Oups, Il doit y avoir confusion l'ISG2000 supporte 4G pour du trafic mixte ou 2 G de trafic uniquement constitué de petits paquets (64octets) avec un temps de latence moyen de 45 microsecondes. Il supporte effectivement BGP (limité à 20000 routes) OSPF RIP du VRF, et du multicast IP (PIM seulement). http://www.itslabs.com/tests/its04002.jhtml Damien
_____ De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Grégoire VILLAIN Envoyé : jeudi 4 octobre 2007 15:48 À : [EMAIL PROTECTED] Cc : frnog@frnog.org Objet : Re: [FRnOG] Firewall Linux contre Juniper Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain ----- Original Message ----- From: [EMAIL PROTECTED] <[EMAIL PROTECTED]> To: John Fistack <[EMAIL PROTECTED]> Cc: frnog@frnog.org <frnog@frnog.org> Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_se ries_slash_gprs/ <http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_s eries_slash_gprs/> Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : Hello, > Je pourrais : > - couper mon réseau public en 4 sous réseaux et mettre 4 > firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? > - relier directement sans NAT les répartiteurs LVS au > routeur BGP et les auto-firewalliser en iptables ? > - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ > un passif avec heartbeat) ? > > >>>> Charge : > > Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble.... > Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53.... !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... > Faut-il lâcher Linux et acheter des Juniper Netscreen ? > Quel modèle Netscreen utilisez vous pour gérer du trafic autour de > 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... > Si vous utilisez pour votre firewalling des serveurs Linux iptables > ou du Netscreen je suis très intéressé par vos retours d'expérience > sur leurs capacités de tenue à la charge. > Il y a aussi d'autres solutions "pratiques", par exmple pfsense... :) /Xavier
