Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Peter 19. 02. 2013, 09:14:39
-
Zdravim,
mam v praci pochyby ohladne sietovky na firewal a dufam ze tu bude nejaka mudra hlava co mi rozsiri obzory.
Aktualna situacia je nasledovna: bridged firewall OpenBSD, 2x vstup (dvaja ISP, jeden vytazeny asi na 800Mb, druhy viac-menej zalozny, vytazeny na 200Mb), 2x vystup (vnutorna infrastruktura, aktivny/pasivny switch - vytazeny len jeden). Teraz puozivame sietovu kartu s dvoma cipmi Intel 82576 a styrma rj-45.
Tych 800Mb je rozdelenych medzi 4 firewally, tam problem nieje, problem mame s packets per second. Tam je strop 70K (in + out). Zobral som tu istu sietovku a podobnu masinu a pripravil som si labak kde som roznymi simulaciami (hping, ab, iperf...) dosiahol bez problemov 120K pps (in + out). Pri pouziti trunkingu (v linuxe sa to vola bonding) som siel na 240K pps (in + out).
Teraz konecne otazky... Nikde som nevidel vyrobcom specifikovane pps pri sietovych kartach... aky je rozdiel medzi medenym a optickym mediom? stoji to za tie peniaze?
je velky realny rozdiel v karte so styrma kontrolermi a styrma rj-45 oproti tej co mame, cize 2 kontrolery a 4 rj-45? konfigurovat trunking na dve eth v jednom cipe alebo ho rozdelit na dva cipy (a dva trunkingy)?
dik za odpovede
-
1) Čtyřportovým kartám bych se vyhýbal jako čert kříži - zatím jsem v ruce neměl žádnou rozumnou (testován Intel a D-Link) - vždy chyběl výkon nebo měla karta jiný problém (například spotřeba 99% SIRQ)
2) U slušných síťových karet je PPS uváděno - stačí dobře hledat.
3) Připojení po opticke dnes už nabízí snad i ti nejmenší ISP. Není důvod toho nevyužít. Optické karty při plném vytížení netrpí takovou dýchavičností jako ty na metaliku.
4) Hloupá otázka, ale proč nesáhnete po nějaké hotové krabičce - například: http://www.i4wifi.cz/cloud-core-router-ccr1036-12x-gbit-lan-4x-gbit-sfp-port-dotykove-lcd-vc-l6_d3267.html (http://www.i4wifi.cz/cloud-core-router-ccr1036-12x-gbit-lan-4x-gbit-sfp-port-dotykove-lcd-vc-l6_d3267.html). IMHO to vyjde o dost levněji než sada slušných gigabitových karet se serverem.
-
1) Čtyřportovým kartám bych se vyhýbal jako čert kříži - zatím jsem v ruce neměl žádnou rozumnou (testován Intel a D-Link) - vždy chyběl výkon nebo měla karta jiný problém (například spotřeba 99% SIRQ)
2) U slušných síťových karet je PPS uváděno - stačí dobře hledat.
3) Připojení po opticke dnes už nabízí snad i ti nejmenší ISP. Není důvod toho nevyužít. Optické karty při plném vytížení netrpí takovou dýchavičností jako ty na metaliku.
4) Hloupá otázka, ale proč nesáhnete po nějaké hotové krabičce - například: http://www.i4wifi.cz/cloud-core-router-ccr1036-12x-gbit-lan-4x-gbit-sfp-port-dotykove-lcd-vc-l6_d3267.html (http://www.i4wifi.cz/cloud-core-router-ccr1036-12x-gbit-lan-4x-gbit-sfp-port-dotykove-lcd-vc-l6_d3267.html). IMHO to vyjde o dost levněji než sada slušných gigabitových karet se serverem.
1) Chyběl Ti výkon, ok ale bez výpisu nevíme, proč, že?
2) Ano, to je pravda.
3) Je to tak, ale i lokalita bohužel hraje svůj účel použití.
4) Koncové zařízení je omezeno výrobcem, zítra ho nehodlá podporovat, tak ho podporovat nebude.
-
Aby som sa vyhol stvorportovym kartam, musim zmenit cele zelezo a navyse stratim moznost spajat ich do bondingu. Co sa tyka uvedenia PPS, cumeli sme do specifikacii Intel kariet dvaja a nevideli sme to, prejdem to znovu a dobre...
Medzicasom som skusil debian ako system na ten FW a sprava sa o malo lepsie... aby som trochu odpovedal na to, preco nepouzivame tieto hotove routre/firewally - doteraz stacili 4 fw s openbsd a firma ma silnu kulturu v open source. V poslednej dobe sme rastli a s rastom firmy rastol aj BW, takze prisiel cas na zmenu alebo upgrade. A ten cloud core router vyzera dobre, posuniem to dalej tym, co rozhoduju.
Beztak by som ocenil realne skusenosti s debianom alebo openbsd fw, hlavne co sa PPS a bondingu tyka.
Vdaka za odpovede.
-
Jsou v zásadě dva způsoby, jak udělat 4 portovou kartu.
Buď dáš na jedno PCB 4 chipy, které se pak mezi sebou perou o propustnost sběrnice nebo to je jeden šváb, který má čtyři kanály ::) a perou se o jeho paměť. Chodí to výborně, to nemohu říct.
Já bych se 4 portové karta raději vyhnul ::)
To už raději solidní kartu s optikou modul do switche.
-
Neuvažoval jsi třeba o tomhle?
http://www.ipmedia.cz/default.asp?cls=stoitem&stiid=2851
-
Neuvažoval jsi třeba o tomhle?
http://www.ipmedia.cz/default.asp?cls=stoitem&stiid=2851
Uvazoval, prave preto pisem na fora... ma to zmysel co sa tyka pps? bw nie je moj problem, tam mam rezervu.
-
Asi bych to primárně řešil na fóru specializovaném pro ten daný OS. Ono parametry z datasheetu jsou sice hezká věc, ale když k tomu je pak v daném OS nějaký třeba ne úplně dobře napsaný ovladač... Ve finále rozhoduje, jaké jsou s tím daným HW konkrétní zkušenosti v provozu, u síťovek to platí trojnásob... Na fóru FreeBSD se tohle řeší poměrně často, včetně zkušeností s různými těmi offloadingy a vůbec zapínáním/vypínáním různých featur té konkrétní karty.
A jenom tak úplně na okraj: pokud je výkon rozhodující, je OpenBSD dobrá volba? Nemělo by smysl jít do FreeBSD? PF z OpenBSD tam je, věci jako CARP, pfsync apod. taky...
-
Asi bych to primárně řešil na fóru specializovaném pro ten daný OS. Ono parametry z datasheetu jsou sice hezká věc, ale když k tomu je pak v daném OS nějaký třeba ne úplně dobře napsaný ovladač... Ve finále rozhoduje, jaké jsou s tím daným HW konkrétní zkušenosti v provozu, u síťovek to platí trojnásob... Na fóru FreeBSD se tohle řeší poměrně často, včetně zkušeností s různými těmi offloadingy a vůbec zapínáním/vypínáním různých featur té konkrétní karty.
A jenom tak úplně na okraj: pokud je výkon rozhodující, je OpenBSD dobrá volba? Nemělo by smysl jít do FreeBSD? PF z OpenBSD tam je, věci jako CARP, pfsync apod. taky...
Sorry, mas uplnu pravdu... nenapisal som na zaciatku ze plan je prejst na linux, FreeBSD ma ani nenapadlo, fakt. A nemyslel som si ze operacny system ma az taky vplyv, preto som to dal tu, do sieti na root.cz... predsalen je tu velka navstevnost odbornikov.
dik za typ
-
nenapisal som na zaciatku ze plan je prejst na linux, FreeBSD ma ani nenapadlo, fakt.
Dal bych mu šanci - přece jenom od OpenBSD je to menší kus cesty, dá se předpokládat bezbolestnější přechod. Jinak je to samozřejmě otázka zvážení pro a proti každého systému, to je jasné a musíš si to zvážit sám...
A nemyslel som si ze operacny system ma az taky vplyv
Jo, má, obrovský. Docela často se stává, že určitá karta je v určitém OS podporovaná jenom částečně, některé featury nejdou zapnout (takže výkon jde rapidně dolů), s něčím je problém, stabilita není kdovíjaká apod. Abys nekoupil nějaký super hw a nebyl z toho pak nešťastný...
-
predsalen je tu velka navstevnost odbornikov.
Jo ještě drobnost k tomuhle: tady se pohybují hlavně linuxáci a ve většině spíš typu "uživatel" nebo "programátor". Lidi, kteří mají zkušenosti *z praxe* s velkými sítěmi, velkými toky, opravdu mission critical systémy apod. se tady taky objevují, ale nepravidelně. S tímhle dotazem bych se zksil spíš obrátit na ispforum.cz nebo do českého FreeBSD fóra ( http://www.cz.freebsd.org/cs/CZ/users-l.html ) - tam se pohybuje víc lidí, kteří mají velké zkušenosti z praxe ISP, z velkých sítí apod. a rádi se o cenné poznatky z praxe podělí.
P.S. doufám, že Rootu nebudou odkazy na cizí servery vadit, snad je to ok.
-
velka vdaka za vsetky rady a reakcie. teraz ostava len testovat a spravne sa rozhodnut.
-
velka vdaka za vsetky rady a reakcie. teraz ostava len testovat a spravne sa rozhodnut.
Hodně štěstí s touhle složitou prací.
-
Osobně bych se zaměřil hlavně na výběr siťové karty, myslim že důvodů proč mít OpenBSD jako bridged firewall je dost.
Na Intelu 82571 jezdím cca 300K pps
U víceportových síťovek je to ovšem sázka do loterie jak to výrobce zadrátoval, u Intelu s tim problém až tak moc neni, ale u levnejch "sranda" síťovek které pro tenhle účel samozdřejme nepočítam hodně divoké.