Jake zelezo na router (UP nebo DP)

Dan Lukes dan at obluda.cz
Tue Feb 28 00:01:24 CET 2006

Previous message: Jake zelezo na router (UP nebo DP)
Next message: Jake zelezo na router (UP nebo DP)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Petr Bezděk napsal/wrote, On 02/27/06 23:16:
> Kamen urazu je v poctu pravidel firewallu IPFW (cca 3000) pro 
> internetovy provoz. V nejhorsim pripade se prochazi az nekolik set 
> pravidel. Snizovat pocet prochazenych pravidel uz moc nejde, pouzivam 
> skoky, kde to jen jde. Dale v kazdem smeru paket musi projit pres 3 
> pipe/queue kvuli shapingu rychlosti. A jeste k tomu se musi provadet NAT 
> pomoci natd.

	Je to opravdu velmi velky pocet pravidel a mam urcite pochybnosti o 
tom, ze jejich pocet opravdu nelze zmensit. Nicmene, nemaje jinych 
informaci, nezbyva nez prijmout autoritativni tvrzeni, ze to nejde.


> Jelikoz datovy tok pres router stale roste a lze predpokladat, ze do 
> budoucna stale poroste, jsem proto nucen rozdelit zatez na aplikacni 
> server a na samostatny router.

	To je rozhodne dobry napad.

> V cem vaham je volba: zda 1 procesor na vysoke frekvenci (nejake Pentium 
> 4) nebo 2 procesory system (Xeon, Opteron)? Vim, ze smerovani na FreeBSD 
> se moc paralelizovat neda. Ale zase na druhou stranu vidim ze 
> stavajiciho zatizeni, ze proces natd bere temer polovinu z vytizeni 
> procesoru. A pokud by se na 2-procesorovem reseni natd, jako user-space 
> proces, povesil na jeden procesor a zbytek (smerovani) by resil druhy 
> procesor, tak bych snad mohl dosahovat lepsiho vykonu nez u 
> 1-procesoroveho reseni? Pro 2-procesorove reseni mi dale hovori provoz 
> dalsich procesu jako ospfd, SIP proxy, mozna i squid, ty vsak nemaji 
> velke naroky na vykon procesoru.

	... a krome toho, by bylo daleko lepsi, kdyby router byl router a 
vetsina tehle veci se odstehovala na zmineny aplikacni server, kam patri.

	Osobne vam doporucuji dva procesory - jenze jinak nez myslite. Poridte 
dva identicke jednoprocesorove stroje a zatez na ne rozlozte. Sice 
opravdu nevim, co v tom firewallu vsechno mate, proc a jak udelane, ale 
vychazim z predpokladu, ze se vam i firewall v zasade podari rozlozit na 
oba stroje.

	Navic ziskate tu vyhodu, ze kdyz vam jeden z obou stroju zdechne, tak 
po urcite rekonfiguraci funkce obou prevezme ten, ktery nezdechl - i 
kdyz za cenu urciteho omezeni provozu.

					Dan




-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz

Previous message: Jake zelezo na router (UP nebo DP)
Next message: Jake zelezo na router (UP nebo DP)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list