Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 2 subscribers
  • Views 7691 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

300Mb/s - is it possible?

brian213
I am looking at the Astaro ASL product for a pretty fat group of pipes and would like to know if anybody has done anything similar.

Where I'm looking at implementing the product is between a router and switch.  On the router I've got 3 (three) 100Mbit full-duplex circuits going in and out.

I am thinking that I could connect from the router to the firewall by a 1gig circuit and from the firewall to the switch via a 1gig circuit.

This is in a cabinet where everything would likely be on a DMZ.

In time I might want to implement an Internal Network via VLAN on the switch.  No need for VPN at this time and there are no internal "users".  All systems on this network are servers, mostly web and mail servers.

I need to be able to sustain traffic of at least 300Mb/s...best to not design a bottleneck into the net I figure.  What sort of system is going to be required to sustain this bandwidth?

Will the product handle this?  Anybody running a system with such bandwidth requirements?

Thanks!

-Brian


This thread was automatically locked due to age.
  • 0
    There is an interesting thread here talking about these things in relation to Linux's packet filtering system (which is what ASL uses).

    Basically, it's quite possible, esp with PCI-X, etc.

    However, I wouldn't expect Intrusion Protection to work at those speeds, and probably not VPN either.

    You can get a trial version and try it out yourself if you have fast enough hardware.

    Barry
  • 0 in reply to BarryG
    Also note that if you want to use the NAPI drivers you should use Intel nics and read  this thread.

    Barry
  • 0
    This is an interesting topic I am looking forward to hearing from others on.

    Obviously you will need Giga Nics; but the slow point in the equation is the PC's bus. I have read that PCI-X will get you there, but then it appears there are problems with some Astaro installs for PCI-X? (Re: IBM X336 nics not recognized in 5.1?). But Pyramid makes PCI-X and has done some Astaro OEM'ing.

    If you don't need the firewalling, then using a simple dedicated router will get you faster. I know you can get a solid 100MB, but 300 will take some quite exceptional hardware and some input from Astaro on tuning. You can forget about attaining that neighborhood of speed with encryption (until Astaro supports high-speed encryption boards...)

    Edit Note: Barry and my thread were submitted "concurrently"; note the similar opinions...
  • 0 in reply to SecApp
    Hi SecApp, FWIW, encryption boards are becoming passe, at least with block ciphers, because the PCI-whatever bus once again becomes the limiting factor.

    (I was looking at SSL accelerators for our webservers, but they're not recommended anymore if you have a system with fast CPUs).

    Some CPUs (VIA) are starting to include encrytion co-processors, but who knows if Intel or AMD will follow.

    Barry
  • 0 in reply to BarryG
    [ QUOTE ]
    There is an interesting thread here talking about these things in relation to Linux's packet filtering system (which is what ASL uses).

    Basically, it's quite possible, esp with PCI-X, etc.

    However, I wouldn't expect Intrusion Protection to work at those speeds, and probably not VPN either.

    You can get a trial version and try it out yourself if you have fast enough hardware. 

    [/ QUOTE ]Thanks for the info.  Hard to test it in a production environment...but would be smart to, I suppose.  Maybe I can get Astaro to come try it.  [:)]

    -Brian
  • 0 in reply to SecApp
    [ QUOTE ]
    This is an interesting topic I am looking forward to hearing from others on.

    [/ QUOTE ]So am I...  [:)]

    [ QUOTE ]
    Obviously you will need Giga Nics; but the slow point in the equation is the PC's bus. I have read that PCI-X will get you there, but then it appears there are problems with some Astaro installs for PCI-X?

    [/ QUOTE ]Yes, and since I'll have one in and one out, I'm thinking 2 FCs would work...gotta hope I can find something that will plug in to Cisco. [:)]

    [ QUOTE ]
    If you don't need the firewalling, then using a simple dedicated router will get you faster. I know you can get a solid 100MB, but 300 will take some quite exceptional hardware and some input from Astaro on tuning. You can forget about attaining that neighborhood of speed with encryption (until Astaro supports high-speed encryption boards...)

    [/ QUOTE ]
    What did you mean about a simple dedicated router?  I don't need the ASL to do ANY routing at all, that's what the router is to do.  A 7206 can certainly handle the routing.  All I need the ASL to do is pass or not pass traffic (I think).

    My plan at this point is mainly just IPS, and not much firewalling, if any.  The traffic is probably 70% http, 30% SMTP.  I don't think I'd be using any of the POP/SMTP features of ASL.  99% of all traffic is outbound (e-commerce related web traffic).  Right now I'm looking at about 80Mbps of usage, but have to be prepared for that to go up to what is possible (300Mbps).  It would not be a problem for me to get SMP 
    Xeon procs and PCI-X support.

    Is there possibly another product I should be looking at in addition to ASL?

    -Brian
  • 0 in reply to brian213
    You would be doing (static) routing on ASL. (between your different internal networks / DMZ / whatever.)

    However, that's the easy part (routing is simpler and faster than packetfiltering).
    So, if you don't have many rules, it should be fast.

    Any PC-hardware based firewall or router is going to have performance limits based on the bus speeds, so if you need something faster, you should consider a small hardware router, or maybe a layer-3 gigabit switch (less secure though).

    BTW, I forgot to mention it, but accounting isn't going to work either at those speeds. (disk would fill up, and processing would take too long.)

    Barry
  • 0 in reply to brian213
    For testing peak throughput, you can use iperf or similar, maybe with several simultaneous computers.

    You could also use http load testers, etc.
    I've happily used http_load ... simple to use... just give it an apache log file.

    Don't forget your servers may also be a bottleneck at those speeds.

    Barry
  • 0 in reply to BarryG
    [ QUOTE ]
    You would be doing (static) routing on ASL. (between your different internal networks / DMZ / whatever.)

    However, that's the easy part (routing is simpler and faster than packetfiltering).
    So, if you don't have many rules, it should be fast.

    Any PC-hardware based firewall or router is going to have performance limits based on the bus speeds, so if you need something faster, you should consider a small hardware router, or maybe a layer-3 gigabit switch (less secure though).

    [/ QUOTE ]
    You lost me again.  Where would the router/switch be in a diagram?  If I've already got a Cisco 7206VXR handing the 3 inbound 100Mb circuits and a 1GB feed from it to the ASL device, where's a router/switch needed?  I'd also have a 1GB port going to a Catalyst 2948G-L3 for the DMZ.

    [ QUOTE ]
    BTW, I forgot to mention it, but accounting isn't going to work either at those speeds. (disk would fill up, and processing would take too long.)

    [/ QUOTE ]Hee hee hee.  [;)]

    -Brian
  • 0 in reply to brian213
    I'm not saying you'd need a router, but that ASL would be doing static routing.

    e.g.
    Code:

    DMZ

        \

            ASL  WAN/Internet Router

        /

    INT
     
    In this example, ASL is doing static routing between 3 networks.

    You can view the static routes in ASL under Network - Routing - View Raw Kernel Routing Table.

    Barry
Cookie Information Banner