Yann, Depuis l'architecture Intel Nehalem (c a d plus de 5ans) les vitesses de bus sont largement suffisantes pour réaliser un routeur robuste sous GNU/Linux ou BSD. Il est tout à fait possible de tenir bien plus que le maximum de pps d'un port gig (soit 1 Million de pps).
Si votre routeur consomme 30-40% de cpu avec seulement 100 k pps c'est que vous avez soit, laissé tourner un parefeu à état ou que vous disposez d'une carte réseau genre Realtek qui flood le cpu d'IRQs. Avec une bonne carte réseau genre Intel multi queues (et une bonne répartition des queues sur les coeurs) il n'y a aucun soucis pour tenir le max de pps d'un gig/s avec une machine relativement humble (mono socket 4 coeurs/ 2G de RAM) avec full bgp/ospf. Bien à vous, Guillaume Esnault Digicube sas Infrastructures Internet & Hébergement de serveurs Le mardi 31 juillet 2012 à 12:14 +0200, Yann Beulque a écrit : > Je profite du thead pour un problème identique sur une infra identique :) > > Il y a quelques mois j'avais un router sous openbsd qui ne supportait pas > non plus les attaques de > 100 kpps > > Depuis j'ai changé pour un cisco 7206, il encaisse déjà beaucoup mieux les > attaques, mais cela reste du soft. > Le router tourne en 30-40% de cpu avec un traffic de 100Mb, avec des pic a > 80% lors des attaques (200-300 kpps) > > J'ai vue il y a quelques semaine le datasheet du cisco 4948 : > 48 port Giga, routage BGP, rip et ospf et surtout 72Mpps en L3 hardware ! > > Ce genre de switch L3 est-il vraiment capable de remplacé un "vrai router", > un peut comme les 6500 ? > J'ai vue ce genre de petit switch/router sur le réseau de dedibox en router > de rangé, donc quelque centaine de serveur dessus ! > > J'attend vos avis ! > > Merci. > > Le 31 juillet 2012 00:57, Jean-Edouard Babin <j...@jeb.com.fr> a écrit : > > > En restant sur du routeur, un ASR 1001 est "up to 7.5 Mpps" > > Je connais pas les tarif exact mais faut compter dans 10k à 15k euro > > (remisé à ~50%) selon la licence > > > > http://www.cisco.com/en/US/products/ps10878/index.html > > > > Le 30 juil. 2012 à 17:32, Surya ARBY <arbysu...@yahoo.fr> a écrit : > > > > > En passant sur la branche Catalyst la datasheet du 4948 donne 72 mpps > > > > > > > > http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps6021/product_data_sheet0900aecd8017a72e.html > > > > > > Je n'ai par contre aucune idée du prix. > > > > > > Le 30/07/2012 17:22, Benjamin BILLON a écrit : > > >> > > http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf > > >> > > >> Pour dépasser les 4.7Mpps il faut commencer à taper dans les 7600 > > >> Les 7200 NPE-G2 plafonnent à 2Mpps, et c'est dommage parce qu'on en > > trouve en refurb à bon prix > > >> > > >> Le 30/07/2012 17:01, Julien Escario a écrit : > > >>> Le 30/07/2012 15:45, Surya ARBY a écrit : > > >>>> Je ne pense pas qu'il y ait d'équipements capables de traiter en soft > > >>>> 100 Mbps ou plus (à cause des interruptions générées sur la CPU tout > > >>>> simplement). > > >>>> > > >>>> Tu peux prendre du switch qui va traiter le L3 en hard; mais si c'est > > >>>> une attaque en broadcast L2; ça va remonter à la CPU aussi. > > >>>> > > >>>> Après si tu veux te protéger il faut choisir des switchs avec du hard > > >>>> pour assurer la protection du control plane mais en général on > > commence > > >>>> à taper le moyen de gamme quelque soit le constructeur. > > >>> > > >>> Bon, un rapide calcul (que j'aurais dû faire avant) : > > >>> Le soft en question balance des paquets UDP de 38 bytes (header > > compris). > > >>> Ca fait, en gigabit : 1000*1024*1024/8/38=~3.5Mpps > > >>> Encore mieux, avec un payload à 0byte : ~4.7Mpps > > >>> > > >>> En gros, je ne trouverait jamais de routeur qui saura me protéger > > contre ça à moins d'y mettre 5 chiffres (voir 6). > > >>> > > >>> Du coup, faut p'têt effectivement que je cherche ailleurs pour la > > protection contre un truc comme ça, non ? > > >>> > > >>> Corrigez-moi si je dis trop de conneries. > > >>> > > >>> Julien > > >>> > > >>> > > >>> --------------------------- > > >>> Liste de diffusion du FRnOG > > >>> http://www.frnog.org/ > > >> > > >> > > >> --------------------------- > > >> Liste de diffusion du FRnOG > > >> http://www.frnog.org/ > > >> > > > > > > > > > --------------------------- > > > Liste de diffusion du FRnOG > > > http://www.frnog.org/ > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
