Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 2 subscribers
  • Views 7693 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

300Mb/s - is it possible?

brian213
I am looking at the Astaro ASL product for a pretty fat group of pipes and would like to know if anybody has done anything similar.

Where I'm looking at implementing the product is between a router and switch.  On the router I've got 3 (three) 100Mbit full-duplex circuits going in and out.

I am thinking that I could connect from the router to the firewall by a 1gig circuit and from the firewall to the switch via a 1gig circuit.

This is in a cabinet where everything would likely be on a DMZ.

In time I might want to implement an Internal Network via VLAN on the switch.  No need for VPN at this time and there are no internal "users".  All systems on this network are servers, mostly web and mail servers.

I need to be able to sustain traffic of at least 300Mb/s...best to not design a bottleneck into the net I figure.  What sort of system is going to be required to sustain this bandwidth?

Will the product handle this?  Anybody running a system with such bandwidth requirements?

Thanks!

-Brian


This thread was automatically locked due to age.
Parents
  • 0
    This is an interesting topic I am looking forward to hearing from others on.

    Obviously you will need Giga Nics; but the slow point in the equation is the PC's bus. I have read that PCI-X will get you there, but then it appears there are problems with some Astaro installs for PCI-X? (Re: IBM X336 nics not recognized in 5.1?). But Pyramid makes PCI-X and has done some Astaro OEM'ing.

    If you don't need the firewalling, then using a simple dedicated router will get you faster. I know you can get a solid 100MB, but 300 will take some quite exceptional hardware and some input from Astaro on tuning. You can forget about attaining that neighborhood of speed with encryption (until Astaro supports high-speed encryption boards...)

    Edit Note: Barry and my thread were submitted "concurrently"; note the similar opinions...
  • 0 in reply to SecApp
    [ QUOTE ]
    This is an interesting topic I am looking forward to hearing from others on.

    [/ QUOTE ]So am I...  [:)]

    [ QUOTE ]
    Obviously you will need Giga Nics; but the slow point in the equation is the PC's bus. I have read that PCI-X will get you there, but then it appears there are problems with some Astaro installs for PCI-X?

    [/ QUOTE ]Yes, and since I'll have one in and one out, I'm thinking 2 FCs would work...gotta hope I can find something that will plug in to Cisco. [:)]

    [ QUOTE ]
    If you don't need the firewalling, then using a simple dedicated router will get you faster. I know you can get a solid 100MB, but 300 will take some quite exceptional hardware and some input from Astaro on tuning. You can forget about attaining that neighborhood of speed with encryption (until Astaro supports high-speed encryption boards...)

    [/ QUOTE ]
    What did you mean about a simple dedicated router?  I don't need the ASL to do ANY routing at all, that's what the router is to do.  A 7206 can certainly handle the routing.  All I need the ASL to do is pass or not pass traffic (I think).

    My plan at this point is mainly just IPS, and not much firewalling, if any.  The traffic is probably 70% http, 30% SMTP.  I don't think I'd be using any of the POP/SMTP features of ASL.  99% of all traffic is outbound (e-commerce related web traffic).  Right now I'm looking at about 80Mbps of usage, but have to be prepared for that to go up to what is possible (300Mbps).  It would not be a problem for me to get SMP 
    Xeon procs and PCI-X support.

    Is there possibly another product I should be looking at in addition to ASL?

    -Brian
  • 0 in reply to brian213
    You would be doing (static) routing on ASL. (between your different internal networks / DMZ / whatever.)

    However, that's the easy part (routing is simpler and faster than packetfiltering).
    So, if you don't have many rules, it should be fast.

    Any PC-hardware based firewall or router is going to have performance limits based on the bus speeds, so if you need something faster, you should consider a small hardware router, or maybe a layer-3 gigabit switch (less secure though).

    BTW, I forgot to mention it, but accounting isn't going to work either at those speeds. (disk would fill up, and processing would take too long.)

    Barry
Reply
  • 0 in reply to brian213
    You would be doing (static) routing on ASL. (between your different internal networks / DMZ / whatever.)

    However, that's the easy part (routing is simpler and faster than packetfiltering).
    So, if you don't have many rules, it should be fast.

    Any PC-hardware based firewall or router is going to have performance limits based on the bus speeds, so if you need something faster, you should consider a small hardware router, or maybe a layer-3 gigabit switch (less secure though).

    BTW, I forgot to mention it, but accounting isn't going to work either at those speeds. (disk would fill up, and processing would take too long.)

    Barry
Children
  • 0 in reply to BarryG
    [ QUOTE ]
    You would be doing (static) routing on ASL. (between your different internal networks / DMZ / whatever.)

    However, that's the easy part (routing is simpler and faster than packetfiltering).
    So, if you don't have many rules, it should be fast.

    Any PC-hardware based firewall or router is going to have performance limits based on the bus speeds, so if you need something faster, you should consider a small hardware router, or maybe a layer-3 gigabit switch (less secure though).

    [/ QUOTE ]
    You lost me again.  Where would the router/switch be in a diagram?  If I've already got a Cisco 7206VXR handing the 3 inbound 100Mb circuits and a 1GB feed from it to the ASL device, where's a router/switch needed?  I'd also have a 1GB port going to a Catalyst 2948G-L3 for the DMZ.

    [ QUOTE ]
    BTW, I forgot to mention it, but accounting isn't going to work either at those speeds. (disk would fill up, and processing would take too long.)

    [/ QUOTE ]Hee hee hee.  [;)]

    -Brian
  • 0 in reply to brian213
    I'm not saying you'd need a router, but that ASL would be doing static routing.

    e.g.
    Code:

    DMZ

        \

            ASL  WAN/Internet Router

        /

    INT
     
    In this example, ASL is doing static routing between 3 networks.

    You can view the static routes in ASL under Network - Routing - View Raw Kernel Routing Table.

    Barry
  • 0 in reply to BarryG
    Ok, I think I got it. Thanks.   Haven't set anything up as I don't have ASL yet.  Want to find out if it's even worth trying before spending the time setting it up.  [:)]

    Is it possible to make ASL "invisible" like you can with a Netscreen, so routing on the LAN (to/through the ASL) isn't needed?

    -Brian
  • 0 in reply to brian213
    Not sure what you mean, but  you cannot run ASL as a bridge.

    You can do NAT and Proxy ARP, although they aren't really generally recommended unless you have no control over your IP scheme.

    Is your DMZ not on a different subnet than your internal network(s)?

    Normally, your gateway for your INT network would be the ASL internal interface, and for the DMZ would be the DMZ interface, ..., and Astaro automatically setups the static routing.
    All you need to do are enter a few IPs and create some rules to allow traffic between networks.

    Barry
  • 0 in reply to BarryG
    The DMZ and Internal net are both on the same LAN right now.  Though I would have no need for routing on between them at this point.

    No need for NAT.

    Sounds simple enough, but just thought it'd be nice to not burden the device with routing when it's not needed.  Not sure if it's a good feature or not, but it seems kinda nice to drop a NetScreen into a net and nothing changes on any of the boxes using that transparent mode or whatever they call it.

    -Brian
  • 0 in reply to brian213
    Sounds like some sort of bridging, which ASL doesn't do.

    If you want to use ASL, you'd need to create a new subnet, or divide the one you have into 2 subnets.

    Routing is fairly trivial; it's the packet filtering (firewall rules) that _can_ tend to slow things down if you have a lot of rules.

    Barry
  • 0 in reply to BarryG
    I think Brian213 is looking for an "IPS Gateway" type of arrangement. Just something to transparently screen traffic with snort_inline.
    My opinion is to just "roll your own". I initially was using an IPS system (before ASL had IPS) between my DSL router and ASL.
    It was an Pentium 200 with about 800 rules (I think) and would screen 1.5 Mbit with just 20% processor. No REAL difference in traffic throughput with and without.
    I'm not sure if snort_inline is multi-threaded or not but a stout 3.4EE GHz machine with 133MHz PCI-X should do the job.
    Especially if snort_inline is configured with one of the fast output schemas.
    Or am I way off here?
     A 64bit/133MHz bus is good for ~8500 Mbits, isn't it?
  • 0 in reply to JimmyM
    Jim...wish I had time to build and support a roll my own   ...you're probably right though.

    -Brian
Cookie Information Banner