Síťová karta vhodná pro firewall

[Peter]

Zdravim,
mam v praci pochyby ohladne sietovky na firewal a dufam ze tu bude nejaka mudra hlava co mi rozsiri obzory.
Aktualna situacia je nasledovna: bridged firewall OpenBSD, 2x vstup (dvaja ISP, jeden vytazeny asi na 800Mb, druhy viac-menej zalozny, vytazeny na 200Mb), 2x vystup (vnutorna infrastruktura, aktivny/pasivny switch - vytazeny len jeden). Teraz puozivame sietovu kartu s dvoma cipmi Intel 82576 a styrma rj-45.
Tych 800Mb je rozdelenych medzi 4 firewally, tam problem nieje, problem mame s packets per second. Tam je strop 70K (in + out). Zobral som tu istu sietovku a podobnu masinu a pripravil som si labak kde som roznymi simulaciami (hping, ab, iperf...) dosiahol bez problemov 120K pps (in + out). Pri pouziti trunkingu (v linuxe sa to vola bonding) som siel na 240K pps (in + out).

Teraz konecne otazky... Nikde som nevidel vyrobcom specifikovane pps pri sietovych kartach... aky je rozdiel medzi medenym a optickym mediom? stoji to za tie peniaze?
je velky realny rozdiel v karte so styrma kontrolermi a styrma rj-45 oproti tej co mame, cize 2 kontrolery a 4 rj-45? konfigurovat trunking na dve eth v jednom cipe alebo ho rozdelit na dva cipy (a dva trunkingy)?
dik za odpovede

[Reklama]

[hodza]

1) Čtyřportovým kartám bych se vyhýbal jako čert kříži - zatím jsem v ruce neměl žádnou rozumnou (testován Intel a D-Link) - vždy chyběl výkon nebo měla karta jiný problém (například spotřeba 99% SIRQ)

2) U slušných síťových karet je PPS uváděno - stačí dobře hledat.

3) Připojení po opticke dnes už nabízí snad i ti nejmenší ISP. Není důvod toho nevyužít. Optické karty při plném vytížení netrpí takovou dýchavičností jako ty na metaliku.

4) Hloupá otázka, ale proč nesáhnete po nějaké hotové krabičce - například:  http://www.i4wifi.cz/cloud-core-router-ccr1036-12x-gbit-lan-4x-gbit-sfp-port-dotykove-lcd-vc-l6_d3267.html. IMHO to vyjde o dost levněji než sada slušných gigabitových karet se serverem.

[Pavel 'TIGER' Růžička]

1) Čtyřportovým kartám bych se vyhýbal jako čert kříži - zatím jsem v ruce neměl žádnou rozumnou (testován Intel a D-Link) - vždy chyběl výkon nebo měla karta jiný problém (například spotřeba 99% SIRQ)

2) U slušných síťových karet je PPS uváděno - stačí dobře hledat.

3) Připojení po opticke dnes už nabízí snad i ti nejmenší ISP. Není důvod toho nevyužít. Optické karty při plném vytížení netrpí takovou dýchavičností jako ty na metaliku.

4) Hloupá otázka, ale proč nesáhnete po nějaké hotové krabičce - například:  http://www.i4wifi.cz/cloud-core-router-ccr1036-12x-gbit-lan-4x-gbit-sfp-port-dotykove-lcd-vc-l6_d3267.html. IMHO to vyjde o dost levněji než sada slušných gigabitových karet se serverem.

1) Chyběl Ti výkon, ok ale bez výpisu nevíme, proč, že?

2) Ano, to je pravda.

3) Je to tak, ale i lokalita bohužel hraje svůj  účel použití.

4) Koncové zařízení je omezeno výrobcem, zítra ho nehodlá podporovat, tak ho podporovat nebude.

[Peter]

Aby som sa vyhol stvorportovym kartam, musim zmenit cele zelezo a navyse stratim moznost spajat ich do bondingu. Co sa tyka uvedenia PPS, cumeli sme do specifikacii Intel kariet dvaja a nevideli sme to, prejdem to znovu a dobre...
Medzicasom som skusil debian ako system na ten FW a sprava sa o malo lepsie... aby som trochu odpovedal na to, preco nepouzivame tieto hotove routre/firewally - doteraz stacili 4  fw s openbsd a firma ma silnu kulturu v open source. V poslednej dobe sme rastli a s rastom firmy rastol aj BW, takze prisiel cas na zmenu alebo upgrade. A ten cloud core router vyzera dobre, posuniem to dalej tym, co rozhoduju.
Beztak by som ocenil realne skusenosti s debianom alebo openbsd fw, hlavne co sa PPS a bondingu tyka.
Vdaka za odpovede.

[PanKapitanRUM]

Jsou v zásadě dva způsoby, jak udělat 4 portovou kartu.
Buď dáš na jedno PCB 4 chipy, které se pak mezi sebou perou o propustnost sběrnice nebo to je jeden šváb, který má čtyři kanály a perou se o jeho paměť. Chodí to výborně, to nemohu říct.

Já bych se 4 portové karta raději vyhnul
To už raději solidní kartu s optikou modul do switche.

[Reklama]

[PanKapitanRUM]

Neuvažoval jsi třeba o tomhle?
http://www.ipmedia.cz/default.asp?cls=stoitem&stiid=2851

[Peter]

Neuvažoval jsi třeba o tomhle?
http://www.ipmedia.cz/default.asp?cls=stoitem&stiid=2851

Uvazoval, prave preto pisem na fora... ma to zmysel co sa tyka pps? bw nie je moj problem, tam mam rezervu.

[Mirek Prýmek]

Asi bych to primárně řešil na fóru specializovaném pro ten daný OS. Ono parametry z datasheetu jsou sice hezká věc, ale když k tomu je pak v daném OS nějaký třeba ne úplně dobře napsaný ovladač... Ve finále rozhoduje, jaké jsou s tím daným HW konkrétní zkušenosti v provozu, u síťovek to platí trojnásob... Na fóru FreeBSD se tohle řeší poměrně často, včetně zkušeností s různými těmi offloadingy a vůbec zapínáním/vypínáním různých featur té konkrétní karty.

A jenom tak úplně na okraj: pokud je výkon rozhodující, je OpenBSD dobrá volba? Nemělo by smysl jít do FreeBSD? PF z OpenBSD tam je, věci jako CARP, pfsync apod. taky...

[Peter]

Asi bych to primárně řešil na fóru specializovaném pro ten daný OS. Ono parametry z datasheetu jsou sice hezká věc, ale když k tomu je pak v daném OS nějaký třeba ne úplně dobře napsaný ovladač... Ve finále rozhoduje, jaké jsou s tím daným HW konkrétní zkušenosti v provozu, u síťovek to platí trojnásob... Na fóru FreeBSD se tohle řeší poměrně často, včetně zkušeností s různými těmi offloadingy a vůbec zapínáním/vypínáním různých featur té konkrétní karty.

A jenom tak úplně na okraj: pokud je výkon rozhodující, je OpenBSD dobrá volba? Nemělo by smysl jít do FreeBSD? PF z OpenBSD tam je, věci jako CARP, pfsync apod. taky...

Sorry, mas uplnu pravdu... nenapisal som na zaciatku ze plan je prejst na linux, FreeBSD ma ani nenapadlo, fakt. A nemyslel som si ze operacny system ma az taky vplyv, preto som to dal tu, do sieti na root.cz... predsalen je tu velka navstevnost odbornikov.
dik za typ

[Mirek Prýmek]

nenapisal som na zaciatku ze plan je prejst na linux, FreeBSD ma ani nenapadlo, fakt.

Dal bych mu šanci - přece jenom od OpenBSD je to menší kus cesty, dá se předpokládat bezbolestnější přechod. Jinak je to samozřejmě otázka zvážení pro a proti každého systému, to je jasné a musíš si to zvážit sám...

A nemyslel som si ze operacny system ma az taky vplyv

Jo, má, obrovský. Docela často se stává, že určitá karta je v určitém OS podporovaná jenom částečně, některé featury nejdou zapnout (takže výkon jde rapidně dolů), s něčím je problém, stabilita není kdovíjaká apod. Abys nekoupil nějaký super hw a nebyl z toho pak nešťastný...

[Mirek Prýmek]

predsalen je tu velka navstevnost odbornikov.

Jo ještě drobnost k tomuhle: tady se pohybují hlavně linuxáci a ve většině spíš typu "uživatel" nebo "programátor". Lidi, kteří mají zkušenosti *z praxe* s velkými sítěmi, velkými toky, opravdu mission critical systémy apod. se tady taky objevují, ale nepravidelně. S tímhle dotazem bych se zksil spíš obrátit na ispforum.cz nebo do českého FreeBSD fóra ( http://www.cz.freebsd.org/cs/CZ/users-l.html ) - tam se pohybuje víc lidí, kteří mají velké zkušenosti z praxe ISP, z velkých sítí apod. a rádi se o cenné poznatky z praxe podělí.

P.S. doufám, že Rootu nebudou odkazy na cizí servery vadit, snad je to ok.

[Peter]

velka vdaka za vsetky rady a reakcie. teraz ostava len testovat a spravne sa rozhodnut.

[Mirek Prýmek]

velka vdaka za vsetky rady a reakcie. teraz ostava len testovat a spravne sa rozhodnut.

Hodně štěstí s touhle složitou prací.

[ES]

Osobně bych se zaměřil hlavně na výběr siťové karty, myslim že důvodů proč mít OpenBSD jako bridged firewall je dost.

Na Intelu 82571 jezdím cca 300K pps

U víceportových síťovek je to ovšem sázka do loterie jak to výrobce zadrátoval, u Intelu s tim problém až tak moc neni, ale u levnejch "sranda" síťovek které pro tenhle účel samozdřejme nepočítam hodně divoké.