Je profite du thead pour un problème identique sur une infra identique :) Il y a quelques mois j'avais un router sous openbsd qui ne supportait pas non plus les attaques de > 100 kpps
Depuis j'ai changé pour un cisco 7206, il encaisse déjà beaucoup mieux les attaques, mais cela reste du soft. Le router tourne en 30-40% de cpu avec un traffic de 100Mb, avec des pic a 80% lors des attaques (200-300 kpps) J'ai vue il y a quelques semaine le datasheet du cisco 4948 : 48 port Giga, routage BGP, rip et ospf et surtout 72Mpps en L3 hardware ! Ce genre de switch L3 est-il vraiment capable de remplacé un "vrai router", un peut comme les 6500 ? J'ai vue ce genre de petit switch/router sur le réseau de dedibox en router de rangé, donc quelque centaine de serveur dessus ! J'attend vos avis ! Merci. Le 31 juillet 2012 00:57, Jean-Edouard Babin <j...@jeb.com.fr> a écrit : > En restant sur du routeur, un ASR 1001 est "up to 7.5 Mpps" > Je connais pas les tarif exact mais faut compter dans 10k à 15k euro > (remisé à ~50%) selon la licence > > http://www.cisco.com/en/US/products/ps10878/index.html > > Le 30 juil. 2012 à 17:32, Surya ARBY <arbysu...@yahoo.fr> a écrit : > > > En passant sur la branche Catalyst la datasheet du 4948 donne 72 mpps > > > > > http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps6021/product_data_sheet0900aecd8017a72e.html > > > > Je n'ai par contre aucune idée du prix. > > > > Le 30/07/2012 17:22, Benjamin BILLON a écrit : > >> > http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf > >> > >> Pour dépasser les 4.7Mpps il faut commencer à taper dans les 7600 > >> Les 7200 NPE-G2 plafonnent à 2Mpps, et c'est dommage parce qu'on en > trouve en refurb à bon prix > >> > >> Le 30/07/2012 17:01, Julien Escario a écrit : > >>> Le 30/07/2012 15:45, Surya ARBY a écrit : > >>>> Je ne pense pas qu'il y ait d'équipements capables de traiter en soft > >>>> 100 Mbps ou plus (à cause des interruptions générées sur la CPU tout > >>>> simplement). > >>>> > >>>> Tu peux prendre du switch qui va traiter le L3 en hard; mais si c'est > >>>> une attaque en broadcast L2; ça va remonter à la CPU aussi. > >>>> > >>>> Après si tu veux te protéger il faut choisir des switchs avec du hard > >>>> pour assurer la protection du control plane mais en général on > commence > >>>> à taper le moyen de gamme quelque soit le constructeur. > >>> > >>> Bon, un rapide calcul (que j'aurais dû faire avant) : > >>> Le soft en question balance des paquets UDP de 38 bytes (header > compris). > >>> Ca fait, en gigabit : 1000*1024*1024/8/38=~3.5Mpps > >>> Encore mieux, avec un payload à 0byte : ~4.7Mpps > >>> > >>> En gros, je ne trouverait jamais de routeur qui saura me protéger > contre ça à moins d'y mettre 5 chiffres (voir 6). > >>> > >>> Du coup, faut p'têt effectivement que je cherche ailleurs pour la > protection contre un truc comme ça, non ? > >>> > >>> Corrigez-moi si je dis trop de conneries. > >>> > >>> Julien > >>> > >>> > >>> --------------------------- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
