она далека от исчерпания.
> 
> Cisco 7301 (NPE) processor (revision E) with 229376K/32768K bytes of memory.
> Processor board ID 74831669
> SB-1 CPU at 700Mhz, Implementation 0x401, Rev 0.2, 512KB L2 Cache
> 1 slot midplane, Version 2.0
исходя из
http://www.cisco.com/en/US/products/hw/routers/ps352/products_data_sheets_list.html,
возможности этого покемона не очень велики, вот 7304 гораздо интереснее.

-- 
WBR et al.

Re: [Sysadmins] firewall

[Anton Gorlov]

Konstantin A. Lepikhov пишет:

>> Cisco 7301 (NPE) processor (revision E) with 229376K/32768K bytes of memory.
>> Processor board ID 74831669
>> SB-1 CPU at 700Mhz, Implementation 0x401, Rev 0.2, 512KB L2 Cache
>> 1 slot midplane, Version 2.0
> исходя из
> http://www.cisco.com/en/US/products/hw/routers/ps352/products_data_sheets_list.html,
> возможности этого покемона не очень велики, вот 7304 гораздо интереснее.

угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи 
банальные - расскидывать трафик по интерфейсам и выборочно 
фильтровать... 2 интерфейса с пиком в 300мбит на каждом.

-- 
   np: silence

Re: [Sysadmins] firewall

[Konstantin A. Lepikhov]

Hi Anton!

Saturday 15, at 11:29:26 AM you wrote:

<skip>
> угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи 
> банальные - расскидывать трафик по интерфейсам и выборочно 
> фильтровать... 2 интерфейса с пиком в 300мбит на каждом.
судя по конфигурации - вполне сможет. В 7301 ничего такого особенного нет
и главное не предусматривается для расширения. Правда, netflow работать не
будет ;)

-- 
WBR et al.

Re: [Sysadmins] firewall

[Aleksey Korolkov]

On Sat, Sep 15, 2007 at 19:00:38 +0400, Konstantin A. Lepikhov wrote:

> > угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи 
> > банальные - расскидывать трафик по интерфейсам и выборочно 
> > фильтровать... 2 интерфейса с пиком в 300мбит на каждом.
>
> судя по конфигурации - вполне сможет. В 7301 ничего такого особенного нет
> и главное не предусматривается для расширения. Правда, netflow работать не
> будет ;)

Пару лет назад при тестировании fprobe в варианте с PF_RING сокетами
что-то около 30kpps (100байт пакеты) удавалось собрать в netflow без
ошибок, с большими пакетами проблемы начинались после 650Mbit.

-- 
WBR, Aleksey Korolkov
PGP key ID: 0xB6F76C1C

Re: [Sysadmins] firewall

[Konstantin A. Lepikhov]

Hi Aleksey!

Saturday 15, at 08:00:18 PM you wrote:

> On Sat, Sep 15, 2007 at 19:00:38 +0400, Konstantin A. Lepikhov wrote:
> 
> > > угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи 
> > > банальные - расскидывать трафик по интерфейсам и выборочно 
> > > фильтровать... 2 интерфейса с пиком в 300мбит на каждом.
> >
> > судя по конфигурации - вполне сможет. В 7301 ничего такого особенного нет
> > и главное не предусматривается для расширения. Правда, netflow работать не
> > будет ;)
> 
> Пару лет назад при тестировании fprobe в варианте с PF_RING сокетами
> что-то около 30kpps (100байт пакеты) удавалось собрать в netflow без
> ошибок, с большими пакетами проблемы начинались после 650Mbit.
fprobe это ж варез. А никто ipcad не проверял?

-- 
WBR et al.

Re: [Sysadmins] firewall

[Alexey Borovskoy]

[-- Attachment #1: Type: text/plain, Size: 204 bytes --]

* Воскресенье 16 сентября 2007 Konstantin A. Lepikhov

> fprobe это ж варез. А никто ipcad не проверял?

Почему варез?

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] firewall

[Konstantin A. Lepikhov]

Hi Alexey!

Sunday 16, at 06:11:05 PM you wrote:

> * Воскресенье 16 сентября 2007 Konstantin A. Lepikhov
> 
> > fprobe это ж варез. А никто ipcad не проверял?
> 
> Почему варез?
упс, это я ее с nProbe перепутал.

-- 
WBR et al.

Re: [Sysadmins] firewall

[Евгений Терешков]

"Konstantin A. Lepikhov" пишет:

> fprobe это ж варез. А никто ipcad не проверял?

А я его собираю и не знаю ниочем... Почему это варез? А с ipcad как-то не
срослось. Там агрегация сломана (новую версию не проверял).

-- 
С уважением, Терешков Евгений.
Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru

Re: [Sysadmins] firewall

[Anton Gorlov]

Konstantin A. Lepikhov пишет:

>> угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи 
>> банальные - расскидывать трафик по интерфейсам и выборочно 
>> фильтровать... 2 интерфейса с пиком в 300мбит на каждом.
> судя по конфигурации - вполне сможет. В 7301 ничего такого особенного нет
> и главное не предусматривается для расширения. Правда, netflow работать не
> будет ;)

Ну... netflow пока вроде не просили, хотя кто их знает...


-- 
   np: silence

Re: [Sysadmins] firewall

[Mike]

В сообщении от Thursday 13 September 2007 14:08:38 Anton Farygin написал(а):
> Anton Gorlov пишет:
> > А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
> >   или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> >
> > Условия:
> > Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
> > вплоть до 300-600 мбит при количестве клиентов на входе ~500.
>
> А как измерять производительность ?
>
> Есть вероятность, что 600 мегабит гигабитная карта просто не вытянет. Не
> считая правил и всего остального. Но эксперимент был бы интересный.
>
> У меня с гигабитного интела больше 300 мегабит не удавалось получать,
> правда там данные шли с жёсткого диска на SATA, даже не RAID. Но
> локально диск отдаёт гораздо больше 300 мегабит.
Тестировал сколько сервер сможет прокачать mbit через себя. Условия были 
такие - 1 гигбит Intel карточка на PCI-Ex1 линке, вторая гигабит интел на 
PCI, так как другого слота PCI или PCI-X на машинке небыло.
Трафик генерил с помощью iperf. Сетевухи подключались через гигабитный свитч, 
к другим двум серверам с гигабитными карточками, на которых запускался сервер 
и клиент iperf.
Свитч был гигабитный Compex (да говно.)
Итого: больше 600 мегабит получить не удалось. Где было узкое  место - особо 
не искал, может в свитче, может в PCi.