Date: Tue, 22 Feb 2005 16:19:32 +0100 From: Michael Knudsen <none@e--molioner.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: ydelse på ipfw
Quoting Claus Guttesen (cguttesen@yahoo.dk):
> Men hvad kan en sådan software-baseret firewall
> egentlig klare? Kan den tage 100 MBit/s? Skal den
> skiftes ud med en dual opteron/xeon? Skal jeg gå over
> på en hardware-baseret oder hür?
Du kan komme _langt_ ved at bruge ordentlige netkort -- eller rettere:
Du kan bremse selv meget hurtige maskiner tidligt ved ikke at goere det.
Gigabit-netkort er i dag saa billige, at det ikke kan svare sig at koebe
andet, hvis man forventer at skulle fylde sin linie. Selv hvis man ikke
skal koere gigabit, er det en god idé, da de har _langt_ bedre
bufferhaandtering, fordi de er designet til at skulle haandtere stoerre
datamaengder og flere pakker.
Hvis jeg ikke husker galt, koerer ipf i user mode. Dvs. at for at
haandtere een pakke, skal du skifte fra kernel mode (hente pakken fra
netkortet og laegge den i ipf's hukommelsesomraade) til user mode (ipf
foretager filtrering) og tilbage igen (for evt. at sende pakken videre).
Mode switches er afsindigt dyre, og med mange pakker kan man hurtigt
draebe enhver maskine paa den maade.
En ekstra processer kan muligvis afhjaelpe problemet, da ipf maaske kan
koere paa den ene, samtidig med at kernen henter pakker paa den anden.
Jeg ved heller ikke, om FreeBSD eller ipf kan bruge noget coalescing af
interrupts eller pakker, men det kan ogsaa give bedre ydelse paa
bekostning af pakkelatens.
pf koerer rent i kernel mode og kan derfor klare yderligere belastning.
Om det saa hjaelper at tilfoeje ekstra processorer hertil, ved jeg ikke.
Mvh. Michael.
-- Rumour is information distilled so finely that it can filter through anything. -- (Terry Pratchett, Feet of Clay)
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:48 CET