* [Sysadmins] firewall
@ 2007-09-13 9:47 Anton Gorlov
2007-09-13 10:08 ` Anton Farygin
` (3 more replies)
0 siblings, 4 replies; 26+ messages in thread
From: Anton Gorlov @ 2007-09-13 9:47 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
Условия:
Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
вплоть до 300-600 мбит при количестве клиентов на входе ~500.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 9:47 [Sysadmins] firewall Anton Gorlov
@ 2007-09-13 10:08 ` Anton Farygin
2007-09-13 11:18 ` Pavlov Konstantin
2007-09-17 15:36 ` Mike
2007-09-13 10:11 ` Valery V. Inozemtsev
` (2 subsequent siblings)
3 siblings, 2 replies; 26+ messages in thread
From: Anton Farygin @ 2007-09-13 10:08 UTC (permalink / raw)
To: sysadmins
Anton Gorlov пишет:
> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
> или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
>
> Условия:
> Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
> вплоть до 300-600 мбит при количестве клиентов на входе ~500.
А как измерять производительность ?
Есть вероятность, что 600 мегабит гигабитная карта просто не вытянет. Не
считая правил и всего остального. Но эксперимент был бы интересный.
У меня с гигабитного интела больше 300 мегабит не удавалось получать,
правда там данные шли с жёсткого диска на SATA, даже не RAID. Но
локально диск отдаёт гораздо больше 300 мегабит.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 9:47 [Sysadmins] firewall Anton Gorlov
2007-09-13 10:08 ` Anton Farygin
@ 2007-09-13 10:11 ` Valery V. Inozemtsev
2007-09-13 10:20 ` Anton Farygin
2007-09-13 10:59 ` Anton Gorlov
2007-09-13 12:22 ` Dmytro O. Redchuk
2007-09-13 20:18 ` Konstantin A. Lepikhov
3 siblings, 2 replies; 26+ messages in thread
From: Valery V. Inozemtsev @ 2007-09-13 10:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1691 bytes --]
В сообщении от 13 сентября 2007 Anton Gorlov написал(a):
> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
> или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
>
> Условия:
> Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
> вплоть до 300-600 мбит при количестве клиентов на входе ~500.
$ ifconfig | grep "eth[0-9]*.[0-9]*" | wc -l
101
$ cat /proc/cpuinfo
processor : 0
vendor_id : GenuineIntel
cpu family : 15
model : 2
model name : Intel(R) Celeron(R) CPU 1.80GHz
stepping : 9
cpu MHz : 1795.553
cache size : 128 KB
$ cat /proc/meminfo
total: used: free: shared: buffers: cached:
Mem: 245342208 226037760 19304448 0 61960192 118718464
Swap: 411222016 0 411222016
MemTotal: 239592 kB
MemFree: 18852 kB
MemShared: 0 kB
$ lspci | grep Ether
01:01.0 Ethernet controller: Intel Corp. 82547EI Gigabit Ethernet Controller (LOM)
02:00.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:01.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:02.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:03.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:04.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
02:05.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не гигабитные,
во вторых возможностей встроенного фаэрвола было недостаточно
--
Valery V. Inozemtsev
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 10:11 ` Valery V. Inozemtsev
@ 2007-09-13 10:20 ` Anton Farygin
2007-09-13 10:30 ` Valery V. Inozemtsev
2007-09-13 10:59 ` Anton Gorlov
1 sibling, 1 reply; 26+ messages in thread
From: Anton Farygin @ 2007-09-13 10:20 UTC (permalink / raw)
To: sysadmins
Valery V. Inozemtsev пишет:
> В сообщении от 13 сентября 2007 Anton Gorlov написал(a):
>> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
>> или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
>>
>> Условия:
>> Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
>> вплоть до 300-600 мбит при количестве клиентов на входе ~500.
>
>
> $ ifconfig | grep "eth[0-9]*.[0-9]*" | wc -l
> 101
>
> $ cat /proc/cpuinfo
> processor : 0
> vendor_id : GenuineIntel
> cpu family : 15
> model : 2
> model name : Intel(R) Celeron(R) CPU 1.80GHz
> stepping : 9
> cpu MHz : 1795.553
> cache size : 128 KB
>
> $ cat /proc/meminfo
> total: used: free: shared: buffers: cached:
> Mem: 245342208 226037760 19304448 0 61960192 118718464
> Swap: 411222016 0 411222016
> MemTotal: 239592 kB
> MemFree: 18852 kB
> MemShared: 0 kB
>
> $ lspci | grep Ether
> 01:01.0 Ethernet controller: Intel Corp. 82547EI Gigabit Ethernet Controller (LOM)
> 02:00.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:01.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:02.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:03.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:04.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:05.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
>
> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не гигабитные,
> во вторых возможностей встроенного фаэрвола было недостаточно
А какой поток в пике проходит через этот роутер ?
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 10:20 ` Anton Farygin
@ 2007-09-13 10:30 ` Valery V. Inozemtsev
2007-09-13 10:42 ` Anton Farygin
2007-09-13 11:11 ` Anton Gorlov
0 siblings, 2 replies; 26+ messages in thread
From: Valery V. Inozemtsev @ 2007-09-13 10:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 355 bytes --]
В сообщении от 13 сентября 2007 Anton Farygin написал(a):
> > клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не
> > гигабитные, во вторых возможностей встроенного фаэрвола было недостаточно
>
> А какой поток в пике проходит через этот роутер ?
давно не смотрел, пик будет часов в 10 вечера, может глану
--
Valery V. Inozemtsev
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 10:30 ` Valery V. Inozemtsev
@ 2007-09-13 10:42 ` Anton Farygin
2007-09-13 11:01 ` Valery V. Inozemtsev
2007-09-13 11:11 ` Anton Gorlov
1 sibling, 1 reply; 26+ messages in thread
From: Anton Farygin @ 2007-09-13 10:42 UTC (permalink / raw)
To: sysadmins
Valery V. Inozemtsev пишет:
> В сообщении от 13 сентября 2007 Anton Farygin написал(a):
>
>>> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не
>>> гигабитные, во вторых возможностей встроенного фаэрвола было недостаточно
>> А какой поток в пике проходит через этот роутер ?
>
> давно не смотрел, пик будет часов в 10 вечера, может глану
Глянь, интересно. Вытянит ли эта штука хотя бы 200 мегабит.
Хотя скорее всего узкое место тут - канал ? Или он гигабитный ?
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 10:11 ` Valery V. Inozemtsev
2007-09-13 10:20 ` Anton Farygin
@ 2007-09-13 10:59 ` Anton Gorlov
2007-09-13 11:19 ` Valery V. Inozemtsev
1 sibling, 1 reply; 26+ messages in thread
From: Anton Gorlov @ 2007-09-13 10:59 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Valery V. Inozemtsev пишет:
> $ ifconfig | grep "eth[0-9]*.[0-9]*" | wc -l
> 101
Ухты...
> $ lspci | grep Ether
> 01:01.0 Ethernet controller: Intel Corp. 82547EI Gigabit Ethernet Controller (LOM)
> 02:00.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:01.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:02.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:03.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:04.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> 02:05.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
Хм..а это в какую железку столько сетевых воткнуть-то можно? Или атм
мультипортовки?
> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не гигабитные,
> во вторых возможностей встроенного фаэрвола было недостаточно
Ну у нас сейчас 73 кошак стоит... но ему становится очень не весело
когда клиентов одновременно за 500 переваливает. Оно там ещё пппое
занимается. В общем кошководы гооврят что средняя скорость 200 пик
600. Это в сумме по 2 физическим интерфейсам. Вот думаю какую железку
сюда можно воткнуть?
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 10:42 ` Anton Farygin
@ 2007-09-13 11:01 ` Valery V. Inozemtsev
0 siblings, 0 replies; 26+ messages in thread
From: Valery V. Inozemtsev @ 2007-09-13 11:01 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 734 bytes --]
В сообщении от 13 сентября 2007 Anton Farygin написал(a):
> Valery V. Inozemtsev пишет:
> > В сообщении от 13 сентября 2007 Anton Farygin написал(a):
> >>> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были
> >>> не гигабитные, во вторых возможностей встроенного фаэрвола было
> >>> недостаточно
> >>
> >> А какой поток в пике проходит через этот роутер ?
> >
> > давно не смотрел, пик будет часов в 10 вечера, может глану
>
> Глянь, интересно. Вытянит ли эта штука хотя бы 200 мегабит.
>
> Хотя скорее всего узкое место тут - канал ? Или он гигабитный ?
до файловых серверов да, но заставить всех с них что то лить нет возможности.
если только собирать статистику по этому интерфейсу
--
Valery V. Inozemtsev
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 10:30 ` Valery V. Inozemtsev
2007-09-13 10:42 ` Anton Farygin
@ 2007-09-13 11:11 ` Anton Gorlov
1 sibling, 0 replies; 26+ messages in thread
From: Anton Gorlov @ 2007-09-13 11:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Valery V. Inozemtsev пишет:
>>> клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не
>>> гигабитные, во вторых возможностей встроенного фаэрвола было недостаточно
>> А какой поток в пике проходит через этот роутер ?
> давно не смотрел, пик будет часов в 10 вечера, может глану
Было бы интересно глянуть..
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 10:08 ` Anton Farygin
@ 2007-09-13 11:18 ` Pavlov Konstantin
2007-09-17 15:36 ` Mike
1 sibling, 0 replies; 26+ messages in thread
From: Pavlov Konstantin @ 2007-09-13 11:18 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1028 bytes --]
On Thu, Sep 13, 2007 at 02:08:38PM +0400, Anton Farygin wrote:
> Anton Gorlov пишет:
> > А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
> > или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> >
> > Условия:
> > Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
> > вплоть до 300-600 мбит при количестве клиентов на входе ~500.
>
> А как измерять производительность ?
>
> Есть вероятность, что 600 мегабит гигабитная карта просто не вытянет. Не
> считая правил и всего остального. Но эксперимент был бы интересный.
Вытягивает только в путь.
Intel Corporation PRO/1000 EB Network Connection with I/O Acceleration
(rev 01)
--
Карточка у меня Radeon 8500. В своём домашнем рабочем сизифе я
переполз на xorg только три дня назад. Причём никакие
автоматические конфигураторы не помогли и пришлось править
xorg.conf ручками. Результат - всё работает и даже с
ускорением. В чём грабли - так пока и не понял.
-- vvzhy in devel@
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 10:59 ` Anton Gorlov
@ 2007-09-13 11:19 ` Valery V. Inozemtsev
0 siblings, 0 replies; 26+ messages in thread
From: Valery V. Inozemtsev @ 2007-09-13 11:19 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1931 bytes --]
В сообщении от 13 сентября 2007 Anton Gorlov написал(a):
> Valery V. Inozemtsev пишет:
> > $ ifconfig | grep "eth[0-9]*.[0-9]*" | wc -l
> > 101
>
> Ухты...
есть и больше
>
> > $ lspci | grep Ether
> > 01:01.0 Ethernet controller: Intel Corp. 82547EI Gigabit Ethernet
> > Controller (LOM) 02:00.0 Ethernet controller: Intel Corp. 82540EM Gigabit
> > Ethernet Controller (rev 02) 02:01.0 Ethernet controller: Intel Corp.
> > 82540EM Gigabit Ethernet Controller (rev 02) 02:02.0 Ethernet controller:
> > Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02) 02:03.0 Ethernet
> > controller: Intel Corp. 82540EM Gigabit Ethernet Controller (rev 02)
> > 02:04.0 Ethernet controller: Intel Corp. 82540EM Gigabit Ethernet
> > Controller (rev 02) 02:05.0 Ethernet controller: Intel Corp. 82540EM
> > Gigabit Ethernet Controller (rev 02)
>
> Хм..а это в какую железку столько сетевых воткнуть-то можно? Или атм
> мультипортовки?
здесь обычные сетевухи в обычной мамке. мультипортовки 82546EB
>
> > клиентов ~2000. циски 32чтототам давно ушли лесом, т.к. во первых были не
> > гигабитные, во вторых возможностей встроенного фаэрвола было недостаточно
>
> Ну у нас сейчас 73 кошак стоит... но ему становится очень не весело
> когда клиентов одновременно за 500 переваливает. Оно там ещё пппое
> занимается. В общем кошководы гооврят что средняя скорость 200 пик
> 600. Это в сумме по 2 физическим интерфейсам. Вот думаю какую железку
> сюда можно воткнуть?
у нас что то подобное. сам его в руках не держал, но по сравнению со старым
самозборным vpn на linux г... редкостное. в стандартной конфигурации больше
~500 клинтов подключиться не могли, пришлось покупать дополнительно память,
шифрование/компрессию включить невозможно, т.к. оно тут же загнется и много
еще чего.
в общем я давно разочаровался в специализированных железках, у меня даже дома
роутер/точка доступа из старого IBM TP570 собран
--
Valery V. Inozemtsev
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 9:47 [Sysadmins] firewall Anton Gorlov
2007-09-13 10:08 ` Anton Farygin
2007-09-13 10:11 ` Valery V. Inozemtsev
@ 2007-09-13 12:22 ` Dmytro O. Redchuk
2007-09-13 20:18 ` Konstantin A. Lepikhov
3 siblings, 0 replies; 26+ messages in thread
From: Dmytro O. Redchuk @ 2007-09-13 12:22 UTC (permalink / raw)
To: Anton Gorlov; +Cc: ALT Linux sysadmin discuss
On Thu, Sep 13, 2007 at 01:47:21PM +0400, Anton Gorlov wrote:
> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
> или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
>
> Условия:
> Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
> вплоть до 300-600 мбит при количестве клиентов на входе ~500.
Смотря как фильтровать, наверное.
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 9:47 [Sysadmins] firewall Anton Gorlov
` (2 preceding siblings ...)
2007-09-13 12:22 ` Dmytro O. Redchuk
@ 2007-09-13 20:18 ` Konstantin A. Lepikhov
2007-09-14 8:26 ` Anton Gorlov
3 siblings, 1 reply; 26+ messages in thread
From: Konstantin A. Lepikhov @ 2007-09-13 20:18 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Anton!
Thursday 13, at 01:47:21 PM you wrote:
> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
> или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
у 73x цисок процессоры/память/шина сильно зависят от коплектации. Поэтому
нужно точно знать что сравниваем.
--
WBR et al.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 20:18 ` Konstantin A. Lepikhov
@ 2007-09-14 8:26 ` Anton Gorlov
2007-09-14 14:49 ` Dmytro O. Redchuk
2007-09-14 20:58 ` Konstantin A. Lepikhov
0 siblings, 2 replies; 26+ messages in thread
From: Anton Gorlov @ 2007-09-14 8:26 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
>> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
>> или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> у 73x цисок процессоры/память/шина сильно зависят от коплектации. Поэтому
> нужно точно знать что сравниваем.
===
топовая конфигурация. памяти, конечно не так много - 256м, но мы ее
мониторим, и она далека от исчерпания.
Cisco 7301 (NPE) processor (revision E) with 229376K/32768K bytes of memory.
Processor board ID 74831669
SB-1 CPU at 700Mhz, Implementation 0x401, Rev 0.2, 512KB L2 Cache
1 slot midplane, Version 2.0
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-14 8:26 ` Anton Gorlov
@ 2007-09-14 14:49 ` Dmytro O. Redchuk
2007-09-14 20:09 ` Anton Gorlov
2007-09-14 20:58 ` Konstantin A. Lepikhov
1 sibling, 1 reply; 26+ messages in thread
From: Dmytro O. Redchuk @ 2007-09-14 14:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Fri, Sep 14, 2007 at 12:26:24PM +0400, Anton Gorlov wrote:
> Konstantin A. Lepikhov пишет:
> >> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
> >> или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> > у 73x цисок процессоры/память/шина сильно зависят от коплектации. Поэтому
> > нужно точно знать что сравниваем.
>
> ===
> топовая конфигурация. памяти, конечно не так много - 256м, но мы ее
> мониторим, и она далека от исчерпания.
>
> Cisco 7301 (NPE) processor (revision E) with 229376K/32768K bytes of memory.
> Processor board ID 74831669
> SB-1 CPU at 700Mhz, Implementation 0x401, Rev 0.2, 512KB L2 Cache
> 1 slot midplane, Version 2.0
Если бы я вибыирал за свои деньги -- то брал бы ксеоны, наверное. Если
дарят -- циску.
Многие считают, что циска -- "промышленный стандарт", и они, наверное,
правы.
Если я забабахаю "это всё" на ксеонах, то это будет "ручная работа";
а цискин CLI "и так все знают".
:-) "Где-то так."
Если вопрос -- "потянут ли ксеоны XMbps/YKpps (Zbytes/packet avg) на
интеловых карточах blahblah-1000" -- для большинства применений ответ
будет: "смотря как фильтровать".
IMHO.
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-14 14:49 ` Dmytro O. Redchuk
@ 2007-09-14 20:09 ` Anton Gorlov
0 siblings, 0 replies; 26+ messages in thread
From: Anton Gorlov @ 2007-09-14 20:09 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Если вопрос -- "потянут ли ксеоны XMbps/YKpps (Zbytes/packet avg) на
> интеловых карточах blahblah-1000" -- для большинства применений ответ
> будет: "смотря как фильтровать".
Стандартный - для тех-то ипишников порт такой-то на тмо интерфейсе
открыт..а вот далее - рыба. или для тогото всё открыто и с того то ответ
сюда открыт (в uDP ведь нету established)
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-14 8:26 ` Anton Gorlov
2007-09-14 14:49 ` Dmytro O. Redchuk
@ 2007-09-14 20:58 ` Konstantin A. Lepikhov
2007-09-15 7:29 ` Anton Gorlov
1 sibling, 1 reply; 26+ messages in thread
From: Konstantin A. Lepikhov @ 2007-09-14 20:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Anton!
Friday 14, at 12:26:24 PM you wrote:
> Konstantin A. Lepikhov пишет:
> >> А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
> >> или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> > у 73x цисок процессоры/память/шина сильно зависят от коплектации. Поэтому
> > нужно точно знать что сравниваем.
>
> ===
> топовая конфигурация. памяти, конечно не так много - 256м, но мы ее
> мониторим, и она далека от исчерпания.
>
> Cisco 7301 (NPE) processor (revision E) with 229376K/32768K bytes of memory.
> Processor board ID 74831669
> SB-1 CPU at 700Mhz, Implementation 0x401, Rev 0.2, 512KB L2 Cache
> 1 slot midplane, Version 2.0
исходя из
http://www.cisco.com/en/US/products/hw/routers/ps352/products_data_sheets_list.html,
возможности этого покемона не очень велики, вот 7304 гораздо интереснее.
--
WBR et al.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-14 20:58 ` Konstantin A. Lepikhov
@ 2007-09-15 7:29 ` Anton Gorlov
2007-09-15 15:00 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 26+ messages in thread
From: Anton Gorlov @ 2007-09-15 7:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
>> Cisco 7301 (NPE) processor (revision E) with 229376K/32768K bytes of memory.
>> Processor board ID 74831669
>> SB-1 CPU at 700Mhz, Implementation 0x401, Rev 0.2, 512KB L2 Cache
>> 1 slot midplane, Version 2.0
> исходя из
> http://www.cisco.com/en/US/products/hw/routers/ps352/products_data_sheets_list.html,
> возможности этого покемона не очень велики, вот 7304 гораздо интереснее.
угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи
банальные - расскидывать трафик по интерфейсам и выборочно
фильтровать... 2 интерфейса с пиком в 300мбит на каждом.
--
np: silence
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-15 7:29 ` Anton Gorlov
@ 2007-09-15 15:00 ` Konstantin A. Lepikhov
2007-09-15 16:00 ` Aleksey Korolkov
2007-09-16 9:44 ` Anton Gorlov
0 siblings, 2 replies; 26+ messages in thread
From: Konstantin A. Lepikhov @ 2007-09-15 15:00 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Anton!
Saturday 15, at 11:29:26 AM you wrote:
<skip>
> угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи
> банальные - расскидывать трафик по интерфейсам и выборочно
> фильтровать... 2 интерфейса с пиком в 300мбит на каждом.
судя по конфигурации - вполне сможет. В 7301 ничего такого особенного нет
и главное не предусматривается для расширения. Правда, netflow работать не
будет ;)
--
WBR et al.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-15 15:00 ` Konstantin A. Lepikhov
@ 2007-09-15 16:00 ` Aleksey Korolkov
2007-09-15 18:23 ` Konstantin A. Lepikhov
2007-09-16 9:44 ` Anton Gorlov
1 sibling, 1 reply; 26+ messages in thread
From: Aleksey Korolkov @ 2007-09-15 16:00 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Sat, Sep 15, 2007 at 19:00:38 +0400, Konstantin A. Lepikhov wrote:
> > угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи
> > банальные - расскидывать трафик по интерфейсам и выборочно
> > фильтровать... 2 интерфейса с пиком в 300мбит на каждом.
>
> судя по конфигурации - вполне сможет. В 7301 ничего такого особенного нет
> и главное не предусматривается для расширения. Правда, netflow работать не
> будет ;)
Пару лет назад при тестировании fprobe в варианте с PF_RING сокетами
что-то около 30kpps (100байт пакеты) удавалось собрать в netflow без
ошибок, с большими пакетами проблемы начинались после 650Mbit.
--
WBR, Aleksey Korolkov
PGP key ID: 0xB6F76C1C
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-15 16:00 ` Aleksey Korolkov
@ 2007-09-15 18:23 ` Konstantin A. Lepikhov
2007-09-16 5:11 ` Alexey Borovskoy
2007-09-16 9:07 ` Евгений Терешков
0 siblings, 2 replies; 26+ messages in thread
From: Konstantin A. Lepikhov @ 2007-09-15 18:23 UTC (permalink / raw)
To: Aleksey Korolkov, ALT Linux sysadmin discuss
Hi Aleksey!
Saturday 15, at 08:00:18 PM you wrote:
> On Sat, Sep 15, 2007 at 19:00:38 +0400, Konstantin A. Lepikhov wrote:
>
> > > угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи
> > > банальные - расскидывать трафик по интерфейсам и выборочно
> > > фильтровать... 2 интерфейса с пиком в 300мбит на каждом.
> >
> > судя по конфигурации - вполне сможет. В 7301 ничего такого особенного нет
> > и главное не предусматривается для расширения. Правда, netflow работать не
> > будет ;)
>
> Пару лет назад при тестировании fprobe в варианте с PF_RING сокетами
> что-то около 30kpps (100байт пакеты) удавалось собрать в netflow без
> ошибок, с большими пакетами проблемы начинались после 650Mbit.
fprobe это ж варез. А никто ipcad не проверял?
--
WBR et al.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-15 18:23 ` Konstantin A. Lepikhov
@ 2007-09-16 5:11 ` Alexey Borovskoy
2007-09-16 8:50 ` Konstantin A. Lepikhov
2007-09-16 9:07 ` Евгений Терешков
1 sibling, 1 reply; 26+ messages in thread
From: Alexey Borovskoy @ 2007-09-16 5:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 204 bytes --]
* Воскресенье 16 сентября 2007 Konstantin A. Lepikhov
> fprobe это ж варез. А никто ipcad не проверял?
Почему варез?
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-16 5:11 ` Alexey Borovskoy
@ 2007-09-16 8:50 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 26+ messages in thread
From: Konstantin A. Lepikhov @ 2007-09-16 8:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Alexey!
Sunday 16, at 06:11:05 PM you wrote:
> * Воскресенье 16 сентября 2007 Konstantin A. Lepikhov
>
> > fprobe это ж варез. А никто ipcad не проверял?
>
> Почему варез?
упс, это я ее с nProbe перепутал.
--
WBR et al.
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-15 18:23 ` Konstantin A. Lepikhov
2007-09-16 5:11 ` Alexey Borovskoy
@ 2007-09-16 9:07 ` Евгений Терешков
1 sibling, 0 replies; 26+ messages in thread
From: Евгений Терешков @ 2007-09-16 9:07 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
"Konstantin A. Lepikhov" пишет:
> fprobe это ж варез. А никто ipcad не проверял?
А я его собираю и не знаю ниочем... Почему это варез? А с ipcad как-то не
срослось. Там агрегация сломана (новую версию не проверял).
--
С уважением, Терешков Евгений.
Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-15 15:00 ` Konstantin A. Lepikhov
2007-09-15 16:00 ` Aleksey Korolkov
@ 2007-09-16 9:44 ` Anton Gorlov
1 sibling, 0 replies; 26+ messages in thread
From: Anton Gorlov @ 2007-09-16 9:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
>> угу..но вот интернесно - сможет ли его заменить рутер на линуксе. Задачи
>> банальные - расскидывать трафик по интерфейсам и выборочно
>> фильтровать... 2 интерфейса с пиком в 300мбит на каждом.
> судя по конфигурации - вполне сможет. В 7301 ничего такого особенного нет
> и главное не предусматривается для расширения. Правда, netflow работать не
> будет ;)
Ну... netflow пока вроде не просили, хотя кто их знает...
--
np: silence
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Sysadmins] firewall
2007-09-13 10:08 ` Anton Farygin
2007-09-13 11:18 ` Pavlov Konstantin
@ 2007-09-17 15:36 ` Mike
1 sibling, 0 replies; 26+ messages in thread
From: Mike @ 2007-09-17 15:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Thursday 13 September 2007 14:08:38 Anton Farygin написал(а):
> Anton Gorlov пишет:
> > А вот интересно кто в даной ситуации окажется производиельнее - 73 cisco
> > или решение на базе чего-то на ксеона с 2 сетевыми картами intel.
> >
> > Условия:
> > Примерно 60 виланов, между которыми нужно фильтровать трафик. Трафик -
> > вплоть до 300-600 мбит при количестве клиентов на входе ~500.
>
> А как измерять производительность ?
>
> Есть вероятность, что 600 мегабит гигабитная карта просто не вытянет. Не
> считая правил и всего остального. Но эксперимент был бы интересный.
>
> У меня с гигабитного интела больше 300 мегабит не удавалось получать,
> правда там данные шли с жёсткого диска на SATA, даже не RAID. Но
> локально диск отдаёт гораздо больше 300 мегабит.
Тестировал сколько сервер сможет прокачать mbit через себя. Условия были
такие - 1 гигбит Intel карточка на PCI-Ex1 линке, вторая гигабит интел на
PCI, так как другого слота PCI или PCI-X на машинке небыло.
Трафик генерил с помощью iperf. Сетевухи подключались через гигабитный свитч,
к другим двум серверам с гигабитными карточками, на которых запускался сервер
и клиент iperf.
Свитч был гигабитный Compex (да говно.)
Итого: больше 600 мегабит получить не удалось. Где было узкое место - особо
не искал, может в свитче, может в PCi.
^ permalink raw reply [flat|nested] 26+ messages in thread
end of thread, other threads:[~2007-09-17 15:36 UTC | newest]
Thread overview: 26+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-09-13 9:47 [Sysadmins] firewall Anton Gorlov
2007-09-13 10:08 ` Anton Farygin
2007-09-13 11:18 ` Pavlov Konstantin
2007-09-17 15:36 ` Mike
2007-09-13 10:11 ` Valery V. Inozemtsev
2007-09-13 10:20 ` Anton Farygin
2007-09-13 10:30 ` Valery V. Inozemtsev
2007-09-13 10:42 ` Anton Farygin
2007-09-13 11:01 ` Valery V. Inozemtsev
2007-09-13 11:11 ` Anton Gorlov
2007-09-13 10:59 ` Anton Gorlov
2007-09-13 11:19 ` Valery V. Inozemtsev
2007-09-13 12:22 ` Dmytro O. Redchuk
2007-09-13 20:18 ` Konstantin A. Lepikhov
2007-09-14 8:26 ` Anton Gorlov
2007-09-14 14:49 ` Dmytro O. Redchuk
2007-09-14 20:09 ` Anton Gorlov
2007-09-14 20:58 ` Konstantin A. Lepikhov
2007-09-15 7:29 ` Anton Gorlov
2007-09-15 15:00 ` Konstantin A. Lepikhov
2007-09-15 16:00 ` Aleksey Korolkov
2007-09-15 18:23 ` Konstantin A. Lepikhov
2007-09-16 5:11 ` Alexey Borovskoy
2007-09-16 8:50 ` Konstantin A. Lepikhov
2007-09-16 9:07 ` Евгений Терешков
2007-09-16 9:44 ` Anton Gorlov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git