Základní deska pro novou GW?

drakgon

Zdravím pánové, mám dotaz ohledně základky pro nový hraniční router. Bude to mašina, která bude zajišťovat shaping, mangle, FW a NATy na konektivitě 100Mbit. Jako procesor budu osazovat nějaké i3 nebo i5 a paměti cca 2GB RAM DDR3.

Co se ale týká MB tak bych rád aby na ROS běhala třeba i integrovaná síťovka. Proto se na Vás obracím s dotazem jestli je lepší kupovat nějakou desku Intel s LANkou Intel nebo nebude problém s MB třeba od Gigabyte nebo MSI s LANkou Realtek? Co se týka Socketu tak si myslím, že na mou potřebu bude dostačovat 1155 - nebo se mýlím?

Ještě jsem se chtěl informovat jaký pro mou aplikaci vybírat Chipset - bude dostačující například H67, nebo je lepší jít po P67 či Z68? Úplně jsem nestudoval rozdíly mezi jednotlivými Chipsety...

Osobně jsem vybíral přibližně něco takového:

Intel řešení:

http://www.alza.cz/intel-dh67cl-cold-la ... 222265.htm

MSI řešení:

http://www.alza.cz/msi-h67ms-e23-b3-d226032.htm

Dále bych si rád nechal poradit při výběru síťových karet. Rozhodně chci pořídit něco do PCIe ale je potřeba kupovat nějakou z dražších variant, nebo mi poslouží třeba něco takového od Intelu? Popřípadě nějaká úplně jiná varianta?

http://www.alza.cz/sitova-karta-intel-p ... 110188.htm

Neříkám, že jsem vybral zrovna nejlépe, ale proto jsem se obrátil na Vás, jelikož věřím, že máte osobní zkušenosti s výběrem ideálního HW pro ROS. Jedná se mi o celkovou kompatibilitu... Přeci jenom to bude hraniční router...

Předem moc děkuji za reakce!

reset

pekny, zapomen , kup si supermicro

drakgon

Reset: přesný důvod prosím?

To je supermicro jediná alternativa pro mou konfiguraci?

Myslel jsi MB, nebo LAN? Nebo obojí?

dantasik

Kup hlavne serverboard, ne desktop desku.

Je tam pak vic starosti, projdi si vlakna kde delal hapi pokus komu a jak to ztratovalo na desktop deskach..

reset

presny duvod ti nepovim, ale tyhle lowend desky se pro tohlecto vubec nehodi i kdyz udelaji stejnou praci.

Supermicro je proste kvalita , je to urceno pro server pouziti a nee desktop . Od toho se odviji i kvalita pouzitych soucastek.

My taky jeste bezime ted na takovymto suntu, ale uz mame pripravenou supermicro desku , jen ceka na nasazeni.

Rukama mi proslo dost desek a jen pak jich prezilo delsi dobu (nejruznejsi problemy). Cekam jen , kdyz nam to klekne, proto ta vymena.

Moc neznam socket 1155 , ale mit integrovanou grafiku v procesoru mi prijde dost zbytecny.

Urcite ta ingerovana lanka ti chvili pojede , pak zacne blbnout a pak lehne (nam zatim vsude).

Pokud planujete 100Mb , ktery nestoji urcite maly peniz, investuj do toho cca 15tis a mas vystarano. Je to vice nez sazka na jistotu a kvalitu.

drakgon

Reset: Co přesně myslíš tím "nejruznejsi problemy?" Ja pravě někde tady na foru četl od hapiho, že i ty desktop desky jsou dnes již výkonné... když na nich můžeš renderovat atd... proč by to nemělo zvládnour routing a shaping... ? Jde mi o to, že jsem toho teď financoval víc než dost a tak jsem chtěl trochu ušetřit... Každopádně konektivitu máme 100mbit ale reálně tam teď poteče cca 40mbit...

tomasnesrsta

A ted zase jinej pohled:

NAT a shaping delat na jedny masine dle meho skromneho nazoru neni moc idealni. Rozdelil bych to na dve masiny. Jinak s konektem 100M neni problem a i i3 ti to ushapuje s prstem v pr... Ono nejde ani tak o tu konektivitu jako spis o to kolik ti na tom pobezi klientu. Osobne tam mam non-server desku Gigabite, procak tusim celer na 3GHz a dle grafu vytizeni jeste nikdy neprekonalo 40proc.

GW pro NAT do 100M zvladne RB750G.

Otazka: No nasadit jako gateway pro konetk do 1G. /idealne nejake cisco?/

ludvik

NAT+QOS na Xeon X3470 (2.93GHz), něco přes 2600 uživatelů, špičky někde u 700Mbit. Vytížení relativně nevýznamné, do 30%. Do gigabitu strach nijak zvlášť nemám, co potom, to je otázka. Dost by měl pomoci přechod na novou sandybridge platformu, tedy např. Xeony E3. Akorát všechny testy se týkaly routingu, nikoliv NATky či QOSu, ale rozhodně není problém se přiblížit 10Gbitům.

Mám takový pocit, že tam ale hraje roli jiná věc: není to mikrotik. NAT je vlastně moje řešení (strom pravidel v netfilteru), QOS je založeno na upraveném generátoru Prometheus. Což jsou zase optimalizovaná pravidla pro mangle a TC filtery. Upravenost spočívá především v tom, že část internetu (NIX, cca 40 tisíc sítí) obchází uživatelské třídy a je jakoby neomezovaná (je tam jen jedna SFQ třída).

Ono pro tohle je už prostě potřeba optimalizovat. Např. QOS pomocí markovacích pravidel v mangle (jakkoliv optimalizovaných) je zabiják. Z přetíženého serveru lze udělat flákající se jenom tím, že se ty pravidla přepíšou na CLASSIFY targety. Druhý krok by byl opustit netfilter v tomto případě úplně a používat hashovací tabulky přímo v TC filterech.

Pokud je nutné na takové mašině i filtrovat, je nutné využívat IPSET, nikoliv jednotlivá pravidla v netfilteru. Nárůst výkonu je opět významný.

Pokud není potřeba conntrack, tak vypnout (nepoužívat a nejlépe smazat i pro jistotu modul). Ale pokud se NATkuje, tak to samozřejmě nejde.

A když je opravdu problém, tak rozdělit NAT a QOS. Ale to už tolik nepřinese. Byť je to jenom můj (bohužel subjektivní) názor. Největší žrout bude totiž ta NATka, která je skoro neoptimalizovatelná.

A pokud všechno selže, musí se přesunout NAT blíž k uživatelům. Jenže to jde jak u koho. Pokud je dostatek IP adres, lze to udělat. Bohužel ať počítám jak počítám, tak v naší struktuře nedokážu ty 4 tisíce adres optimálně rozdělit na ty bližší routery. Jiné topologie ale můžou mít tento problém menší.

A všechno to dohromady spíš než na trafficu záleží na paketech :-) Takže může dost pomoci to na bližších routerech trochu filtrovat.

Otazka: No nasadit jako gateway pro konetk do 1G. /idealne nejake cisco?/

hapi

hmm, neni třeba rozdělovat nat a qos na různý mašiny. Zkoušel někdo z vás jak vytěžuje nat a jak qt? schodou okolností qt relativně o něco více ale ani jedno nemá na hlavního vyníka spotřeby výkonu a tím je mangle. Jo můžete mít 1000 natů ale nespapaji tolik co 1000 manglů a to vyznamně. Zakažte si schválně na bráně mangle a router bude nevytíženej :-) pak si to zapněte a uvidíte brutální nárůst zátěže. Tady musí nastoupit optimalizace manglů pokud nestačíte s výkonem a pak se jede vesele dál i na mikrotiku. Pak by počítám pro většinu ISPíků stačil i atom :-)

Jo můj názor na desktop router? V podstatě nemám s nimi problem pokud základovka je od gigabyte. Je to k nevíře ale tyhle desky nám držely sakra dlouho. Nicméně je potřeba chladit a když si člověk veme že koupí supermicro desku se 4 intel ethernety na desce tak si spočítá že koupít desktop desku + 4 intel ethernety vyjde na stejně. V CPU už cenovej rozdíl neni. Ramky ECC lehce dražší. Šasí do racku optimalizovaný pro průtok vzduchu tak aby se vše chladilo správně. No jako těch plusů je prostě tak nějak víc. Když si zavřeš nějakou desku do uni 1-2U case tak je to takový na prd. Vznikaji tam hluchý místa na chlazení a kumuluje se tam teplo což ovlivňuje životnost. Navíc serverový komponenty maji minimálně v šásku redundantní chlazení + se občas hodí IPMI modul pro vzdálený monitorování atd..

Jak tu někdo zmiňoval že desktopy chybujou a serverový věci ne... to neni až taková pravda. U někoho se to potvrdilo a u někoho ne. Nicméně testovači nemuseji říkat vždycky vše a většinou se měnil třeba i switch v cestě nebo chyba je u dodavatele konektivy (většinou je to u nich... bohužel) a podobně takže pokud jde o desktop, je to levná alternativa routeru se stejnym výkonem. Nicméně i při výběru desktop desky je potřeba se řídit několika pravidly a ne každá deska je vyhovující.

ludvik

Mangle je dost obecný pojem. To je jen tabulka v netfilteru. Záleží spíš na tom, co tam děláš. Moje mangle, když ji uložím (iptables-save) má přes 36 tisíc řádků. Samozřejmě ne vše z toho jsou "výkonné" řádky. Ale i tak. A vůbec mě to netrápí.

Samozřejmě s tím souvisí i ty filtry v TC. Nevím jak odlišit vliv na výkon mezi pravidly mangle a těmi filtry. Je možná pravděpodobnější vliv TC, než třeba markování v mangle. Netfilter vypadá, že je vnitřně optimalizovaný dobře. Ještě pár routerů mám bez ipset, jen markování (co IP, to jeden mark, každý bit znamená něco jiného, optimalizováno stromečkem) a také to jede slušně.

Já mám v mangle vše jako "-j CLASSIFY --set-class 1", takže díky tomu nejsou potřeba TC filtry. Jsou tam jenom class a qdisc.

Problém u NATu je conntrack tabulka. Kdyby se šlo obejít bez ní, žilo by se lépe.

Jo můžete mít 1000 natů ale nespapaji tolik co 1000 manglů a to vyznamně. Zakažte si schválně na bráně mangle a router bude nevytíženej :-) pak si to zapněte a uvidíte brutální nárůst zátěže. Tady musí nastoupit optimalizace manglů pokud nestačíte s výkonem a pak se jede vesele dál i na mikrotiku. Pak by počítám pro většinu ISPíků stačil i atom :-)

hapi

no, ty o voze já o koze. V mikrotiku si neomarkuju pakety pomocí tc ale pouze pomocí mangle v iptables. Mluvim o mangle v iptables a o markování paketů pro potřeby htb(qt). V mikrotiku nemám na výběr, mám jenom tohle a s tim musim pracovat. Nicméně 2000 pravidel neoptimalizovaných neni pro i3core problem při toku do 200Mbit.

ludvik

Ani ne ... tím pádem tvrdím, že na vyšší požadavky ROS nebrat :-) Přesně z těchto důvodů, nic s tím neuděláš. Podobný případ je moje sr**í s IPv6 PD.

Kromě toho se tato informace může hodit zase někomu jinému.

no, ty o voze já o koze.

reset

do jake kapacity v radech 100Mb je mozny MK pouzivat jako gw (nat, qos , atd ) ?

A co pouzit potom ?

miract

do jake kapacity v radech 100Mb je mozny MK pouzivat jako gw (nat, qos , atd ) ?

A co pouzit potom ?

linux, bsd, nejaky blackbox za mega...

iTomB

hmm, neni třeba rozdělovat nat a qos na různý mašiny. Zkoušel někdo z vás jak vytěžuje nat a jak qt? schodou okolností qt relativně o něco více ale ani jedno nemá na hlavního vyníka spotřeby výkonu a tím je mangle. Jo můžete mít 1000 natů ale nespapaji tolik co 1000 manglů a to vyznamně. Zakažte si schválně na bráně mangle a router bude nevytíženej :-) pak si to zapněte a uvidíte brutální nárůst zátěže. Tady musí nastoupit optimalizace manglů pokud nestačíte s výkonem a pak se jede vesele dál i na mikrotiku. Pak by počítám pro většinu ISPíků stačil i atom :-)

A proto mi shaper jede na serveru od supermicro s CPU ATOM (starsi model). No vcetne L7 to jede pekne, nejvetsi vytizeni CPU je DNS cache bind A to je server daleko vice volny nez vytizeny , rad bych to zkusil s timhle serverem az nekam k 300-400Mbit .