RE: [FRnOG] [TECH] FWSM sur 650x
Sinon du Checkpoint ? Genre 13500 ou 21000 ? (respectivement 20Gb/s et 110 b/s) ? -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Raphael Mazelier Sent: mercredi 27 novembre 2013 12:11 To: frnog@frnog.org Subject: Re: [FRnOG] [TECH] FWSM sur 650x Le 27/11/2013 10:55, Kavé Salamatian a écrit : On fait du 10 G pare-feux 2 règles avec 4 coeurs Tilera. Les 32 autres sont occupé à faire autre chose. Cordialement Kavé Salamatian Quel OS et quel firewall ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] FWSM sur 650x
Etrange que personne ne mentionne un checkpoint sur un chassis crossbeam (multi 10G et virtualisation) ou palo alto Au passage l'IHM stonesoft est vraiment bien et pratique! erik -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Jérôme Nicolle Sent: vendredi 29 novembre 2013 16:45 To: frnog@frnog.org Subject: Re: [FRnOG] [TECH] FWSM sur 650x Le 27/11/2013 10:55, Kavé Salamatian a écrit : On fait du 10 G pare-feux 2 règles avec 4 coeurs Tilera. Les 32 autres sont occupé à faire autre chose. Pas comparable. Les interfaces sont en accès direct depuis les core, même pas de bus à gérer. Tes 4 cores sont en bare-metal ou dans la grappe kernel ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ This message is for the designated recipient only and may contain privileged, proprietary, or otherwise confidential information. If you have received it in error, please notify the sender immediately and delete the original. Any other use of the e-mail by you is prohibited. Where allowed by local law, electronic communications with Accenture and its affiliates, including e-mail and instant messaging (including content), may be scanned by our systems for the purposes of information security and assessment of internal compliance with Accenture policy. . __ www.accenture.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Bonsoir, Le 28/11/2013 12:07, Kavé Salamatian a écrit : Quel OS et quel firewall ? Linux (il faut que vérifie la version)+ IPFW avec algo de matching réécrit complètement. Du coup , je me pose des questions existentielles ... IPFW , ça existe sous Linux ? @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
oui. http://info.iet.unipi.it/~luigi/dummynet/ Le 29 nov. 2013 à 22:20, Christophe t...@stuxnet.org a écrit : Bonsoir, Le 28/11/2013 12:07, Kavé Salamatian a écrit : Quel OS et quel firewall ? Linux (il faut que vérifie la version)+ IPFW avec algo de matching réécrit complètement. Du coup , je me pose des questions existentielles ... IPFW , ça existe sous Linux ? @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
On Tue, Nov 26, 2013, at 20:59, Olivier Cochard-Labbé wrote: Concernant le firewall open-source, pour faire du 10G line-rate (donc 14Mpps) avec un FreeBSD (ipfw ou smp-pf sur la 10.0) il va falloir prévoir pas-mal de cœur (pas moins de 16 je pense). A ce moment-la, il faut aussi prendre en compte la CPU speed, pas seulement le nombre de coeurs. Si faire du line-rate est financierement pas faisable, il faut aussi tester avec du traffic plus proche de la realiate (average packet size dans la range 512-1024), ce qui peut donner un debit nettement superieur (genre 1G qui tient sur un seul coeur). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
On fait du 10 G pare-feux 2 règles avec 4 coeurs Tilera. Les 32 autres sont occupé à faire autre chose. Cordialement Kavé Salamatian Le 27 nov. 2013 à 10:25, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Tue, Nov 26, 2013, at 20:59, Olivier Cochard-Labbé wrote: Concernant le firewall open-source, pour faire du 10G line-rate (donc 14Mpps) avec un FreeBSD (ipfw ou smp-pf sur la 10.0) il va falloir prévoir pas-mal de cœur (pas moins de 16 je pense). A ce moment-la, il faut aussi prendre en compte la CPU speed, pas seulement le nombre de coeurs. Si faire du line-rate est financierement pas faisable, il faut aussi tester avec du traffic plus proche de la realiate (average packet size dans la range 512-1024), ce qui peut donner un debit nettement superieur (genre 1G qui tient sur un seul coeur). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Je commence par le fait que les FWSM est EoS depuis 2012 (announce - mars 2012, last order date - Sept 2012) On Tue, Nov 26, 2013, at 11:55, Gaëtan Allart wrote: Nos besoins : connections 10 Gbps Mauvaise choix pour du 10G. Les FWSM ont une connexion vers le chassis 6x1G via le backplane, donc exit les (Nx)10Gbps. Meme comme ca, atteindre les 6Gbps c'est du reve. Autre chose, ils partagent l'alimentation avec le chassis et rien d'autre; ils fonctionnent avec leur propre code. Ca synchronize strictement rien avec le chassis. Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? (souplesse de gestion, fiabilité, stabilité) Bof, ca rappelle un hybride entre du vieux PIX et ASA. Sachant que nous hésitons entre les solutions suivantes : - FWSM mutualisé sur les 6500 pour tous les clients - Chassis ASA 552x pour chaque client Vu comme ca, regarde eventuellement les modules ASA pour 6k5 (heritiers des FWSM). Si les 10Gbps sont cote client, oublie les 5520 aussi, pas assez puissant. - Firewall typé open-source (PF/IPtables) mutualisé - autre ? Si tu veux vraiment du 10Gbps, surtout Nx10G, regarde du cote de Fortinet. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Bonjour, alors déjà, il faut bien voir qu’en FWSM tu as un produit plus simpliste au niveau features qu’en ASA. Si le but reste de faire du firewalling L4 en entrée de DC, ça reste tout à fait acceptable car la souplesse d’utilisation des contextes compensera les petits soucis quotidiens du type “comment faire ci qui était simple sur ASA et nécessite une policy longue à configurer sur FWSM”. Au niveau tenue en charge, FWSM marche bien, j’ai quand même une fois sur un très gros DDoS sur un contexte des impacts sur les autres contextes (la configuration du FWSM n’était pas parfaite, peut être qu’une meilleure configuration aurait aidé) Sur du PF/IPtables, tu auras un mal fou à atteindre les 10G sans mettre les mains dans le cambouis (tuning poussé de l’OS et des conf firewall), ça peut néanmoins être une solution intéressante pour peu que des personnes calées en système soient dispo en interne. 2013/11/26 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Je commence par le fait que les FWSM est EoS depuis 2012 (announce - mars 2012, last order date - Sept 2012) On Tue, Nov 26, 2013, at 11:55, Gaëtan Allart wrote: Nos besoins : connections 10 Gbps Mauvaise choix pour du 10G. Les FWSM ont une connexion vers le chassis 6x1G via le backplane, donc exit les (Nx)10Gbps. Meme comme ca, atteindre les 6Gbps c'est du reve. Autre chose, ils partagent l'alimentation avec le chassis et rien d'autre; ils fonctionnent avec leur propre code. Ca synchronize strictement rien avec le chassis. Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? (souplesse de gestion, fiabilité, stabilité) Bof, ca rappelle un hybride entre du vieux PIX et ASA. Sachant que nous hésitons entre les solutions suivantes : - FWSM mutualisé sur les 6500 pour tous les clients - Chassis ASA 552x pour chaque client Vu comme ca, regarde eventuellement les modules ASA pour 6k5 (heritiers des FWSM). Si les 10Gbps sont cote client, oublie les 5520 aussi, pas assez puissant. - Firewall typé open-source (PF/IPtables) mutualisé - autre ? Si tu veux vraiment du 10Gbps, surtout Nx10G, regarde du cote de Fortinet. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Merci pour vos différents retours. A écouter les différents retours d’expérience, j’ai l’impression que l’ASA semble être plus adapté à notre besoin que le FWSM (de toute façon eos). Comment fonctionne leur système de licence ? On paye une licence annuelle en plus du Hard pour pouvoir utiliser plus ou moins de contextes ? Au niveau failover, y’a un système classique de actif/passif entre 2 cartes situées sur des châssis différents (voire sur le même châssis) ? Reste en effet l’option du PF/IPTables. Nous avons les compétences en interne pour avoir une machine configurées de façon très fine au niveau de la stack réseau. Solution à étudier à condition de trouver le bon hardware. Merci encore, Gaëtan Le 26 nov. 2013 à 16:17, Matthieu BOUTHORS matth...@labs.fr a écrit : Bonjour, alors déjà, il faut bien voir qu’en FWSM tu as un produit plus simpliste au niveau features qu’en ASA. Si le but reste de faire du firewalling L4 en entrée de DC, ça reste tout à fait acceptable car la souplesse d’utilisation des contextes compensera les petits soucis quotidiens du type “comment faire ci qui était simple sur ASA et nécessite une policy longue à configurer sur FWSM”. Au niveau tenue en charge, FWSM marche bien, j’ai quand même une fois sur un très gros DDoS sur un contexte des impacts sur les autres contextes (la configuration du FWSM n’était pas parfaite, peut être qu’une meilleure configuration aurait aidé) Sur du PF/IPtables, tu auras un mal fou à atteindre les 10G sans mettre les mains dans le cambouis (tuning poussé de l’OS et des conf firewall), ça peut néanmoins être une solution intéressante pour peu que des personnes calées en système soient dispo en interne. 2013/11/26 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Je commence par le fait que les FWSM est EoS depuis 2012 (announce - mars 2012, last order date - Sept 2012) On Tue, Nov 26, 2013, at 11:55, Gaëtan Allart wrote: Nos besoins : connections 10 Gbps Mauvaise choix pour du 10G. Les FWSM ont une connexion vers le chassis 6x1G via le backplane, donc exit les (Nx)10Gbps. Meme comme ca, atteindre les 6Gbps c'est du reve. Autre chose, ils partagent l'alimentation avec le chassis et rien d'autre; ils fonctionnent avec leur propre code. Ca synchronize strictement rien avec le chassis. Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? (souplesse de gestion, fiabilité, stabilité) Bof, ca rappelle un hybride entre du vieux PIX et ASA. Sachant que nous hésitons entre les solutions suivantes : - FWSM mutualisé sur les 6500 pour tous les clients - Chassis ASA 552x pour chaque client Vu comme ca, regarde eventuellement les modules ASA pour 6k5 (heritiers des FWSM). Si les 10Gbps sont cote client, oublie les 5520 aussi, pas assez puissant. - Firewall typé open-source (PF/IPtables) mutualisé - autre ? Si tu veux vraiment du 10Gbps, surtout Nx10G, regarde du cote de Fortinet. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
2013/11/26 Gaëtan Allart gae...@nexylan.com: Sachant que nous hésitons entre les solutions suivantes : - FWSM mutualisé sur les 6500 pour tous les clients - Chassis ASA 552x pour chaque client - Firewall typé open-source (PF/IPtables) mutualisé - autre ? Concernant le firewall open-source, pour faire du 10G line-rate (donc 14Mpps) avec un FreeBSD (ipfw ou smp-pf sur la 10.0) il va falloir prévoir pas-mal de cœur (pas moins de 16 je pense). Mes benchs sur un IBM x3550M3 (avec 4 cœurs) donne un firewall qui tiens la route pour du line-rate 1Gbs (1,48Mpps) avec ipfw en stateless mais pas plus (et la version netmap-ipfw qui pousse à 6.5Mpps n'est pas prête). http://dev.bsdrp.net/benchs/BSD.network.performance.TenGig.png Cordialement, Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Sinon Asa … Tu peux préparer ta lettre de DEM la poser sur le bord de ton bureau et t’en servir le jour J :) Pour la partie SRX, c’est du bon HW mais à configurer c’est pénible au possible et le mode de licence est pour le moins original ! Je pencherais plutôt pour du Stonesoft pour l’IHM ( genre la gestion des correlations des règles entre plusieurs fw) , Fortinet pour la simplicité et le prix , SRX pour le cli quand tu as besoin de debug ou d'automatiser des “trucs” ( et pas du tout l’IHM qui est une infâme bouse ) On 26 Nov 2013, at 17:19, Raphael Mazelier r...@futomaki.net wrote: Le 26/11/2013 17:09, Gaëtan Allart a écrit : Merci pour vos différents retours. A écouter les différents retours d’expérience, j’ai l’impression que l’ASA semble être plus adapté à notre besoin que le FWSM (de toute façon eos). Comment fonctionne leur système de licence ? On paye une licence annuelle en plus du Hard pour pouvoir utiliser plus ou moins de contextes ? Au niveau failover, y’a un système classique de actif/passif entre 2 cartes situées sur des châssis différents (voire sur le même châssis) ? Reste en effet l’option du PF/IPTables. Nous avons les compétences en interne pour avoir une machine configurées de façon très fine au niveau de la stack réseau. Solution à étudier à condition de trouver le bon hardware. Alors les ASA...On est pas mal à penser sur la liste que c'est quand même une horreur à administrer. Je regarderais du coté Juniper SRX, ou Fortigate comme précédemment mentionné. Après si tu as les compétences systèmes qui vont bien, un FreeBSD (avec pfsense ou pas) bien configuré et du bon matériel (aka des cartes Intel) c'est un choix tout à fait justifiable. = https://wiki.freebsd.org/NetworkPerformanceTuning -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Le 26/11/2013 21:11, Raphael Maunier a écrit : Pour la partie SRX, c’est du bon HW mais à configurer c’est pénible au possible et le mode de licence est pour le moins original ! Qu'est ce que tu trouve pénible à configurer ? long et verbeux je veux bien, mais ça ce scripte assez bien. Je pencherais plutôt pour du Stonesoft pour l’IHM ( genre la gestion des correlations des règles entre plusieurs fw) , Fortinet pour la simplicité et le prix , SRX pour le cli quand tu as besoin de debug ou d'automatiser des “trucs” ( et pas du tout l’IHM qui est une infâme bouse ) Automatiser, ou lorsque tu as besoin d'une vraie intégration avec ton core (aka avec du vrai routage dynamique). En gros je dirais que SRX c'est un peu un routeur-firewall. Jamais testé StoneSoft, tu peux m'en prêter un ? :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/