GIGABYTE GA-J3455N-D3H - NAT sebesség

 ( hnsz2002 | 2017. október 12., csütörtök - 20:04 )

Az említett típusú alaplapból egy kis 1U-os rack szerver készülne, tűzfal funkcióra.
A kérdésem, hogy a két LAN kártya között képes-e gigabitet natolni/forwardolni?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Pusztan csak tipp, konkret meresekrol nem tudok beszamolni: valoszinuleg ki tudja hajtani, de van egy olyan erzesem is, hogyha (Open)VPN-ezni is akarsz melle, az csunyan vissza tudja fogni a teljesitmenyet.

Igen van OpenVPN is, de az "elenyésző" forgalom. Az idő 95%-ban idle mind. És azon nincs gigabit a túlvégek miatt. :)
--
"Sose a gép a hülye."

En pont ilyen alapokon tervezem upgradelni, a 10 eves ARM alapu masinat. Milyen rendszert tervezel rajta hasznalni?

---
Apple iMac 27"
áéíóöőúüű

CentOS 7. :)
--
"Sose a gép a hülye."

:D Miért nem egy erre való rendszert használsz?

Ez pont erre való. :) CentOS mindenre jó. :)
Mert ezt ismerjük a legjobban, mert ez illik a legjobban az infrastruktúrába, mert ehhez van management tool, mert ehhez van saját repo, mert hosszú támogatású és nincs upgrade kényszer (addigra kirohad a vas alóla...). Így nagyjából.
--
"Sose a gép a hülye."

Ok. Mindenki azzal tolti az idejet amivel szeretne.

Egy egyszeru portszures mar reg keves, a tobbire meg sok ido mindent beloni. Mivrl van elozo vas, gondolom arrol emelnetek mindent at.

A proci eleg lesz. Ilyesmi atom procik vannak a cisco asa eszkozokben is, ott lathatod, hogy mire kepes.

Anno egy sophos appliancet hajtottam, az valami dual core pentium G 2.6ghz vel volt szerelve es minden utm szolgaltatas futott rajta. Emellett portszurt halozatok kozt gond nelkul atadta a sok gigabitet.

Mennie fog rajta. Mivel támogatja a AES-NI-t így még az SSL (VPN) is gyors lesz.

Jófajta hálókártyák sokat tudnak tehermentesíteni a CPU-n, akár valami használt szerver hálókártya.

Köszi.
Hát, egy kis pici 1U-os rackházba menne, pl. ezt néztem:
https://www.newegg.com/Product/Product.aspx?Item=2KH-0001-00038
2x60GB SSD-vel. Nem nagyon tennék bele plusz kártyát, ha nem muszáj...
--
"Sose a gép a hülye."

Persze, erre még 10 éves desktop CPU is képes.

Hát az pont nem, a mostani tűzfalon 280Mbit-nél több nem megy át... Dell Poweredge sc440.
--
"Sose a gép a hülye."

Ott valami egyeb baj lehet. Csak szimpla l3-l4 tuzfalazast vegez?

Igen.
--
"Sose a gép a hülye."

Nemreg csinaltam egy wifi halot lanra. Varakozason alul teljesitett, talan 200-250Mbit korul. Nem ertettem... Aztan valami Isteni sugallat hatasara nem az USB2-s kulso HDD-re kezdtem el tesztelni az ISO letoltest, hanem a SATA3-as belso SSD-re es egybol megtaltosodott, hozta a vart sebesseget...

wget -O /dev/null http://...

Koszi, varnam a Windows megfelelojet is, ha mar...

powershellbe van wget alias:
wget URL | Out-Null

Na ezt nem is tudtam, koszonom

Nem külső hdd, de egyébként mindegy hova csinálom. Magáról a tűzfal belső lábáról jön kb. 996Mbit, de ha kifele kell NAT-olni, akkor csak ez a 280-290 körüli érték.
--
"Sose a gép a hülye."

IPv4 + Conntrack + NAT

[ 3] 0.0-60.0 sec 1.09 GBytes 156 Mbits/sec

TP-Link 1043ND v1, ami egy 400Mhz "kvarcóra" a fenti szerverhez képest.

Most nincs nálam 2 fizikai porttal rendelkező ilyen régi gép, de ha lesz, akkor mérek egyet.

És milyen firmware-rel? Mert a gyári TP-link az hardveresen NAT-ol, így a CPU órajel semmit nem számít.
Egyébként az említett szerver procija: Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz. Szóval ez is kvarcóra már. :)
--
"Sose a gép a hülye."

OpenWrt, és a mivel v1 ezért nincs is benne HW NAT. Itt a többi eredmény, ha érdekel:
https://pastebin.com/DVinc629

Ma játszottam kicsit az említett vassal, mit lehet belőle kihozni... Semmit, ez a 283-284Mbit a teteje.
Teljesen mindegy, hogy milyen kártyát teszek bele, mindegy hogy pci vagy pci-e, kernel beállításokkal is játszottam, többnyire csak rosszabb lett. Szóval vagy valami alaplapi busznak, vagy a cpu-nak ennyi az áteresztőképessége. Érdekesség egyébként, hogy ezt NAT-olva hozza, de magán a gépen pl. wget -O /dev/null-ra teljesen mindegy hogy honnan és hány letöltést indítottam, az össz sebesség a 15MB/s-et nem haladta meg (az kb. 120Mbit/s), ennél többel ha megfeszült se töltött lefele, se ftp.fsn-ről, se máshonnan.
--
"Sose a gép a hülye."

Mérés közben top, perf top kimenet mit mutat? Próbáltad a gépről tűzfal nélkül is? (a conntrack modulok ne legyenek betöltve)


top - 10:14:05 up 14:28, 5 users, load average: 0.26, 0.11, 0.03
Tasks: 177 total, 3 running, 174 sleeping, 0 stopped, 0 zombie
Cpu(s): 6.2%us, 39.8%sy, 0.0%ni, 47.7%id, 0.0%wa, 0.0%hi, 6.2%si, 0.0%st
Mem: 2051892k total, 661208k used, 1390684k free, 74556k buffers
Swap: 0k total, 0k used, 0k free, 364384k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
11 root 20 0 0 0 0 R 35.3 0.0 2:48.38 events/0
12 root 20 0 0 0 0 S 32.6 0.0 1:42.99 events/1
1521 nobody 20 0 6180 780 668 R 21.4 0.0 2:28.36 pppoe
18063 hornyakn 20 0 135m 2540 1964 S 7.9 0.1 0:05.19 wget
4 root 20 0 0 0 0 S 6.6 0.0 0:50.68 ksoftirqd/0
9 root 20 0 0 0 0 S 5.9 0.0 0:21.58 ksoftirqd/1
4929 hornyakn 20 0 15020 1392 992 S 0.3 0.1 1:50.78 top

szerk.: Hogy kell úgy fixed szélességű szöveget betenni, hogy a formázás se essen szét?
--
"Sose a gép a hülye."

Így első ránézésre furcsa a pppoe process 21% CPU terheléssel. Nekem az OpenWRT-ben nincs is ilyen process. Én arra tippelek, hogy userspace ppp drivert használsz.

A másik gond lehet, hogy nincsenek bekapcsolva a ethernet kártya offload funkciók. Ezt az ethtool -k _ethname_ paranccsal ellenőrizheted.

Írtad korábban, hogy CentOS-est szeretnél használni. Ez nem biztos, hogy jó ötlet, egy OpenWRT-n pl előre be vannak lőve ezek a dolgok.

# ethtool -k eth2 | grep offload
tcp-segmentation-offload: on
udp-fragmentation-offload: off [fixed]
generic-segmentation-offload: on
generic-receive-offload: on
large-receive-offload: off [fixed]
rx-vlan-offload: on
tx-vlan-offload: on
# ethtool -k eth0 | grep offload
tcp-segmentation-offload: on
udp-fragmentation-offload: off [fixed]
generic-segmentation-offload: on
generic-receive-offload: on
large-receive-offload: off [fixed]
rx-vlan-offload: on [fixed]
tx-vlan-offload: on [fixed]

--
"Sose a gép a hülye."

Vegezz egy tesztet egy tuzfal disztfibucioval is, pl Sophos UTM Home free.

Azzal egy ennel szarabb vassal 3+Gb-t eresztettem at ugy hogy sokminden hasznalva volt rajta.

^Használd a [code] taget.

Érdekel