Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: vlado 23. 08. 2015, 10:56:54

Název: Sietova karta pre firewall
Přispěvatel: vlado 23. 08. 2015, 10:56:54

ahojte, aku sietovu kartu by ste odporucili na firewall s prevadzkou ~400 Mbits?
Momentalne mame Intel Gigabit CT, ktora ma dve fronty RX/TX a zatial ideme na ~200 Mbits na dualcore.
Procesor sa bude menit na quadcore Xeon, lebo menime cely stroj.
Presmerovanie preruseni robi jadro automaticky, alebo je nutne to nastavit?
Alebo sa o to stara ovladac karty?
Ide o ciste iptables s par qosmi, pravidiel do 100.

Název: Re:Sietova karta pre firewall
Přispěvatel: sho 23. 08. 2015, 11:31:35

Citace: vlado  23. 08. 2015, 10:56:54

ahojte, aku sietovu kartu by ste odporucili na firewall s prevadzkou ~400 Mbits?
Momentalne mame Intel Gigabit CT, ktora ma dve fronty RX/TX a zatial ideme na ~200 Mbits na dualcore.
Procesor sa bude menit na quadcore Xeon, lebo menime cely stroj.
Presmerovanie preruseni robi jadro automaticky, alebo je nutne to nastavit?
Alebo sa o to stara ovladac karty?
Ide o ciste iptables s par qosmi, pravidiel do 100.

Do buducnosti, odporucam kompatibilnu kartu s DPDK (vyhnut sa intel e1000).
DPDK obchadza syscally. => Obrovsky narast vykonu.

Nie som si isty existenciou "OpenSource/Free" firewallu na DPDK, stale je tu moznost ho doprogramovat.

Název: Re:Sietova karta pre firewall
Přispěvatel: ip 23. 08. 2015, 11:47:08

chyba v nadpisu - iptables není firewall  ;)

Název: Re:Sietova karta pre firewall
Přispěvatel: sho 23. 08. 2015, 11:49:31

Citace: sho  23. 08. 2015, 11:31:35

Citace: vlado  23. 08. 2015, 10:56:54

ahojte, aku sietovu kartu by ste odporucili na firewall s prevadzkou ~400 Mbits?
Momentalne mame Intel Gigabit CT, ktora ma dve fronty RX/TX a zatial ideme na ~200 Mbits na dualcore.
Procesor sa bude menit na quadcore Xeon, lebo menime cely stroj.
Presmerovanie preruseni robi jadro automaticky, alebo je nutne to nastavit?
Alebo sa o to stara ovladac karty?
Ide o ciste iptables s par qosmi, pravidiel do 100.

Do buducnosti, odporucam kompatibilnu kartu s DPDK (vyhnut sa intel e1000).
DPDK obchadza syscally. => Obrovsky narast vykonu.

Nie som si isty existenciou "OpenSource/Free" firewallu na DPDK, stale je tu moznost ho doprogramovat.

Zabudol som, su aj alternativy k DPDK, kazdopadne https://blog.pfsense.org/?p=1588

Název: Re:Sietova karta pre firewall
Přispěvatel: Ondro 23. 08. 2015, 14:17:36

Citace: sho  23. 08. 2015, 11:31:35

Do buducnosti, odporucam kompatibilnu kartu s DPDK (vyhnut sa intel e1000).
DPDK obchadza syscally. => Obrovsky narast vykonu.

Nie som si isty existenciou "OpenSource/Free" firewallu na DPDK, stale je tu moznost ho doprogramovat.

preco odporucas  vyhnut sa e1000, ked v zozname kompatiblinych NIC je e1000?
http://dpdk.org/doc/nics

Název: Re:Sietova karta pre firewall
Přispěvatel: sho 23. 08. 2015, 15:30:19

Citace: Ondro  23. 08. 2015, 14:17:36

Citace: sho  23. 08. 2015, 11:31:35

Do buducnosti, odporucam kompatibilnu kartu s DPDK (vyhnut sa intel e1000).
DPDK obchadza syscally. => Obrovsky narast vykonu.

Nie som si isty existenciou "OpenSource/Free" firewallu na DPDK, stale je tu moznost ho doprogramovat.

preco odporucas  vyhnut sa e1000, ked v zozname kompatiblinych NIC je e1000?
http://dpdk.org/doc/nics

Pracujem s DPDK 2.0 ten ich driver nie je najlepsie spraveny. Neviem ci v buducnosti planuju velke zmeny. DPDK je urceny na lepsie sietovky - enterprise hracov. Tym padom e1000 nie je zatial velmi podporovana.

Název: Re:Sietova karta pre firewall
Přispěvatel: Dada 24. 08. 2015, 10:09:59

sitovka musi umet vyuzit vice jader. Cili spocitat jadra a koupit sitovku, ktera umi vytvorit pocet front stejny s poctem jader. V bezicim systemu pak zajistit, aby kazdy IRQ od front obsluhovalo jine jadro (RX a TX IRQ od jedne fronty na jednom jadre). Linux bohuzel tohle neumi ulozit takze pri kazdem rebootu je treba spachat znovu (zapisem do /proc/irq/XY/smp_affinity a pripadne /sys/class/net/eth0/queues/tx-X/xps_cpus).