Re: ydelse på ipfw

From: Nicolai Petri (none@nicolai--catpipe.net.lh.bsd-dk.dk)
Date: Tue 22 Feb 2005 - 16:23:17 CET

Next message: Benny Simonsen: "mkisofs forsvundet i FreeBSD RELENG_5"
Previous message: Michael Knudsen: "Re: ydelse på ipfw"
In reply to: Claus Guttesen: "ydelse på ipfw"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Tue, 22 Feb 2005 16:23:17 +0100
From: Nicolai Petri <none@nicolai--catpipe.net.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: ydelse på ipfw

Hej Claus.

Claus Guttesen wrote:

>Hej.
>
>Jeg er ved at se på andre typer internet-forbindelser
>end vores nuværende, som kan gå op til 34 MBit/s.
>Firewallen er FreeBSD 5.2.1, som på et tidspunkt skal
>opgradéres til 5.4. Den kører ipfw (dummynet) til
>båndbredde-håndtering og ipf til selve firewallen.
>Hardwaren er en Celeron på 2,4 GHz og 512 MB RAM med
>GB kort til intern net og 100 MBit mod internettet.
>
>
Jeg ville nok opdaterer til minimum 5.3-STABLE snarest og selvf. til 5.4
når den er ude. Derudover vil jeg stærkt anbefale dig at skifte til pf
istedet for ipf da performance er betydeligt bedre.
En anden lille detajle du kan kigge på er sysctl'en
net.inet.ip.fastforwarding - se evt.
http://lists.freebsd.org/pipermail/freebsd-net/2004-January/002534.html
; Bemærk at ipf er supporteret man der skrives ikke om pf er
supporteret. Dette kan betyde at ipf måske kan banke pf i sådanne setups.

>I den nuværende form antager jeg at firewallen kan
>tage de 34 MBit/s som vores nuværende forbindelse kan
>gå til, omend at der sikkert vil komme små dråber sved
>af og til.
>
>
Det er nok på kanten med ipf - men især typen af trafik har meget at
sige. Hvis du ikke har noget p2p vil der ikke være nogle problemer.

>Men hvad kan en sådan software-baseret firewall
>egentlig klare? Kan den tage 100 MBit/s? Skal den
>skiftes ud med en dual opteron/xeon? Skal jeg gå over
>på en hardware-baseret oder hür?
>
>
Din store begrænsning i dit setup er brug af dummynet - du skal sørge
for at det er tunet korrekt og at du har en fornuftig setting på option
HZ i din kerne. Jeg vil foreslå et sted mellem 4000 og 6000 til din
mængde af trafik.
Måske kan du få bedre performance ved at droppe ipf og bruge pf(4) med
dens altq(4) istedet for dummynet(4) og ipfw(8).

Mht. hvad du kan forvente af performance på sådan en boks så vil jeg
være fortvivlet hvis ikke du kan fylde en 100MBit/s linie på det
hardware du nævner. Bemærk at kvalitetsnetkort anbefales f.eks. em eller
fxp kompatible kort og du skal helst aktiverer polling(4) hvis muligt.

Husk at en korrekt tunet opsætning betyder enormt meget; så husk også
lige at læse tuning(7).

>Hilsen
>Claus
>
>
>
Mvh.
Nicolai Petri

Next message: Benny Simonsen: "mkisofs forsvundet i FreeBSD RELENG_5"
Previous message: Michael Knudsen: "Re: ydelse på ipfw"
In reply to: Claus Guttesen: "ydelse på ipfw"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:48 CET