Re: [FRnOG] Firewall Linux contre Juniper
On Tue, Oct 02, 2007 at 12:22:19AM +0200, Sylvain Rochet said: Bonjour, On Tue, Oct 02, 2007 at 12:05:55AM +0200, Romain Tournier wrote: je connais mal le noyau linux, mais il me semble, que globalement sous unix... les operations liés au reseau/firewall... ca ne sort pas du noyau et que celui-ci a tendance a ne tourner que sur un seul processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant plutot que pleins de core... C'est faux, les interruptions sont balances sur les CPUs si le matos le supporte, et meme qu'on peut choisir sur quels CPUs on balance les interruptions ! cf /proc/irc/$n/smp_affinity . Par defaut, seul le CPU 0 recoit les interruptions. D'un autre cote meme si ni FreeBSD ni Linux n'a de support natif de TOE, il existe des produits avec les drivers que ce soit pour du GE ou du 10 GE. http://www.chelsio.com/products/pdf/HotInterconnect_2005.pdf JC -- la sagesse, c'est d'avoir des rêves suffisament grands pour ne pas les perdre de vue lorsqu'on les poursuit Oscar Wilde --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 01 octobre 2007 à 19:47, John Fistack a écrit: - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? Oui, ca tiendrait bien plus que 2 Gb/s, et ca fait des économies pour les machines qui rendent vraiment le service. Si j'avais vraiment un firewall en coupure à mettre, je désactiverais le NAT et le connection tracking, qui sont gourmands en CPU et risquent de s'écrouler en cas de présence de paquets fragmentés et surtout du nombre de connexions. Sinon, pour l'histoire des bicore, il me semble que la table de nat et la table de connexion tracking sont unique dans l'os. Si on a 4 cpu, ils vont se battre pour accèder à la même ressource, et à mon avis, on risque de ne pas gagner énormément. -- Xavier Nicollet http://nicollet.jeru.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
On Mon, 2007-10-01 at 20:52 +0200, Xavier Beaudouin wrote: Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Avec un core a 2GHz qui prends des frame ethernet minimales (64 octets) a 2Gbps ca fait 512 cycles cpu par frame soit 256 nanosecondes (en supposant que le bus carte reseau vers memoire tienne le débit). Bref, vraiment très chaud dans le pire des cas s'il faut aller se promener dans des tables en memoire principale pour savoir ce qu'il faut faire de la frame et le faire. La latence typique pour un acces memoire principale est de 60 a 120 nanosecondes suivant le processeur et l'architecture. En faisant du prefetch et en traitant plusieurs frames en même temps c'est sans doute a l'extreme limite de ce qu'on peut faire en codant tout a la main, bref il est peu probable qu'un noyau de systeme d'exploitation generaliste arrive a le faire. Mais apres toutes les frames ne font pas 64 octets :). Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
