Re: [FRnOG] Firewall Linux contre Juniper
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ronnie Garcia a écrit : > Geoffroy DESVERNAY a écrit : >> -BEGIN PGP SIGNED MESSAGE- >> Hash: SHA1 >> >> Les 'Netscreen' peut-être, par contre les plus anciens (M7i par ex.) a >> éviter pour du firewall (testé et désaprouvé). >> Entre autres: >> Peu de suivi de session FTP >> Pas d'états en IPv6 >> 25 à 30% de sessions TCP (normales) interrompues par le firewall au >> bout de qques temps (Case ouvert depuis + de 6 mois chez Juniper) >> >> => nous, on est reparti en OpenBSD "transparent" + pf >> (et un pf.conf ça se configure bien ;) > > Par contre au niveau des perfs ? > Tu tiens combien de pps sur ton OBSD et avec quel hardware ? Combien de > lignes ton pf.conf ? > > Pour les perfs aucune différence notable dans notre cas, hormis les #netstat des serveurs qui ne font plus de 'connection failed'... Le pf.conf n'est pas énorme (- de 2000 machines derrière), et les 'gros débits' passent bien (lien fibre 1G sur la plaque métropolitaine), y compris le multicast et l'IPv6 ;) J'ai pas essayé avec 1G de paquets de 64 octets. mais je ferais ça un de ces jours :) Ceci dit, c'est valable dans notre cas particulier, je ne dis pas pour un 'vrai' ISP... ceci dit, un firewall hard avec un pf.conf j'aimerais bien ;) - -- Geoffroy DESVERNAY - Mail: [EMAIL PROTECTED] -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHEHWAP0J0k1oxrdoRAgDvAJ9saxRlwqPhnEo+6kk5M9SSo6KqOwCfeSdJ jMMYptAatI0KAvWZ8wjesKY= =DI9M -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Geoffroy DESVERNAY a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Les 'Netscreen' peut-être, par contre les plus anciens (M7i par ex.) a éviter pour du firewall (testé et désaprouvé). Entre autres: Peu de suivi de session FTP Pas d'états en IPv6 25 à 30% de sessions TCP (normales) interrompues par le firewall au bout de qques temps (Case ouvert depuis + de 6 mois chez Juniper) => nous, on est reparti en OpenBSD "transparent" + pf (et un pf.conf ça se configure bien ;) Par contre au niveau des perfs ? Tu tiens combien de pps sur ton OBSD et avec quel hardware ? Combien de lignes ton pf.conf ? -- Ronnie Garcia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Les 'Netscreen' peut-être, par contre les plus anciens (M7i par ex.) a éviter pour du firewall (testé et désaprouvé). Entre autres: Peu de suivi de session FTP Pas d'états en IPv6 25 à 30% de sessions TCP (normales) interrompues par le firewall au bout de qques temps (Case ouvert depuis + de 6 mois chez Juniper) => nous, on est reparti en OpenBSD "transparent" + pf (et un pf.conf ça se configure bien ;) Mes 2 euros... - -- Geoffroy DESVERNAY - 99, av. des Chartreux 13004 MARSEILLE - Tel: 04 91 62 73 90 Mail: [EMAIL PROTECTED] -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFHDlW6P0J0k1oxrdoRAmeNAJ48PD0437OIAKq2DTj+BkoIAm6WEACePnBJ rP6oG576VkyTwhlP3Gz0TU8= =gy2S -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 04/10/07, Grégoire VILLAIN <[EMAIL PROTECTED]> a écrit : > > Je confirme, erreur de ma part. > Au temps pour moi :) > Par contre, je vois pas avec quoi j'ai confondu... > > Greg > Avec Crossbeam sans doute. Sidney
Re: [FRnOG] Firewall Linux contre Juniper
Je confirme, erreur de ma part. Au temps pour moi :) Par contre, je vois pas avec quoi j'ai confondu... Greg - Original Message - From: [EMAIL PROTECTED] <[EMAIL PROTECTED]> To: frnog@frnog.org Sent: Thu Oct 04 16:21:22 2007 Subject: RE: [FRnOG] Firewall Linux contre Juniper Oups, Il doit y avoir confusion l'ISG2000 supporte 4G pour du trafic mixte ou 2 G de trafic uniquement constitué de petits paquets (64octets) avec un temps de latence moyen de 45 microsecondes. Il supporte effectivement BGP (limité à 2 routes) OSPF RIP du VRF, et du multicast IP (PIM seulement). http://www.itslabs.com/tests/its04002.jhtml Damien De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Grégoire VILLAIN Envoyé : jeudi 4 octobre 2007 15:48 À : [EMAIL PROTECTED] Cc : frnog@frnog.org Objet : Re: [FRnOG] Firewall Linux contre Juniper Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain - Original Message - From: [EMAIL PROTECTED] <[EMAIL PROTECTED]> To: John Fistack <[EMAIL PROTECTED]> Cc: frnog@frnog.org Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ <http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/> Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : Hello, > Je pourrais : > - couper mon réseau public en 4 sous réseaux et mettre 4 > firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? > - relier directement sans NAT les répartiteurs LVS au > routeur BGP et les auto-firewalliser en iptables ? > - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ > un passif avec heartbeat) ? > > >>>> Charge : > > Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble > Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... > Faut-il lâcher Linux et acheter des Juniper Netscreen ? > Quel modèle Netscreen utilisez vous pour gérer du trafic
Re: [FRnOG] Firewall Linux contre Juniper
Bonjour, Juste quelques questions simples sur ce problème, parce que je n'ai encore jamais eu de réseau public à 2Gbps à gérer : 1) A quoi sert un firewall devant des serveurs webs ? J'imagine bien sûr que le seul port utile est accessible. 2) Ou autrement dit, quels paquets faudrait-il filtrer qui ne doivent pas arriver aux serveurs eux-mêmes ? 3) Comme j'imagine que ce sont les serveurs webs eux-mêmes qui saturent le plus en cas de fort débit, quel est l'inconvénient de faire le filtrage devant eux ? Merci par avance, A bientôt, Bernard Dugas Somebody wrote: 90 % de mon transit est en paquet de pages web de petites tailles. > Je pourrais : > - couper mon réseau public en 4 sous réseaux et mettre 4 > firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? > - relier directement sans NAT les répartiteurs LVS au > routeur BGP et les auto-firewalliser en iptables ? > - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ > un passif avec heartbeat) ? -- __Bernard DUGAS _ | IS Production s.a. Innovative Solutions Production | | Technoparc Pays de Gex [EMAIL PROTECTED] | | 30 Rue Auguste Piccard Mob.: +33 615 333 770 | | 01630 St Genis Pouilly - FRANCE -Fax : +33 450 205 106 | |_| --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Firewall Linux contre Juniper
40Gbps tu dois confondre avec un autre...le 2000 c'est 2G en FW en 1G en VPN...le plus gros a savoir le netscreen 5400 gère 12Gbps en FW et 6Gbps en VPN... Il faut aussi prendre en compte le nombre de sessions, et pas besoin d'avoir 500 Mbps de traffic pour atteindre les 128 000 sessions d'un SSG550 par exemple...ca dépends des flux... Bonne journée. Maël _ De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Grégoire VILLAIN Envoyé : jeudi 4 octobre 2007 15:48 À : [EMAIL PROTECTED] Cc : frnog@frnog.org Objet : Re: [FRnOG] Firewall Linux contre Juniper Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain - Original Message - From: [EMAIL PROTECTED] <[EMAIL PROTECTED]> To: John Fistack <[EMAIL PROTECTED]> Cc: frnog@frnog.org Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_se ries_slash_gprs/ <http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_s eries_slash_gprs/> Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : Hello, > Je pourrais : > - couper mon réseau public en 4 sous réseaux et mettre 4 > firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? > - relier directement sans NAT les répartiteurs LVS au > routeur BGP et les auto-firewalliser en iptables ? > - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ > un passif avec heartbeat) ? > > >>>> Charge : > > Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble > Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... > Faut-il lâcher Linux et acheter des Juniper Netscreen ? > Quel modèle Netscreen utilisez vous pour gérer du trafic autour de > 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... > Si vous utilisez pour votre firewalling des serveurs Linux iptables > ou du Netscreen je suis très intéressé par
RE: [FRnOG] Firewall Linux contre Juniper
Oups, Il doit y avoir confusion l'ISG2000 supporte 4G pour du trafic mixte ou 2 G de trafic uniquement constitué de petits paquets (64octets) avec un temps de latence moyen de 45 microsecondes. Il supporte effectivement BGP (limité à 2 routes) OSPF RIP du VRF, et du multicast IP (PIM seulement). http://www.itslabs.com/tests/its04002.jhtml Damien _ De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Grégoire VILLAIN Envoyé : jeudi 4 octobre 2007 15:48 À : [EMAIL PROTECTED] Cc : frnog@frnog.org Objet : Re: [FRnOG] Firewall Linux contre Juniper Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain - Original Message - From: [EMAIL PROTECTED] <[EMAIL PROTECTED]> To: John Fistack <[EMAIL PROTECTED]> Cc: frnog@frnog.org Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_se ries_slash_gprs/ <http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_s eries_slash_gprs/> Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : Hello, > Je pourrais : > - couper mon réseau public en 4 sous réseaux et mettre 4 > firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? > - relier directement sans NAT les répartiteurs LVS au > routeur BGP et les auto-firewalliser en iptables ? > - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ > un passif avec heartbeat) ? > > >>>> Charge : > > Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble > Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... > Faut-il lâcher Linux et acheter des Juniper Netscreen ? > Quel modèle Netscreen utilisez vous pour gérer du trafic autour de > 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... > Si vous utilisez pour votre firewalling des serveurs Linux iptables > ou du Netscreen je suis très intéressé par vos retour
Re: [FRnOG] Firewall Linux contre Juniper
Bonjour, John, on ne connait pas les deadline de ton projet par contre une chose qui serait bon pour toi serait peut être de faire ce calcul : Combien ça te coûterai en matériel + jours/homme par type de solution ? pour tester fonctionnellement, tuner et qualifier la solution ? Je pense que les 2 solutions ("firewall fait maison" et firewall appliance) sont correctes. On pourra tjrs débattre pour gagner 2 paquets de + à traiter sur n'importe quelle solution, de ttes manières il te faut une marge de sécurité en cas d'augmentation de trafic. Personnellement je partirai sur du Juniper, sachant que tu cherches à avoir 2Gbps en débit garanti, ne prend pas le SSG-550, il ne convient pas par rapport à tes contraintes (Olivier MELWIG l'a dit qques mails avant), l'ISG 2000 irait bien. pour les questions de petits paquets l'ISG a un design hard qui permet d'encaisser ces petites bêtes qui rongent les équipements ;) Question configuation je ne pense pas que ce soit un pb de migrer tes 9000 polices dans un autre équipement (un bon script avec qques regex ça le fait, du moins ça devrait le faire :) ). Cdlt, -- Christophe VIAUD > Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de > firewaller 40G de traff! C'est un vrai firewall de service provider. Par > contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) > consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur > relativement complet-du coup c'est un peu distant du besoin initial non ? > > Greg Villain > > - Original Message - > From: [EMAIL PROTECTED] <[EMAIL PROTECTED]> > To: John Fistack <[EMAIL PROTECTED]> > Cc: frnog@frnog.org > Sent: Thu Oct 04 14:09:45 2007 > Subject: Re: [FRnOG] Firewall Linux contre Juniper > > Salut John, > > Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: > http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ > <http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/> > > Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT > et throughput, en standalone, indépendant de tes perfs coeur réseau. > > Auprès de quel partenaire as-tu demandé une cote SSG? > > Bonne journée, > Olivier > > > > Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit : > > Hello, > > Merci pour toutes vos réponses. > > 90 % de mon transit est en paquet de pages web de petites tailles. > > Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. > > J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de > charge > système. > Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les > problèmes, certes le nouveau serveur avait un bus plus rapide, passait > d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si > le multi-core apporte en capacité pour un Firewall. > > - Même si NetScreen a une bonne réputation que pensez-vous de la lame > pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? > Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 > 000 euros d'occasion. > Est-ce un problème pour vous de mélanger Firewalling et coeur de > réseau ? > > - La carte précédente est basée sur l'architecture des Pix, est-ce > que > cette architecture est obsolète ? > Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en > actif-actif cela fait 2,4 Gbps ? > > - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des > devis sur les SSG-550. > > Merci. > > John > > > Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : > > Hello, > > > Je pourrais : > > - couper mon réseau public en 4 sous réseaux et > mettre 4 > > firewalls Linux (2 paires en haute disponibilité avec un > heartbeat) > ? > > - relier directement sans NAT les répartiteurs LVS au > > routeur BGP et les auto-firewalliser en iptables ? > > - valider qu'un firewall Linux actif peut tenir 2 > Gbps (+ > > un passif avec heartbeat) ? > > > > >>>> Charge : > > > > Le firewall a peu de charge : > > Normal tout le travail se fait dans le noyau, donc le nombre de > CPU > importe peu... Enfin pour l'instant il me semble..
Re: [FRnOG] Firewall Linux contre Juniper
Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de firewaller 40G de traff! C'est un vrai firewall de service provider. Par contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur relativement complet-du coup c'est un peu distant du besoin initial non ? Greg Villain - Original Message - From: [EMAIL PROTECTED] <[EMAIL PROTECTED]> To: John Fistack <[EMAIL PROTECTED]> Cc: frnog@frnog.org Sent: Thu Oct 04 14:09:45 2007 Subject: Re: [FRnOG] Firewall Linux contre Juniper Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ <http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/> Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit : Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : Hello, > Je pourrais : > - couper mon réseau public en 4 sous réseaux et mettre 4 > firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? > - relier directement sans NAT les répartiteurs LVS au > routeur BGP et les auto-firewalliser en iptables ? > - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ > un passif avec heartbeat) ? > > >>>> Charge : > > Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble > Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... > Faut-il lâcher Linux et acheter des Juniper Netscreen ? > Quel modèle Netscreen utilisez vous pour gérer du trafic autour de > 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... > Si vous utilisez pour votre firewalling des serveurs Linux iptables > ou du Netscreen je suis très intéressé par vos retours d'expérience > sur leurs capacités de tenue à la charge. > Il y a aussi d'autres solutions "pratiques", par exmple pfsense... :) /Xavier
Re: [FRnOG] Firewall Linux contre Juniper
Salut John, Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG: http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/ Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et throughput, en standalone, indépendant de tes perfs coeur réseau. Auprès de quel partenaire as-tu demandé une cote SSG? Bonne journée, Olivier Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit : > > Hello, > > Merci pour toutes vos réponses. > > 90 % de mon transit est en paquet de pages web de petites tailles. > > Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. > > J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge > système. > Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les > problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un > mono processeur au bi, de mono à dual core. Je ne peux confirmer si le > multi-core apporte en capacité pour un Firewall. > > - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour > 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? > Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 > 000 euros d'occasion. > Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? > > - La carte précédente est basée sur l'architecture des Pix, est-ce que > cette architecture est obsolète ? > Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en > actif-actif cela fait 2,4 Gbps ? > > - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis > sur les SSG-550. > > Merci. > > John > > > Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : > > > > Hello, > > > > > Je pourrais : > > > - couper mon réseau public en 4 sous réseaux et mettre 4 > > > firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? > > > - relier directement sans NAT les répartiteurs LVS au > > > routeur BGP et les auto-firewalliser en iptables ? > > > - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ > > > un passif avec heartbeat) ? > > > > > > Charge : > > > > > > Le firewall a peu de charge : > > > > Normal tout le travail se fait dans le noyau, donc le nombre de CPU > > importe peu... Enfin pour l'instant il me semble > > > > > Avez-vous un serveur Linux qui tient 2 Gbps ? > > > > 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est > > 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), > > un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la > > charge... > > > > > Faut-il lâcher Linux et acheter des Juniper Netscreen ? > > > Quel modèle Netscreen utilisez vous pour gérer du trafic autour de > > > 2 Gbps ? > > > > Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... > > > > > Si vous utilisez pour votre firewalling des serveurs Linux iptables > > > ou du Netscreen je suis très intéressé par vos retours d'expérience > > > sur leurs capacités de tenue à la charge. > > > > > > > Il y a aussi d'autres solutions "pratiques", par exmple pfsense... :) > > > > /Xavier > > >
Re: [FRnOG] Firewall Linux contre Juniper
Hello, Merci pour toutes vos réponses. 90 % de mon transit est en paquet de pages web de petites tailles. Je confirme que l'ajout de CPU apporte plus de performance dans mon cas. J'avais un mono-Xeon 2.8 Ghz qui était à genoux jusqu'à 50% de charge système. Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, certes le nouveau serveur avait un bus plus rapide, passait d'un mono processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core apporte en capacité pour un Firewall. - Même si NetScreen a une bonne réputation que pensez-vous de la lame pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ? Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 000 euros d'occasion. Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau ? - La carte précédente est basée sur l'architecture des Pix, est-ce que cette architecture est obsolète ? Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en actif-actif cela fait 2,4 Gbps ? - Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des devis sur les SSG-550. Merci. John Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : > > Hello, > > > Je pourrais : > > - couper mon réseau public en 4 sous réseaux et mettre 4 > > firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? > > - relier directement sans NAT les répartiteurs LVS au > > routeur BGP et les auto-firewalliser en iptables ? > > - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ > > un passif avec heartbeat) ? > > > > Charge : > > > > Le firewall a peu de charge : > > Normal tout le travail se fait dans le noyau, donc le nombre de CPU > importe peu... Enfin pour l'instant il me semble > > > Avez-vous un serveur Linux qui tient 2 Gbps ? > > 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est > 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), > un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la > charge... > > > Faut-il lâcher Linux et acheter des Juniper Netscreen ? > > Quel modèle Netscreen utilisez vous pour gérer du trafic autour de > > 2 Gbps ? > > Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... > > > Si vous utilisez pour votre firewalling des serveurs Linux iptables > > ou du Netscreen je suis très intéressé par vos retours d'expérience > > sur leurs capacités de tenue à la charge. > > > > Il y a aussi d'autres solutions "pratiques", par exmple pfsense... :) > > /Xavier
Re: [FRnOG] Firewall Linux contre Juniper
On mar, 2007-10-02 at 22:33 +0200, Damien Bobillot wrote: > FT s'intéresse à l'analyse temps réelle de trafic via des FPGA > pour contrer les DDoS (j'ai vu une offre de stage sur ce sujet), > mais > je ne sais pas trop ce que cela a donné. Ils s'intéressaient (en partenariat avec Télécom Paris, Télécom Bretagne et l'INT) à un firewall haute vitesse relativement innovant. Ils avaient une version qui fonctionnait en soft (sur du Linux) et une version en hard (je me souviens plus si c'était du FPGA mais c'est possible). La version soft était codée en C++, j'ai bossé dessus en 2005 pour améliorer les performances (le trouc était basé sur la libpcap, y'avait beaucoup de recopies de trames et de temps perdu). On a utilisé la libipqueue (traitement netfilter en userspace) pour améliorer ça, mais on a pas vraiment eu le temps de faire de gros tests. Le projet en lui même date d'avant (cf http://www.get-telecom.fr/archive/34/CI04_Res_DDOS.pdf et https://bscw.enst-bretagne.fr/pub/bscw.cgi/3022800 ), et c'est le principe qui devait mener à de hautes performances (en gros, ne pas parcourir une liste de règles à chaque paquet mais plutôt parcourir une matrice en fonction des paramètres du paquet (ips, ports etc.) et arriver à un résultat OK/NOK). Le tout était encore expérimental à l'époque, je sais pas où ça en est maintenant. Cdt, -- Yves-Alexis Perez --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Damien Bobillot wrote: Le 2 oct. 07 à 01:08, MADdanny a écrit : Je vais peut-être (certainement) dire une connerie, mais est ce qu'il serait possible d'utiliser un GPU de malade (au pif, une 8800 Ultra) pour ce genre de traitement ? :) Comme ils ont déjà sorti une version dédiée au calcul, peut être qu'en lui greffant quelque ports gigabit (ou plus) on pourrait en faire un firewall matériel, non ? Pour faire des firewalls matériels, je pense qu'il faut plutôt voir du côté des ASIC (puces dédiées à un traitement applicatif donné), voir des FPGA (circuits programmables permettant de créer la puce que l'on veut). il existe déja ca chez AMD. c'est la technologie Torrenza, qui permet, sur une carte mere a plusieurs socket, d'avoir un (ou plusieurs) processeur amd et un autre ou plusieurs autres trucs a base de fpga dans les autres sockets http://en.wikipedia.org/wiki/Torrenza dans les fabriquants d'add-ons il existe: http://www.drccomputer.com/ http://www.xtremedatainc.com/ il doit bien etre possible de programmer des systemes d'acceleration dans ces trucs la ;D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 2 oct. 07 à 01:08, MADdanny a écrit : Je vais peut-être (certainement) dire une connerie, mais est ce qu'il serait possible d'utiliser un GPU de malade (au pif, une 8800 Ultra) pour ce genre de traitement ? :) Comme ils ont déjà sorti une version dédiée au calcul, peut être qu'en lui greffant quelque ports gigabit (ou plus) on pourrait en faire un firewall matériel, non ? Même avec un GPU puissant, le circuit de gestion reste (ça n'est pas garanti à 100%, je ne suis pas un expert en architecture matérielle) : - transfert DMA de la carte réseau vers la RAM, sous contrôle du CPU - transformation par le CPU des paquets réseau dans un format adapté aux calculs via le GPU - transfert DMA vers la VRAM de la carte graphique (similaire à un chargement de texture) - calcul d'une décision (de routage ou de filtrage) par le GPU - récupération du résultat par le CPU pour réaliser l'opération effective de filtrage, routage... - en cas de paquet non dropé, Le GPU n'est qu'un coprocesseur, ça ne fait pas tous : le CPU restera très chargé, surtout s'il y a besoin de gérer des tables dynamiques de connexions pour faire du "stateful". Pour que l'utilisation d'un GPU soit un plus, il faut que ce soit lui qui s'occupe de la majorité des traitements à effectuer. Cela ne tiens pas compte : - du fait qu'il faille trouver un moyen de dédié une partie des calculs sur le GPU, sachant que ça n'est pas toujours possible. - du fait que les GPU actuels font régulièrement des petites erreurs de calcul (l'électronique des GPU est vraiment poussées dans ses recoins). Pour du traitement d'images/vidéos temps réel, de la simulation sur des éléments finis ou des masses de données à analyser, cela n'a pas un grand impact, des erreurs étant tolérables. Pour un firewall, c'est beaucoup plus gênant. Pour faire des firewalls matériels, je pense qu'il faut plutôt voir du côté des ASIC (puces dédiées à un traitement applicatif donné), voir des FPGA (circuits programmables permettant de créer la puce que l'on veut). Les constructeurs de routeurs utilisent déjà des ASIC dédiées aux différents traitements de paquets réseau, en particulier toutes les décisions de routage (L2 ou L3), ou de buffering/régulation : pas de passage par le CPU dans ces cas. Cependant dès qu'un traitement un tant soit peu complexe est nécessaire, il est réalisé par le CPU du routeur (ACL, NAT, réponses ICMP, routage IPv6, protocoles haut niveau comme OSPF ou BGP...). Lorsque du filtrage est directement effectué par l'ASIC, le nombre de règles possibles est très limité. Les FPGA ne sont à ma connaissance pas encore utilisés (ils restent cher). FT s'intéresse à l'analyse temps réelle de trafic via des FPGA pour contrer les DDoS (j'ai vu une offre de stage sur ce sujet), mais je ne sais pas trop ce que cela a donné. -- Damien alias Schmurtz --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
On Mon, 2007-10-01 at 20:52 +0200, Xavier Beaudouin wrote: > > Avez-vous un serveur Linux qui tient 2 Gbps ? > > 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est > 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), > un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la > charge... Avec un core a 2GHz qui prends des frame ethernet minimales (64 octets) a 2Gbps ca fait 512 cycles cpu par frame soit 256 nanosecondes (en supposant que le bus carte reseau vers memoire tienne le débit). Bref, vraiment très chaud dans le pire des cas s'il faut aller se promener dans des tables en memoire principale pour savoir ce qu'il faut faire de la frame et le faire. La latence typique pour un acces memoire principale est de 60 a 120 nanosecondes suivant le processeur et l'architecture. En faisant du prefetch et en traitant plusieurs frames en même temps c'est sans doute a l'extreme limite de ce qu'on peut faire en codant tout a la main, bref il est peu probable qu'un noyau de systeme d'exploitation generaliste arrive a le faire. Mais apres toutes les frames ne font pas 64 octets :). Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 01 octobre 2007 à 19:47, John Fistack a écrit: > - relier directement sans NAT les répartiteurs LVS au routeur BGP et > les auto-firewalliser en iptables ? Oui, ca tiendrait bien plus que 2 Gb/s, et ca fait des économies pour les machines qui rendent vraiment le service. Si j'avais vraiment un firewall en coupure à mettre, je désactiverais le NAT et le connection tracking, qui sont gourmands en CPU et risquent de s'écrouler en cas de présence de paquets fragmentés et surtout du nombre de connexions. Sinon, pour l'histoire des bicore, il me semble que la table de nat et la table de connexion tracking sont unique dans l'os. Si on a 4 cpu, ils vont se battre pour accèder à la même ressource, et à mon avis, on risque de ne pas gagner énormément. -- Xavier Nicollet http://nicollet.jeru.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
On Tue, Oct 02, 2007 at 12:22:19AM +0200, Sylvain Rochet said: > Bonjour, > > > On Tue, Oct 02, 2007 at 12:05:55AM +0200, Romain Tournier wrote: > > > > je connais mal le noyau linux, mais il me semble, que globalement sous > > unix... les operations liés au reseau/firewall... ca ne sort pas du > > noyau et que celui-ci a tendance a ne tourner que sur un seul > > processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant > > plutot que pleins de core... > > C'est faux, les interruptions sont balances sur les CPUs si le matos le > supporte, et meme qu'on peut choisir sur quels CPUs on balance les > interruptions ! cf /proc/irc/$n/smp_affinity . > > Par defaut, seul le CPU 0 recoit les interruptions. D'un autre cote meme si ni FreeBSD ni Linux n'a de support natif de TOE, il existe des produits avec les drivers que ce soit pour du GE ou du 10 GE. http://www.chelsio.com/products/pdf/HotInterconnect_2005.pdf JC -- "la sagesse, c'est d'avoir des rêves suffisament grands pour ne pas les perdre de vue lorsqu'on les poursuit" Oscar Wilde --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
> je connais mal le noyau linux, mais il me semble, que globalement sous > unix... les operations liés au reseau/firewall... ca ne sort pas du > noyau et que celui-ci a tendance a ne tourner que sur un seul > processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant > plutot que pleins de core... > ensuite, le bus de la machine (donc entre la/les cartes reseaux, le cpu > et la ram) a tendance a etre LE facteur bloquant dans l'utilisation de > PC pour des fins d'applicatif réseau sur les pc "moderne" Je vais peut-être (certainement) dire une connerie, mais est ce qu'il serait possible d'utiliser un GPU de malade (au pif, une 8800 Ultra) pour ce genre de traitement ? :) Comme ils ont déjà sorti une version dédiée au calcul, peut être qu'en lui greffant quelque ports gigabit (ou plus) on pourrait en faire un firewall matériel, non ? MADdanny PS: Pas de troll svp, j'ai choisi NVIDIA au pif :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 2 oct. 07 à 00:05, Romain Tournier a écrit : je connais mal le noyau linux, mais il me semble, que globalement sous unix... les operations liés au reseau/firewall... ca ne sort pas du noyau et que celui-ci a tendance a ne tourner que sur un seul processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant plutot que pleins de core... Je connais mal le noyau Linux également mais sous FreeBSD, par exemple, ce n'est plus vrai depuis la branche 5. Une très grosse partie du développement depuis 5/6 ans se focalise d'ailleurs sur ce point très précis (google FreeBSD, SMPng, fine-grained locking, etc.). Un exemple qui me revient (plus forcément vrai) c'était d'avoir un thread sur un processeur dédié à servir les interruptions des interfaces réseau tandis que le reste du traitement se passait ailleurs. Par contre, il y a d'autres phénomènes (serialization ?) qui rentrent en jeu, en particulier par rapport à une pile TCP/IP, qui font que la capacité de traitement n'augmente pas linéairement avec le nombre de processeurs. Sur les mailing-lists type freebsd-net ou freebsd-performance, on lit souvent qu'au-delà de deux coeurs pour du forwarding les bénéfices sont minces. Je ne retrouve pas les raisonnements à ce sujet. Avec les moyens derrière Linux, je serai surpris que la situation soit différente. ensuite, le bus de la machine (donc entre la/les cartes reseaux, le cpu et la ram) a tendance a etre LE facteur bloquant dans l'utilisation de PC pour des fins d'applicatif réseau sur les pc "moderne" D'où l'attractivité des processeurs AMD avec la technologie HyperTransport (surtout pour faire des DMA), ou encore des bus PCI Express. Si on fait le calcul, c'est intéressant à partir de 1 Gbps de trafic à travers le routeur (33 MHz * 32 bits pour PCI soit ~1 Gbps pour tout le bus). Pour prendre encore une fois l'exemple de FreeBSD, il y a un très bon article décrivant les différents goulots d'étranglement sur un PC moderne quand on veut "pousser" du paquet à toute vitesse : http://people.freebsd.org/~andre/Optimizing%20the%20FreeBSD%20IP%20and %20TCP%20Stack.pdf Conclusion: PCI Express c'est le pied. pourquoi ne pas utiliser pf sur son os "natif" ? Parce que ça ne suit pas vraiment en termes de pps et qu'on est loin de FreeBSD ou Linux en termes d'adaptation de la pile TCP/IP à du multi-processeur. Pour des chiffres, voir : http://www.tancsa.com/blast.html (potentiellement biaisé, c'est un dev FreeBSD) Et pour le fait que PF est plus lent qu'IPFW sur FreeBSD, il y a ces chiffres : http://lists.freebsd.org/pipermail/freebsd-ipfw/2007-March/ 002888.html Mais ça a plus d'un an et je n'en connais pas de plus récents. Cordialement, --eberkut "Don't you know, Kompella, you got to Kompella" --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Bonjour, On Tue, Oct 02, 2007 at 12:05:55AM +0200, Romain Tournier wrote: > > je connais mal le noyau linux, mais il me semble, que globalement sous > unix... les operations liés au reseau/firewall... ca ne sort pas du > noyau et que celui-ci a tendance a ne tourner que sur un seul > processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant > plutot que pleins de core... C'est faux, les interruptions sont balances sur les CPUs si le matos le supporte, et meme qu'on peut choisir sur quels CPUs on balance les interruptions ! cf /proc/irc/$n/smp_affinity . Par defaut, seul le CPU 0 recoit les interruptions. > ensuite, le bus de la machine (donc entre la/les cartes reseaux, le cpu > et la ram) a tendance a etre LE facteur bloquant dans l'utilisation de > PC pour des fins d'applicatif réseau sur les pc "moderne" Le bus non, la ram non plus, le CPU oui (en tout cas largement avant le bus et la ram, on parle bien sur de router quelques GB, pas des 10aines de GB qui necessitent du materiel prevu pour ca). Et encore je suis meme pas sur pour le CPU, avec des cartes qui le supportent il y a moyen d'utiliser le DMA engine du noyau 2.6 (a prendre avec des pincettes, j'ai pas eu l'occas' de tester). Sylvain signature.asc Description: Digital signature
Re: [FRnOG] Firewall Linux contre Juniper
On Mon, Oct 01, 2007 at 09:48:20PM +0200, Olivier Warin wrote: > Le 1 oct. 07 à 20:52, Xavier Beaudouin a écrit : >> Hello, >> >>> Je pourrais : >>> - couper mon réseau public en 4 sous réseaux et mettre 4 >>> firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? >>> - relier directement sans NAT les répartiteurs LVS au routeur BGP >>> et les auto-firewalliser en iptables ? >>> - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un >>> passif avec heartbeat) ? >>> >>> Charge : >>> Le firewall a peu de charge : >> Normal tout le travail se fait dans le noyau, donc le nombre de CPU >> importe peu... Enfin pour l'instant il me semble > C'est n'est pas forcement le cas, sous Linux tu as des infos sur le temps > passe en sys / iowait etc ... > Donc normalement si le systeme etait charge l'idle devrait descendre, > neanmoins cette machine est veloce et devrait aisement supporter un rate te > permettant d'atteindre 2 Gbps. je connais mal le noyau linux, mais il me semble, que globalement sous unix... les operations liés au reseau/firewall... ca ne sort pas du noyau et que celui-ci a tendance a ne tourner que sur un seul processeur... donc mieux vaut avoir 1 seul cpu mono-core tres puissant plutot que pleins de core... ensuite, le bus de la machine (donc entre la/les cartes reseaux, le cpu et la ram) a tendance a etre LE facteur bloquant dans l'utilisation de PC pour des fins d'applicatif réseau sur les pc "moderne" >>> Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du >>> Netscreen je suis très intéressé par vos retours d'expérience sur leurs >>> capacités de tenue à la charge. >> Il y a aussi d'autres solutions "pratiques", par exmple pfsense... :) > Il y a des soucis de perf avec pf sous FreeBSD donc je ne recommanderai pas > cette solution en prod. pourquoi ne pas utiliser pf sur son os "natif" ? > Enfin quoiqu'il en soit, il serait judicieux de valider ton systeme avant > tout choix. > Tu as des options opensource (netperf, iperf) ou commerciales (Spirent > Avalanche). > > Bien cordialement, > -- > Olivier Warin -- Romain --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 1 oct. 07 à 21:58, Yann Hirou a écrit : Xavier Beaudouin wrote: Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Pour information les SSG-550 sont donnés pour 1Gb/s max de trafic filtré, ils ne tiennent pas (dixit Juniper) 2Gb/s. En comparaison les SSG-520 sont donnés pour 600Mb/s max de trafic filtré. Sans vouloir etre cocorico pourquoi ne pas promouvoir des produits francais genre Netasq ? -- Olivier Warin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Xavier Beaudouin wrote: Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Pour information les SSG-550 sont donnés pour 1Gb/s max de trafic filtré, ils ne tiennent pas (dixit Juniper) 2Gb/s. En comparaison les SSG-520 sont donnés pour 600Mb/s max de trafic filtré. -- Yann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Le 1 oct. 07 à 20:52, Xavier Beaudouin a écrit : Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble C'est n'est pas forcement le cas, sous Linux tu as des infos sur le temps passe en sys / iowait etc ... Donc normalement si le systeme etait charge l'idle devrait descendre, neanmoins cette machine est veloce et devrait aisement supporter un rate te permettant d'atteindre 2 Gbps. Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Xavier a raison, ca depend essentiellement du nombre de PPS et de Transactions par seconde que le firewall va devoir supporter. Avoir 2Gbps avec des jumbo frame et des transactions HTTP de plusieurs Mega n'est pas difficile, Avoir 2Gbps avec du traffic DNS (bonne exemple) c'est complement different. Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions "pratiques", par exmple pfsense... :) Il y a des soucis de perf avec pf sous FreeBSD donc je ne recommanderai pas cette solution en prod. Enfin quoiqu'il en soit, il serait judicieux de valider ton systeme avant tout choix. Tu as des options opensource (netperf, iperf) ou commerciales (Spirent Avalanche). Bien cordialement, -- Olivier Warin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Firewall Linux contre Juniper
Hello, Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : Normal tout le travail se fait dans le noyau, donc le nombre de CPU importe peu... Enfin pour l'instant il me semble Avez-vous un serveur Linux qui tient 2 Gbps ? 2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si c'est 2Gbps avec des petits paquets (aller au hasard sur le port 53 !), un linux vas avoir beaucoup de problèmes a filtrer ça et tenir la charge... Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Il y a aussi d'autres solutions "pratiques", par exmple pfsense... :) /Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Firewall Linux contre Juniper
Hello, derrière une SUP720-3BXL j'utilise un firewall Linux bi quad core 2.66 Ghz avec 8 Gb de ram, le firewall a deux fois 3 ports 1 Gbps cuivre PCI Express de chaque coté en trunk. J'ai 2 peers BGP à 1Gbps fibre sur le routeur, le firewall gère le NAT devant plus de 100 serveurs, pour le moment il n'a géré qu'un trafic de 500 Mbps. Dans le cadre de la montée en charge prévue je souhaiterais sécuriser cette solution : - boucler la chaîne de haute disponibilité au niveau du firewall. - garantir que le firewalling peut encaisser 2 Gbps. Haute disponibilité : Je pourrais : - couper mon réseau public en 4 sous réseaux et mettre 4 firewalls Linux (2 paires en haute disponibilité avec un heartbeat) ? - relier directement sans NAT les répartiteurs LVS au routeur BGP et les auto-firewalliser en iptables ? - valider qu'un firewall Linux actif peut tenir 2 Gbps (+ un passif avec heartbeat) ? Charge : Le firewall a peu de charge : top - 19:40:45 up 290 days, 17:50, 1 user, load average: 0.00, 0.00, 0.00 Tasks: 59 total, 1 running, 58 sleeping, 0 stopped, 0 zombie Cpu(s): 0.0% us, 0.1% sy, 0.0% ni, 95.8% id, 0.2% wa, 0.8% hi, 3.1% si Mem: 8308960k total, 4123156k used, 4185804k free, 561528k buffers Swap: 1951888k total,0k used, 1951888k free, 3358064k cached Suite à des saturations autour des 150 000 entrées dans la table des conntrack, j'ai du monter le maximum à cette valeur : net.ipv4.ip_conntrack_max = 524288 Le hash des tables a aussi été augmenté et le timeout des entrées conntrack baissé. J'ai 9 000 règles sur le Firewall. Avez-vous un serveur Linux qui tient 2 Gbps ? Faut-il lâcher Linux et acheter des Juniper Netscreen ? Quel modèle Netscreen utilisez vous pour gérer du trafic autour de 2 Gbps ? Si vous utilisez pour votre firewalling des serveurs Linux iptables ou du Netscreen je suis très intéressé par vos retours d'expérience sur leurs capacités de tenue à la charge. Merci. John