( arpi_esp | 2021. 07. 31., szo – 14:47 )

nagyjabol egyetertek, de azt azert tegyuk hozza, hogy a routeolashoz nem igazan van szukseg cpu powerre, ott az ilyen pici/embedded x86 lapok az i/o teljesitmenyuk miatt buknak el (irq kezeles, dma, busz sebesseg stb). meg mert ezeken jellemzoen valami filleres buta realtek nic van, vagy megrosszabb esetben usb-s atalakitassal (ras.pi ilyen asszem)

masreszt az intel nic-ek mar nagyon sok eve is tudtak olyat, hogy szetszedi a packetet headerre es payload-ra, es csak a headerrel kellett a cpu-nak foglalkoznia, a data vegig a nic buffereben marad, kuldeskor osszerakja, ujraszamolja a checksumokat es tx.  az egyik nagy egyetem telephelyen egy core2-es embedded pc routeolja es tuzfalazza (layer4 filter, nat) 2x10G-n a teljes forgalmat! (https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c02536759)

ahogy a cryptot is tudja mar minden normalis NIC hardveresen, persze ahhoz az kell, hogy szabvanyos protokollal hasznald (pl. ipsec), es ne ilyen ganyolt-takolt szoftveres megoldasokkal, mint openvpn meg wireguard...

suricatat es a layer7 szureseket ne keverjuk ide, az armon is lassu meg kb mindenen, ahhoz tenyleg durva vas kell, vagy 10+ millios celhardver, foleg ha min. gigabites sebesseged is van melle.