On Mon, Oct 01, 2007 at 09:48:20PM +0200, Olivier Warin wrote: > Le 1 oct. 07 à 20:52, Xavier Beaudouin a écrit : >> Hello, >> >>> Je pourrais : >>> - couper mon réseau public en 4 sous réseaux et mettre 4 >>> firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? >>> - relier directement sans NAT les répartiteurs LVS au routeur BGP >>> et les auto-firewalliser en iptables ? >>> - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un >>> passif avec heartbeat) ? >>> >>> >>>> Charge : >>> Le firewall a peu de charge : >> Normal tout le travail se fait dans le noyau, donc le nombre de CPU >> importe peu... Enfin pour l'instant il me semble.... > C'est n'est pas forcement le cas, sous Linux tu as des infos sur le temps > passe en sys / iowait etc ... > Donc normalement si le systeme etait charge l'idle devrait descendre, > neanmoins cette machine est veloce et devrait aisement supporter un rate te > permettant d'atteindre 2 Gbps.
je connais mal le noyau linux, mais il me semble, que globalement sous unix... les operations liés au reseau/firewall... ca ne sort pas du noyau et que celui-ci a tendance a ne tourner que sur un seul processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant plutot que pleins de core... ensuite, le bus de la machine (donc entre la/les cartes reseaux, le cpu et la ram) a tendance a etre LE facteur bloquant dans l'utilisation de PC pour des fins d'applicatif réseau sur les pc "moderne" >>> Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du >>> Netscreen je suis très intéressé par vos retours d'expérience sur leurs >>> capacités de tenue à la charge. >> Il y a aussi d'autres solutions "pratiques", par exmple pfsense... :) > Il y a des soucis de perf avec pf sous FreeBSD donc je ne recommanderai pas > cette solution en prod. pourquoi ne pas utiliser pf sur son os "natif" ? > Enfin quoiqu'il en soit, il serait judicieux de valider ton systeme avant > tout choix. > Tu as des options opensource (netperf, iperf) ou commerciales (Spirent > Avalanche). > > Bien cordialement, > -- > Olivier Warin -- Romain --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
