Retourner aux forums || Retourner au forum Linux.general
Sachant que l'utilisation d'internet est je pense assez intensive, et le lien vers l'extérieur est sans doute dans les 100Mb.
On nous conseille une machine neuve qui coûte dans les 1000 ¤ (je n'ai pas les specs). Je pensais pour ma part qu'une machine de récupération (on a ce qu'il faut), pourrait suffire.
Vos avis ? Expériences ?
Merci.
« La clé d'une langue commune, perdue dans la Tour de Babel, peut être seulement construite par l'usage de l'Espéranto. » Jules Verne.
Attention quand même au sous-dimensionnement...
Je n'ai pas de chiffres sous la main, mais je pense qu'il vaut mieux prendre une machine relativement récente vu le débit (100 Mb/s, ce n'est pas négligeable), surtout s'il y a beaucoup de règles de firewall. La gestion du NAT et de protocoles un peu "tordus" qui nécessitent des traitements spécifiques (FTP en mode actif, H.323, etc.) impose également un surcroit de travail non négligeable.
Pour 100 Mb/s, je tablerais plus sur une machine de type Pentium à 1.5 Ghz qu'un Pentium 200 Mhz.
Au fait, quel système comptes-tu installer ? Linux, un *BSD, autre ?
Au fait, il y a des cartes réseaux qui font du calcul de checksum TCP et autres en hardware, ça peut être intéressant d'utiliser de telles cartes pour décharger la CPU de la machine.
-
[^]Re: Attention quand même au sous-dimensionnement...
Posté par crazypops () le 03/03/2005 à 17:13. (lien). Évalué à 3.Voici un lien tres interssant traitant des cartes ethernet sous linux:
http://www.fefe.de/linuxeth/
L'auteur y precise meme si la carte propose le checksum tcp en hardware-
[^]Re: Attention quand même au sous-dimensionnement...
Posté par galactikboulay () le 03/03/2005 à 17:28. (lien). Évalué à 1.Excellent ce lien, j'étais justement à la recherche d'infos pour le multicast, où il est préférable d'avoir une carte capable d'écouter simultanément sur pas mal de groupes. En effet, au niveau IP, les adresses multicast vont de 224.0.0.0 à 239.255.255.255 et les 23 derniers bits sont utilisés pour générer l'adresse ethernet multicast.
Du coup je te pertinente allégremment pour ce lien super utile! :)
-
-
[^]Re: Attention quand même au sous-dimensionnement...
Posté par Bouil (Jabber id, page perso, ) le 03/03/2005 à 18:58. (lien). Évalué à 2.Je présise donc que a priori, il n'y aura pas de NAT à faire.
Mon avis naïf sur la question, c'est que étant donné que le parefeu est une tache dans le noyau, que justement y a pas de NAT à faire, et que la machine sera dédiée à ce pare-feu et à rien d'autre, une petite machine est suffisante, avec un petit disque de récup (éventuellement si on veut faires bien les choses 2 petit disques, monté en RAID)...
Mon Linux à la maison (Athlon XP 1800+) s'en sort pas trop mal pour faire le NAT sur les....^W le poste qui est derrière... mais je n'ai pas d'expérience sur un réseau plus conséquent.--
« La clé d'une langue commune, perdue dans la Tour de Babel, peut être seulement construite par l'usage de l'Espéranto. » Jules Verne.-
[^]Re: Attention quand même au sous-dimensionnement...
Posté par Matthieu Moy (page perso, ) le 03/03/2005 à 22:34. (lien). Évalué à 3.Pour le disque, t'em** pas, si c'est juste pour faire firewall, le disque ne va servir qu'au moment du boot. Ensuite, tu n'as rien de gourmand en mémoire, donc, ça va pas swapper, et tu n'a pas de nouvelles applies a lancer.
Un live-CD peut être une bonne idée pour ce genre de machine.
-
Attention au sur-dimensionnement ;)
Calcul tout à fait pifométrique :
- une trame ethernet = ~1ko
- 100Mbps : ~12500 trames/sec max
- hypothèse pessimiste n°1 : pour chaque trame, le système teste les 4 champs intéressants : @source, @destination, port source, port destination.
- hypothèse super pessimiste n°2 : les trames sont testées avec chaque règle du firewall. Super pessimiste étant donné que le fonctionnement d'un firewall, en général, est d'appliquer la première règle qui colle.
Avec une moyenne de 10 règles par chaînes. Avec iptables (linux 2.4 et plus), tu as 3 chaînes : une pour chaque interface (une tournée vers internet, l'autre vers le LAN) et une globale pour la machine :
Soit :
12 500 trames x 4 champs x 10 règles x 3 chaines = 1 500 000 tests/sec
Même si le calcul est pifométrique, les ordres de grandeur me semblent corrects et les hypothèses très pessimistes (à part peut-être sur le nombre de règles, mais là, c'est vraiment trop variable d'un firewall à l'autre).
Résultat pifométrique: je vote pour le pentium 200.
Voilà mon avis, mais argumenté ;-)
-
[^]Re: Attention au sur-dimensionnement ;)
Posté par Maxime (Jabber id, ) le 03/03/2005 à 17:05. (lien). Évalué à 2.Lol.
Je ne sais pas du tout ce qu'il faudrai comme machine mais personnelement je peux vous garantir que mon pentium 200 fait très bien son boulot pour mes 2 ordis clients :)
Je sais pas si tu as le temps ou si l'argent est vraiment important etc... Mais le mieu je pense c'est que tu prennes une machine de recup mais assez recente quand meme genre PII ou PIII et là tu fais quelques tests (pas forcement avec le vrai reseau si ca pose trop de probleme mais juste en testant avec une 10 aine à fond dessus et en regardant ce que ca consomme déjà...)
En tout cas une chose est sur, pour moi si ton serveur ne fait qu'appliquer des regles iptables, qu'il n'y ai rien d'autre comme service important dessus, 1000Euros c un peu exageré... (avec 500 tu peux t'en tirer avec un très bon truc je pense)
-
[^]Re: Attention au sur-dimensionnement ;)
Posté par galactikboulay () le 03/03/2005 à 17:40. (lien). Évalué à 1.La taille de trame moyenne est en générale estimée à 256 octets plutôt que 1 Ko (ce qui est optimiste comme valeur).
Ton calcul ne me semble pas erroné dans l'idée, mais si il y a du NAT à gérer c'est plus complexe: il faut maintenir une table de translation en mémoire (en général, une table de hashage), et la réécriture des paquets n'est pas triviale. Ajouter à cela la gestion des protocoles spéciaux comme H.232 ou FTP où il faut aller plus en profondeur dans la trame.
Tout cela étant dit, je n'ai vraiment aucune certitude sur le matériel adéquat - j'ai proposé le pentium à 1.5 Ghz au feeling d'après mon expérience ;)
Ca serait intéressant que qqn qui a déjà mis en place ce genre de solutions pour des débits assez élevés fasse part de son expérience.
-
[^]Re: Attention au sur-dimensionnement ;)
Posté par syntaxerror () le 04/03/2005 à 09:39. (lien). Évalué à 2.J'suis assez d'accord avec ton pifomètre ;-)
J'ai longtemps eu un desktop P75 de récup, puis au passage en 100Mbps un P200.
Eh bien le facteur limitant n'était pas le CPU mais bien la vieillerie de la machine
et donc le mauvais support hardware des cartes réseau récentes.
Maintenant j'ai un serveur PIII 800MHz avec des cartes réseau estampillées "server"
et ça débite (mais pas de NAT).
Les cartes dites "desktop" sont à proscrire. 'tention au eepro100, ya plein de chipsets différents.
Le disque ne sert en gros qu'au logging (conséquent).
Une ch'tite config suffit !
Chez moi, j'ai un pentium MMX 166 monté en firewall/routeur.
J'ai installé un petit ipcop dessus, il dispose de deux cartes réseaux, et dessert les 3/4 pc de la maison sans broncher ! J'ai même envisagé de le downclocker pour gagner le bruit d'un ventilo...
Au boulot, on a une config plus importante sur laquelle est monté un AMON. Je n'ai pas la config en tête, mais si ça t'intéresse, je pourrais regarder demain la config exacte.
Dans les deux cas, y'a un max de RAM. A la maison, il y a 128Mo, ce qui est énorme quand on voit la liste des process qui tournent :
un ps x reporte :
pppd
crond
httpd
dhcpd
sshd
squid
et c'est tout.....
Les autres process sont pour le kernel, pas de quoi foueter un chat.
En voilà le load average au moment où j'écris ces lignes :
load average: 0.08, 0.04, 0.02
Evidement, ça ne dessert pas 150 machines, mais je suis quand même en réseau 100Mo/ADSL 1M.
Au boulot, y'a une centaine de postes, et une ligne adsl 2M.
Je détaillerai la machine demain.
All articles which are excluded shall be deemed included
Tous les articles exclus sont considérés inclus
--Brian de Palma in Phantom of the Paradize
-
[^]Re: Une ch'tite config suffit !
Posté par Bouil (Jabber id, page perso, ) le 04/03/2005 à 09:36. (lien). Évalué à 2.Merci, j'attends avec impatience les détails de la machine au boulot :-)
--
« La clé d'une langue commune, perdue dans la Tour de Babel, peut être seulement construite par l'usage de l'Espéranto. » Jules Verne.-
[^]Re: Une ch'tite config suffit !
Posté par Gyro Gearllose () le 04/03/2005 à 10:14. (lien). Évalué à 2.La config du boulot :
Intel(R) Pentium(R) 4 CPU 2.40GHz
256 Mo de RAM
DD 80Go.
C'est un powerEdge650 de base.
Y'a deux cartes réseaux, et ça marche très bien. Ca ne fait pas de nat (enfin pas que je sache), mais ça fait du squid à outrance, du snort, du ssh, enfin, plein de choses, sans broncher pour la centaine de micros.
Evidement, il est sous Linux. C'est un AMON [1].
Après, ça dépend vraiment de l'utilisation que vous en ferez, mais à mon avis, la config ci-dessus est _très_ largement surdimensionnée.
Pour preuve la sortie suivante sur cette machine :
$ uptime
11:12am up 241 days, 3:44, 1 user, load average: 1.30, 1.35, 1.01
L'est bien trop stressée l'bestiau !!!!
Voilà. A défaut de raconter ma vie, j'espère que tout ça vous aidera à faire un choix.
[1] : http://eole.orion.education.fr/diff/rubrique.php3?id_rubrique=4(...)--
All articles which are excluded shall be deemed included
Tous les articles exclus sont considérés inclus
--Brian de Palma in Phantom of the Paradize
-
Revenir en haut de page || Retourner aux forums || Retourner au forum Linux.general
Cette page a été générée par Templeet en 0.0706s (dont 0.007 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.