> Olivier Cochard-Labbé a écrit :
Merci pour ton retour.
> Je ne suis pas sûr que de se lancer dans une solution de routeur logiciel
> «DIY» (c'est-à-dire autre qu'un
> 6Wind/Netgate TNSR ou équivalent acheté clé en main) dans une optique de
> faire essentiellement des économies
> soit une bonne idée. Car il va falloir embaucher un profil capable de
> comprendre et de débugger: le fonctionnement
> matériel d'un serveur/CPU moderne, le noyau, les drivers réseau et le FRR ou
> Bird. Donc oui vous allez économiser
> en licence, mais je ne pense pas qu'un profil «kernel C» soit au même prix
> qu'un admin Cisco/Juniper.
+1
Je suis dans ce cas d'ailleurs : je n'ai ni le temps ni la compétence, ni la
taille pour justifier un ingé qui fait du kernel C. Au premier problème, faut
que je demande de l'aide.
> Par contre dans le cas d'un routeur, avant la notion de bande passante c'est
> le nombre de paquets par
> seconde (pps) routé qui est l'unité de base. C'est-à-dire que si j'installe 2
> interfaces 100Gb sur
> serveur, le premier exercice va être de vérifier comment il réagit, non pas
> en recevant un flux à
> 100Gb/s, mais plutôt 148 Millions pps en cas de DoS… et ce n'est pas la même
> chose.
Exactement.
> 3. Concernant la gestion d'un DoS, à partir de 10Mpps va falloir utiliser des
> cartes réseau disposant de
> fonctionnalités d'assistance matérielle comme un firewall supportant le
> line-rate. Je l'ai testé sur une
> carte Chelsio 40Gb en lui envoyant un DoS d'environ 50Mpps et elle a fait
> parfaitement le boulot (j'ai
> juste eu besoin d'aide de Chelsio pour le paramétrage car la documentation
> est très rare sur le sujet).
> Maintenant il y a d'autre problématique concernant la limite des règles de ce
> firewall en elle même.
C'est bien là ou tous les routeurs soft s'effondrent : si ce qu'on fait peut
être off-loadé par la carte réseau tout est bon, sinon c'est la cata.
Dans ton expérience, est-ce qu'il y a une carte réseau sur le marché qui fait
uRPF à line-rate ?
uRPF, c'est forcément regarder la FIB entière.
Le Paquet arrive.
Est-ce que l'addresse _source_ est dans la FIB ?
Non : ==> drop. On ne sait pas d’où çà vient -> c'est spoofé.
Oui : ==>
Est-ce que la FIB pointe vers null0 ?
==> Oui : Drop. C'est un bogon, un martien, ou un préfixe blacklisté.
==> Non : Continue.
>> Michel Py a écrit :
>> Le paquet arrive.
>> Qui c'est qui décode l'adresse _source_ et regarde si elle est dans la FIB ?
> Combien de cycles çà prend ?
> Radu-Adrian Feurdean a écrit :
> Le kernel ou DPDK.
> FRR calcule la FIB et la pousse au bon endroit.
Est-ce que DPDK supporte uRPF ?
Michel.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
