Le 31 juillet 2012 15:22, Guillaume Esnault <gesna...@digicube.fr> a écrit :
> Yann, > > Depuis l'architecture Intel Nehalem (c a d plus de 5ans) les vitesses de > bus sont largement suffisantes pour réaliser un routeur robuste sous > GNU/Linux ou BSD. Il est tout à fait possible de tenir bien plus que le > maximum de pps d'un port gig (soit 1 Million de pps). > > Si votre routeur consomme 30-40% de cpu avec seulement 100 k pps c'est > que vous avez soit, laissé tourner un parefeu à état ou que vous > disposez d'une carte réseau genre Realtek qui flood le cpu d'IRQs. > Mon cisco 7200 qui consomme 30-40 de cpu, il suffit pour mon réseau actuellement, mais dans l'avenir il faut que je lui trouve un grand frère pour un prix raisonnable ! Peut être un 6500 en backbone pour bgp et du 4948 avec ospf en interne... > > Avec une bonne carte réseau genre Intel multi queues (et une bonne > répartition des queues sur les coeurs) il n'y a aucun soucis pour tenir > le max de pps d'un gig/s avec une machine relativement humble (mono > socket 4 coeurs/ 2G de RAM) avec full bgp/ospf. > > Bien à vous, > > Guillaume Esnault > Digicube sas > Infrastructures Internet & Hébergement de serveurs > > Le mardi 31 juillet 2012 à 12:14 +0200, Yann Beulque a écrit : > > Je profite du thead pour un problème identique sur une infra identique :) > > > > Il y a quelques mois j'avais un router sous openbsd qui ne supportait pas > > non plus les attaques de > 100 kpps > > > > Depuis j'ai changé pour un cisco 7206, il encaisse déjà beaucoup mieux > les > > attaques, mais cela reste du soft. > > Le router tourne en 30-40% de cpu avec un traffic de 100Mb, avec des pic > a > > 80% lors des attaques (200-300 kpps) > > > > J'ai vue il y a quelques semaine le datasheet du cisco 4948 : > > 48 port Giga, routage BGP, rip et ospf et surtout 72Mpps en L3 hardware ! > > > > Ce genre de switch L3 est-il vraiment capable de remplacé un "vrai > router", > > un peut comme les 6500 ? > > J'ai vue ce genre de petit switch/router sur le réseau de dedibox en > router > > de rangé, donc quelque centaine de serveur dessus ! > > > > J'attend vos avis ! > > > > Merci. > > > > Le 31 juillet 2012 00:57, Jean-Edouard Babin <j...@jeb.com.fr> a écrit : > > > > > En restant sur du routeur, un ASR 1001 est "up to 7.5 Mpps" > > > Je connais pas les tarif exact mais faut compter dans 10k à 15k euro > > > (remisé à ~50%) selon la licence > > > > > > http://www.cisco.com/en/US/products/ps10878/index.html > > > > > > Le 30 juil. 2012 à 17:32, Surya ARBY <arbysu...@yahoo.fr> a écrit : > > > > > > > En passant sur la branche Catalyst la datasheet du 4948 donne 72 mpps > > > > > > > > > > > > http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps6021/product_data_sheet0900aecd8017a72e.html > > > > > > > > Je n'ai par contre aucune idée du prix. > > > > > > > > Le 30/07/2012 17:22, Benjamin BILLON a écrit : > > > >> > > > > http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf > > > >> > > > >> Pour dépasser les 4.7Mpps il faut commencer à taper dans les 7600 > > > >> Les 7200 NPE-G2 plafonnent à 2Mpps, et c'est dommage parce qu'on en > > > trouve en refurb à bon prix > > > >> > > > >> Le 30/07/2012 17:01, Julien Escario a écrit : > > > >>> Le 30/07/2012 15:45, Surya ARBY a écrit : > > > >>>> Je ne pense pas qu'il y ait d'équipements capables de traiter en > soft > > > >>>> 100 Mbps ou plus (à cause des interruptions générées sur la CPU > tout > > > >>>> simplement). > > > >>>> > > > >>>> Tu peux prendre du switch qui va traiter le L3 en hard; mais si > c'est > > > >>>> une attaque en broadcast L2; ça va remonter à la CPU aussi. > > > >>>> > > > >>>> Après si tu veux te protéger il faut choisir des switchs avec du > hard > > > >>>> pour assurer la protection du control plane mais en général on > > > commence > > > >>>> à taper le moyen de gamme quelque soit le constructeur. > > > >>> > > > >>> Bon, un rapide calcul (que j'aurais dû faire avant) : > > > >>> Le soft en question balance des paquets UDP de 38 bytes (header > > > compris). > > > >>> Ca fait, en gigabit : 1000*1024*1024/8/38=~3.5Mpps > > > >>> Encore mieux, avec un payload à 0byte : ~4.7Mpps > > > >>> > > > >>> En gros, je ne trouverait jamais de routeur qui saura me protéger > > > contre ça à moins d'y mettre 5 chiffres (voir 6). > > > >>> > > > >>> Du coup, faut p'têt effectivement que je cherche ailleurs pour la > > > protection contre un truc comme ça, non ? > > > >>> > > > >>> Corrigez-moi si je dis trop de conneries. > > > >>> > > > >>> Julien > > > >>> > > > >>> > > > >>> --------------------------- > > > >>> Liste de diffusion du FRnOG > > > >>> http://www.frnog.org/ > > > >> > > > >> > > > >> --------------------------- > > > >> Liste de diffusion du FRnOG > > > >> http://www.frnog.org/ > > > >> > > > > > > > > > > > > --------------------------- > > > > Liste de diffusion du FRnOG > > > > http://www.frnog.org/ > > > > > > > > > --------------------------- > > > Liste de diffusion du FRnOG > > > http://www.frnog.org/ > > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
