Hardware pro GW (10 Gbit)

drakgon

svestka a iptables řeší jak fw, nat tak i shaping? A na té gw mas nějaký svůj sw na tu kontrolu a optimalizaci jak píšeš? Nebo to umí přímo iptables si to kontrolovat? Možná se ptám blbe, ale na linuxu jsem nikdy neshapoval...

svestka

drakgon to už chceš moc, dělá to kolega. dle mého skripty na kontrolu a optimalizaci konfiguráků jsou psané v C. Na čem je postavený shaping nevím, pro mě je důležitý že dělá co má 🙂
Kdybys moc chtěl, můžu se optat.

drakgon

jcltm to mas pravdu.. asi jsou ty zápisy minimální... ale když jsem to stavěl, tak jsem chtěl mít 100% jistotu... možná je to přehnane...😁

drakgon

svestka docela by mě to zajímalo.. už jsem uvažoval nasadit na gw linux... na druhou stranu to ten stávající ROS zvládá..🙂

pgb

drakgon iptables jako takové nic sami od sebe neoptimalizují. Psal jsem to tu já a mnozí další .... pokud použiješ správné větvení v chainech tak není výrazný problém ani s hodně pravidly. Mk jede interně iptables, takže stačí uvažovat stejně a stromečkovat. Velkou změnou v optimalizaci jsou nftables a pokud by jsi stavěl nový linuxový firewall/shaper, tak stavět ho na iptables by byl velký nerozum. Utilitě tc se nevyhneš.

PS: Co se týče jakéhokoliv SW (co psal třeba svestka), tak se vždybude jednat o mezivrstvu přijímající konfiguraci a generující jednotlivá pravidla do iptables/nftables/tc. Přemýšlet o tom, že by psal kdokoliv další alternativní implementaci ovládání netfilteru mimo iptables/nftables je nereálné.

edit: teď píšu v go shaper, který dělá to, že stahuje z jednotlivých mk routerů pomocí api address listy a následně generuje shapovací strom: root => top trida(třeba 600Mbps rádio) => routery => sektory na routeru => uzivatele.

s_a_m

Pokud to pise v Ccku to uz asi skript nebude jinak klobouk dolu pred lidma co tohle davaj ja na to nemel nikdy moc casu od skoly jsem na c++ nesah 🙂 a to jsem to mel 4 semestry 🙂

rsaf

Ono je to jedno, jestli Mikrotik nebo Linux - s Linuxem je více práce s přípravou, ale ve finále to funguje velmi podobně (v obou případech je to víceméně iptables+htb a logika konfigurace je stejná).

Životnost serverových SSDček se dnes často uvádí v DWPD (počet přepisů za den při kterém disk vydrží 5 let). Větší disk má ve stejné úloze tedy větší životnost. Netvrdím, že je potřeba používat 2TB SSDčka, ale místo 128GB za 700 bych asi 258GB za 900 dal.

helapc

Při 10Gbps to už jedno není. Dle mě Linux s nftables to zvládne líp, než Mikrotik s iptables. Nemám ještě otestováno, ale pracuji na tom.

pgb

Zkusil jsem i reálné testy iptables vs nftables. Pokud máš hodně pps tak ten rozdíl je naprosto ohromující. Ty mapy pro nat a mark v nftables jsou velký zázrak. Markuji a natuji do 2Gbps + 120-200kpps a s tím cpu to hne minimálně. Víc ho zatíží inspekce a generování NetFlow.

Jako finální korunu pokud nepotřebuješ shaper, tak můžeš použít flowtables (mk fasttrack) a ještě si polepšit. Dokonce funguje i na IPv6 (ne jako u mk 🙂))

crazyape

Zdravím pánove, trochu bych oživil toto téma v roce 2022. Chystám se stavět stroj (1U/2U) s 2x 10Gbit iface, Optimálně pro X86 Mikrotik. Kdyby na tom jela i verze 6 skákal bych radostí. A rád bych to už dimenzoval na cca 10 Gbit. Dejme tomu 1-1,5M pps download.

Mohli by jste mi někdo prosím poradit co za HW na to využít ? Eventuálně nějaké zkušeností i s RoS7? Šli by jste do toho na ostré GW? Nemám tam v podstatě nic. Pár (100) static rout, nat,mangle,qt, par pravidel ve FW.

Aktuální železo je SuperMicro CS-512L + Xeon E3-1340 v6 4-core 3,7GB a STGN-i2s karta. Zátež aktuálné max peak 45% a co se týká konfigu tak dle mých vědomostí a možností které znám jsou už provedeny max optimalizace 🙂 ...
Nyní tam je:
NAT 1:1 4000 pravidel
nějaký základní FW asi 40 pravidel
mangle 4000 pravidel + queue tree 4000 pravidel
Traffic download 4GBps peak, 500k-600k pps, upload zanedbatelny.
Eventuálně pokud tady někdo i skládáte tyto záležitosti na kšeft (vím, že třeba pan @hapi to kdysi myslím dělal) nebráním se nabídce.

Díky

sherlock

Také zdravím,
taky právě uvažuju o novém stroji na GW, taky 2x 10GBit SFP, akorát na tom pojedu Linux.
Mám už i nějakou předběžnou nabídku na Supermicro, procesor Intel Xeon E-2278G, 3.4GHz, 8C/16T, 16MB. SFP karta stejná - AOC-STGN-I2S.
Ale taky se nebráním radám na něco lepšího.

stepan_benes

sherlock stavěli jsme pro zákazníka shaper ASROCK + Ryzen (Raphael), Linux s nftables/HFSC + Cake, Intel 710 2x10/40G. Poměr cena/výkon oproti Intelu super. S testovacím vybavením jsme to nedokázali zatížit víc jak na pár procent, Klidně zavolej ...

crazyape

sherlock muzes se prosimte podělit s cenou prosim ?

hapi

klidně mi napište. Aktuálně se staví na asrock a ryzenech. Intel začal být nechutně drahý a to jak cpu tak desky pro něj. RoS7 se už taky nasazuje jako default. S tím jde i nástup novějších SFP+ karet i když to není vyloženě nutnost přecházet na novější.

crazyape

hapi poslal jsem SZ.

pepulis

hapi Prosím, napsal bys jaký nový model SFP karet myslíš? Reaguju na tvoji odpověď: S tím jde i nástup novějších SFP+ karet i když to není vyloženě nutnost přecházet na novější.

Momentálně mám tuhle: https://smicro.cz/supermicro-aoc-stgn-i2s?gclid=CjwKCAjwtp2bBhAGEiwAOZZTuAPh4ixKreQIsgJQsPA2KgtE-IhOzMtxWx0Zp806LKSODlo1PoT1sxoCdd8QAvD_BwE a na v6 jede v pořádku.

julian

stepan_benes JJ je to pecka zkouším AMD Ryzen 9 7900 a Mellanox ConnectX-5, ale nevím co Mikrotik a ta síťovka.

hapi

pepulis jo, tohle je intel x520. S V7 lze už normálně používat x550 nebo x710 která už existuje i ve verzi 25Gbit.

Ta tvoje supermicro je naprosto v pořádku.

pepulis

hapi Prosím, poradil bys mi ještě SFP modul, který máš v té kartě (https://www.abacus.cz/supermicro-stgn-i2s-dual-port-10gbe-sfp-intel-i82599e-pci-e8-g2-lp_d5019865.html) vyzkoušený (ověřený provozem), min. aby zvládl 2Gbit. Děkuju.

crazyape

Jinak já si tak nějak sám zatím namyslel ze by to mohlo byt neco jako:
Supermicro MBD-C9Z490-PGW-O
Intel CML W-1270P 8core x 3,8 Ghz turbo 5,1 Ghz
8GB ecc ram
SATA DOM 8Gb na systém
STGN-I2s karta
a RoS teda 7 asi ... když říkáte že už je to "rock-stable"
Co si o tom myslíte ?

iTomB

crazyape To vychazi skoro stejne jako tohle 😃
Kde male sitovky se hlasi jako:
Intel Corporation I210 Gigabit Network Connection (rev 03)
Intel Corporation I350 Gigabit Network Connection (rev 01)
A velke:
Intel Corporation Ethernet Connection X722 for 10GBASE-T (rev 04)
Intel Corporation Ethernet Connection X722 for 10GbE SFP+ (rev 04)
Mam to na Linuxu, ale mikrotik V7 uz to zna taky 😃

crazyape

iTomB no akorát ten CPU je slabej no ...

ekrajnak

Skúšali ste niekto Mellanox sieťovky? Majú nejaké výhody/nevýhody oproti Intel?

iTomB

ekrajnak Ja ne, mam to integrovane. Chtel jsem na serveru zkouset DPDK, ale nemel jsem tehda cas to testovat.
Takze me jeste cekaji nejake testy, ale porad mam dost i jine prace 😃

« Předchozí stránka Další stránka »