forum.opennet.ru - "Расчет мощности DMZ сервера." (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Расчет мощности DMZ сервера."

Форум Открытые системы на сервере (Загрузка / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Расчет мощности DMZ сервера."	+/–
Сообщение от pilferst (ok) on 16-Авг-10, 11:03
Здравствуйте. Не подскажите как рассчитать необходимую мощность (CPU memory hdd) для DMZ сервера. Какие параметры нужны для расчета? Предположительно будет стоять Freebsd 7.3 или 8.1, как скажет заказчик.(Можно поделиться своим опытом =)) Заранее спасибо. И какой лучше фаервол выбрать ipfw или pf. Если исходить из больших объемов трафика.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Расчет мощности DMZ сервера., mef, 11:25 , 16-Авг-10, (1)

Расчет мощности DMZ сервера., pilferst, 12:16 , 16-Авг-10, (2)

Расчет мощности DMZ сервера., mef, 17:23 , 16-Авг-10, (3)

Расчет мощности DMZ сервера., pilferst, 10:33 , 18-Авг-10, (6)

Расчет мощности DMZ сервера., DeadLoco, 17:38 , 16-Авг-10, (4)

Расчет мощности DMZ сервера., pilferst, 10:16 , 18-Авг-10, (5)

Расчет мощности DMZ сервера., DeadLoco, 15:14 , 18-Авг-10, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Расчет мощности DMZ сервера." +/–

Сообщение от mef (ok) on 16-Авг-10, 11:25

>Здравствуйте. Не подскажите как рассчитать необходимую мощность (CPU memory hdd) для DMZ
>сервера. Какие параметры нужны для расчета? Предположительно будет стоять Freebsd 7.3
>или 8.1, как скажет заказчик.(Можно поделиться своим опытом =))
>Заранее спасибо.
>
>И какой лучше фаервол выбрать ipfw или pf. Если исходить из больших
>объемов трафика.
Больше зависит от самой сетевой карты, немного от процессора. PF или IPFW - что лучше умеешь настраивать то и лучше. Мне например ближе PF из-за быстрой работы с таблицами. А вообще даже очень слабая машинка на FreeBSD будет хорошо тянуть при правильной настройке.
На сколько большой объем трафика?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Расчет мощности DMZ сервера." +/–

Сообщение от pilferst (ok) on 16-Авг-10, 12:16

>[оверквотинг удален]
>>Заранее спасибо.
>>
>>И какой лучше фаервол выбрать ipfw или pf. Если исходить из больших
>>объемов трафика.
>
>Больше зависит от самой сетевой карты, немного от процессора. PF или IPFW
>- что лучше умеешь настраивать то и лучше. Мне например ближе
>PF из-за быстрой работы с таблицами. А вообще даже очень слабая
>машинка на FreeBSD будет хорошо тянуть при правильной настройке.
>На сколько большой объем трафика?
Читал и слышал, что pf не поддерживает многопоточность (мультиядерность) и он затыкается на 400-500 мегабитах в секунду. У ipfw таких проблем нет.
Так как задача не до конца сформулирована, могу сказать возможно будет 100 мегабит при одной задаче и 500 и 1000 если расшириться. Если был у вас опыт поделитесь пожалуйста, какое железо и сколько тянуло. И есть ли формула расчета?
Спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Расчет мощности DMZ сервера." +/–

Сообщение от mef (ok) on 16-Авг-10, 17:23

>Читал и слышал, что pf не поддерживает многопоточность (мультиядерность) и он затыкается
>на 400-500 мегабитах в секунду. У ipfw таких проблем нет.
>Так как задача не до конца сформулирована, могу сказать возможно будет 100
>мегабит при одной задаче и 500 и 1000 если расшириться. Если
>был у вас опыт поделитесь пожалуйста, какое железо и сколько тянуло.
>И есть ли формула расчета?
>Спасибо.
Да, pf вроде как не поддерживает работу с несколькими ядрами. Но в любом случае оптимизация правил будет весьма и весьма важной, что может сказаться на производительности больше чем выбор fw.
А на 500мб/c затыкалось это с много подключений было? Если да то сколько и каких (keepstate), PPS? Там еще много тюнится типа таймауты, количество подключений (hard, soft)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Расчет мощности DMZ сервера." +/–

Сообщение от pilferst (ok) on 18-Авг-10, 10:33

>[оверквотинг удален]
>>был у вас опыт поделитесь пожалуйста, какое железо и сколько тянуло.
>>И есть ли формула расчета?
>>Спасибо.
>
>Да, pf вроде как не поддерживает работу с несколькими ядрами. Но в
>любом случае оптимизация правил будет весьма и весьма важной, что может
>сказаться на производительности больше чем выбор fw.
>А на 500мб/c затыкалось это с много подключений было? Если да то
>сколько и каких (keepstate), PPS? Там еще много тюнится типа таймауты,
>количество подключений (hard, soft)
На данный момент стоит задача только выбрать железо, фаервол.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Расчет мощности DMZ сервера." +/–

Сообщение от DeadLoco (ok) on 16-Авг-10, 17:38

>Читал и слышал, что pf не поддерживает многопоточность (мультиядерность) и он затыкается
>на 400-500 мегабитах в секунду. У ipfw таких проблем нет.
IPFW точно так же однопоточен. И точно так же будет затыкаться на больших количествах пакетов в секунду. Для нормальной работы сети нужно брать правильные сетевухи с большим внутренним буфером, и при этом отключать поллинг интерфейсов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Расчет мощности DMZ сервера." +/–

Сообщение от pilferst (ok) on 18-Авг-10, 10:16

>>Читал и слышал, что pf не поддерживает многопоточность (мультиядерность) и он затыкается
>>на 400-500 мегабитах в секунду. У ipfw таких проблем нет.
>
>IPFW точно так же однопоточен. И точно так же будет затыкаться на
>больших количествах пакетов в секунду. Для нормальной работы сети нужно брать
>правильные сетевухи с большим внутренним буфером, и при этом отключать поллинг
>интерфейсов.
То есть надо брать проц с большой тактовой частотой и более новый? И плевать на многоядернось? Какие сетевухи посоветуете? Процессора Xeon 5570 хватит на 2 гигабита?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Расчет мощности DMZ сервера." +/–

Сообщение от DeadLoco (ok) on 18-Авг-10, 15:14

>То есть надо брать проц с большой тактовой частотой и более новый?
>И плевать на многоядернось? Какие сетевухи посоветуете? Процессора Xeon 5570 хватит
>на 2 гигабита?
Вы уверены, что хотите построить именно DMZ, а не гейтвей с файрволлом?
Если на хосте будут установлены обычные АМР плюс почтовик, плюс прокси - многоядерность будет категорически необходима.
Из сетевух для меди лично я предпочитаю "em" PWLA8490MT/PWLA8492MT под пцих. "igb" EXPI9400PT/EXPI9402PT (для пцие) известна глюками. Хотя у меня двухголовые igb работают ничем не хуже em, но на форумах много жалоб на нестабильное поведение. Опять же, ем-ки стоят смешных 50 баксов за порт, тогда как игб - уже 80.
Хватит или не хватит процессора - зависит исключительно от сложности обработки траффика. Если планируется сложный файрволл с обилием динамически создаваемых правил, то ответ - пробовать надо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Расчет мощности DMZ сервера."	+/–
Сообщение от mef (ok) on 16-Авг-10, 11:25
>Здравствуйте. Не подскажите как рассчитать необходимую мощность (CPU memory hdd) для DMZ >сервера. Какие параметры нужны для расчета? Предположительно будет стоять Freebsd 7.3 >или 8.1, как скажет заказчик.(Можно поделиться своим опытом =)) >Заранее спасибо. > >И какой лучше фаервол выбрать ipfw или pf. Если исходить из больших >объемов трафика. Больше зависит от самой сетевой карты, немного от процессора. PF или IPFW - что лучше умеешь настраивать то и лучше. Мне например ближе PF из-за быстрой работы с таблицами. А вообще даже очень слабая машинка на FreeBSD будет хорошо тянуть при правильной настройке. На сколько большой объем трафика?
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Расчет мощности DMZ сервера."	+/–
	Сообщение от pilferst (ok) on 16-Авг-10, 12:16
	>[оверквотинг удален] >>Заранее спасибо. >> >>И какой лучше фаервол выбрать ipfw или pf. Если исходить из больших >>объемов трафика. > >Больше зависит от самой сетевой карты, немного от процессора. PF или IPFW >- что лучше умеешь настраивать то и лучше. Мне например ближе >PF из-за быстрой работы с таблицами. А вообще даже очень слабая >машинка на FreeBSD будет хорошо тянуть при правильной настройке. >На сколько большой объем трафика? Читал и слышал, что pf не поддерживает многопоточность (мультиядерность) и он затыкается на 400-500 мегабитах в секунду. У ipfw таких проблем нет. Так как задача не до конца сформулирована, могу сказать возможно будет 100 мегабит при одной задаче и 500 и 1000 если расшириться. Если был у вас опыт поделитесь пожалуйста, какое железо и сколько тянуло. И есть ли формула расчета? Спасибо.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Расчет мощности DMZ сервера."	+/–
	Сообщение от mef (ok) on 16-Авг-10, 17:23
	>Читал и слышал, что pf не поддерживает многопоточность (мультиядерность) и он затыкается >на 400-500 мегабитах в секунду. У ipfw таких проблем нет. >Так как задача не до конца сформулирована, могу сказать возможно будет 100 >мегабит при одной задаче и 500 и 1000 если расшириться. Если >был у вас опыт поделитесь пожалуйста, какое железо и сколько тянуло. >И есть ли формула расчета? >Спасибо. Да, pf вроде как не поддерживает работу с несколькими ядрами. Но в любом случае оптимизация правил будет весьма и весьма важной, что может сказаться на производительности больше чем выбор fw. А на 500мб/c затыкалось это с много подключений было? Если да то сколько и каких (keepstate), PPS? Там еще много тюнится типа таймауты, количество подключений (hard, soft)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Расчет мощности DMZ сервера."	+/–
	Сообщение от pilferst (ok) on 18-Авг-10, 10:33
	>[оверквотинг удален] >>был у вас опыт поделитесь пожалуйста, какое железо и сколько тянуло. >>И есть ли формула расчета? >>Спасибо. > >Да, pf вроде как не поддерживает работу с несколькими ядрами. Но в >любом случае оптимизация правил будет весьма и весьма важной, что может >сказаться на производительности больше чем выбор fw. >А на 500мб/c затыкалось это с много подключений было? Если да то >сколько и каких (keepstate), PPS? Там еще много тюнится типа таймауты, >количество подключений (hard, soft) На данный момент стоит задача только выбрать железо, фаервол.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Расчет мощности DMZ сервера."	+/–
	Сообщение от DeadLoco (ok) on 16-Авг-10, 17:38
	>Читал и слышал, что pf не поддерживает многопоточность (мультиядерность) и он затыкается >на 400-500 мегабитах в секунду. У ipfw таких проблем нет. IPFW точно так же однопоточен. И точно так же будет затыкаться на больших количествах пакетов в секунду. Для нормальной работы сети нужно брать правильные сетевухи с большим внутренним буфером, и при этом отключать поллинг интерфейсов.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Расчет мощности DMZ сервера."	+/–
	Сообщение от pilferst (ok) on 18-Авг-10, 10:16
	>>Читал и слышал, что pf не поддерживает многопоточность (мультиядерность) и он затыкается >>на 400-500 мегабитах в секунду. У ipfw таких проблем нет. > >IPFW точно так же однопоточен. И точно так же будет затыкаться на >больших количествах пакетов в секунду. Для нормальной работы сети нужно брать >правильные сетевухи с большим внутренним буфером, и при этом отключать поллинг >интерфейсов. То есть надо брать проц с большой тактовой частотой и более новый? И плевать на многоядернось? Какие сетевухи посоветуете? Процессора Xeon 5570 хватит на 2 гигабита?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "Расчет мощности DMZ сервера."	+/–
	Сообщение от DeadLoco (ok) on 18-Авг-10, 15:14
	>То есть надо брать проц с большой тактовой частотой и более новый? >И плевать на многоядернось? Какие сетевухи посоветуете? Процессора Xeon 5570 хватит >на 2 гигабита? Вы уверены, что хотите построить именно DMZ, а не гейтвей с файрволлом? Если на хосте будут установлены обычные АМР плюс почтовик, плюс прокси - многоядерность будет категорически необходима. Из сетевух для меди лично я предпочитаю "em" PWLA8490MT/PWLA8492MT под пцих. "igb" EXPI9400PT/EXPI9402PT (для пцие) известна глюками. Хотя у меня двухголовые igb работают ничем не хуже em, но на форумах много жалоб на нестабильное поведение. Опять же, ем-ки стоят смешных 50 баксов за порт, тогда как игб - уже 80. Хватит или не хватит процессора - зависит исключительно от сложности обработки траффика. Если планируется сложный файрволл с обилием динамически создаваемых правил, то ответ - пробовать надо.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору