Sietova karta pre firewall

vlado · « **kdy:** 23. 08. 2015, 10:56:54 »

ahojte, aku sietovu kartu by ste odporucili na firewall s prevadzkou ~400 Mbits?
Momentalne mame Intel Gigabit CT, ktora ma dve fronty RX/TX a zatial ideme na ~200 Mbits na dualcore.
Procesor sa bude menit na quadcore Xeon, lebo menime cely stroj.
Presmerovanie preruseni robi jadro automaticky, alebo je nutne to nastavit?
Alebo sa o to stara ovladac karty?
Ide o ciste iptables s par qosmi, pravidiel do 100.

Reklama

sho · « **Odpověď #1 kdy:** 23. 08. 2015, 11:31:35 »

Citace: vlado 23. 08. 2015, 10:56:54

ahojte, aku sietovu kartu by ste odporucili na firewall s prevadzkou ~400 Mbits?
Momentalne mame Intel Gigabit CT, ktora ma dve fronty RX/TX a zatial ideme na ~200 Mbits na dualcore.
Procesor sa bude menit na quadcore Xeon, lebo menime cely stroj.
Presmerovanie preruseni robi jadro automaticky, alebo je nutne to nastavit?
Alebo sa o to stara ovladac karty?
Ide o ciste iptables s par qosmi, pravidiel do 100.

Do buducnosti, odporucam kompatibilnu kartu s DPDK (vyhnut sa intel e1000).
DPDK obchadza syscally. => Obrovsky narast vykonu.

Nie som si isty existenciou "OpenSource/Free" firewallu na DPDK, stale je tu moznost ho doprogramovat.

ip · « **Odpověď #2 kdy:** 23. 08. 2015, 11:47:08 »

chyba v nadpisu - iptables není firewall

sho · « **Odpověď #3 kdy:** 23. 08. 2015, 11:49:31 »

Citace: sho 23. 08. 2015, 11:31:35

Citace: vlado 23. 08. 2015, 10:56:54
ahojte, aku sietovu kartu by ste odporucili na firewall s prevadzkou ~400 Mbits?
Momentalne mame Intel Gigabit CT, ktora ma dve fronty RX/TX a zatial ideme na ~200 Mbits na dualcore.
Procesor sa bude menit na quadcore Xeon, lebo menime cely stroj.
Presmerovanie preruseni robi jadro automaticky, alebo je nutne to nastavit?
Alebo sa o to stara ovladac karty?
Ide o ciste iptables s par qosmi, pravidiel do 100.

Do buducnosti, odporucam kompatibilnu kartu s DPDK (vyhnut sa intel e1000).
DPDK obchadza syscally. => Obrovsky narast vykonu.

Nie som si isty existenciou "OpenSource/Free" firewallu na DPDK, stale je tu moznost ho doprogramovat.

Zabudol som, su aj alternativy k DPDK, kazdopadne https://blog.pfsense.org/?p=1588

Ondro · « **Odpověď #4 kdy:** 23. 08. 2015, 14:17:36 »

Citace: sho 23. 08. 2015, 11:31:35

Do buducnosti, odporucam kompatibilnu kartu s DPDK (vyhnut sa intel e1000).
DPDK obchadza syscally. => Obrovsky narast vykonu.

Nie som si isty existenciou "OpenSource/Free" firewallu na DPDK, stale je tu moznost ho doprogramovat.

preco odporucas vyhnut sa e1000, ked v zozname kompatiblinych NIC je e1000?
http://dpdk.org/doc/nics

Reklama

sho · « **Odpověď #5 kdy:** 23. 08. 2015, 15:30:19 »

Citace: Ondro 23. 08. 2015, 14:17:36

Citace: sho 23. 08. 2015, 11:31:35

Do buducnosti, odporucam kompatibilnu kartu s DPDK (vyhnut sa intel e1000).
DPDK obchadza syscally. => Obrovsky narast vykonu.

Nie som si isty existenciou "OpenSource/Free" firewallu na DPDK, stale je tu moznost ho doprogramovat.

preco odporucas vyhnut sa e1000, ked v zozname kompatiblinych NIC je e1000?
http://dpdk.org/doc/nics

Pracujem s DPDK 2.0 ten ich driver nie je najlepsie spraveny. Neviem ci v buducnosti planuju velke zmeny. DPDK je urceny na lepsie sietovky - enterprise hracov. Tym padom e1000 nie je zatial velmi podporovana.

Dada · « **Odpověď #6 kdy:** 24. 08. 2015, 10:09:59 »

sitovka musi umet vyuzit vice jader. Cili spocitat jadra a koupit sitovku, ktera umi vytvorit pocet front stejny s poctem jader. V bezicim systemu pak zajistit, aby kazdy IRQ od front obsluhovalo jine jadro (RX a TX IRQ od jedne fronty na jednom jadre). Linux bohuzel tohle neumi ulozit takze pri kazdem rebootu je treba spachat znovu (zapisem do /proc/irq/XY/smp_affinity a pripadne /sys/class/net/eth0/queues/tx-X/xps_cpus).

Sietova karta pre firewall

vlado

Sietova karta pre firewall

Reklama

sho

Re:Sietova karta pre firewall

ip

Re:Sietova karta pre firewall

sho

Re:Sietova karta pre firewall

Ondro

Re:Sietova karta pre firewall

Reklama

sho

Re:Sietova karta pre firewall

Dada

Re:Sietova karta pre firewall