Le 1 oct. 07 à 20:52, Xavier Beaudouin a écrit :
Hello,
Je pourrais :
- couper mon réseau public en 4 sous réseaux et mettre 4
firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ?
- relier directement sans NAT les répartiteurs LVS au
routeur BGP et les auto-firewalliser en iptables ?
- valider qu'un firewall Linux actif peut tenir 2 Gbps (+
un passif avec heartbeat) ?
>>>> Charge :
Le firewall a peu de charge :
Normal tout le travail se fait dans le noyau, donc le nombre de CPU
importe peu... Enfin pour l'instant il me semble....
C'est n'est pas forcement le cas, sous Linux tu as des infos sur le
temps passe en sys / iowait etc ...
Donc normalement si le systeme etait charge l'idle devrait descendre,
neanmoins cette machine est veloce et devrait aisement supporter un
rate te permettant d'atteindre 2 Gbps.
Avez-vous un serveur Linux qui tient 2 Gbps ?
2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si
c'est 2Gbps avec des petits paquets (aller au hasard sur le port
53.... !), un linux vas avoir beaucoup de problèmes a filtrer ça et
tenir la charge...
Xavier a raison, ca depend essentiellement du nombre de PPS et de
Transactions par seconde que le firewall va devoir supporter.
Avoir 2Gbps avec des jumbo frame et des transactions HTTP de
plusieurs Mega n'est pas difficile,
Avoir 2Gbps avec du traffic DNS (bonne exemple) c'est complement
different.
Faut-il lâcher Linux et acheter des Juniper Netscreen ?
Quel modèle Netscreen utilisez vous pour gérer du trafic autour de
2 Gbps ?
Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles...
Si vous utilisez pour votre firewalling des serveurs Linux
iptables ou du Netscreen je suis très intéressé par vos retours
d'expérience sur leurs capacités de tenue à la charge.
Il y a aussi d'autres solutions "pratiques", par exmple pfsense... :)
Il y a des soucis de perf avec pf sous FreeBSD donc je ne
recommanderai pas cette solution en prod.
Enfin quoiqu'il en soit, il serait judicieux de valider ton systeme
avant tout choix.
Tu as des options opensource (netperf, iperf) ou commerciales
(Spirent Avalanche).
Bien cordialement,
--
Olivier Warin
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
