Forum » Omrežja in internet » Cisco 1710 usmerjevalnik in internet hitrejši od 10Mbps?
Cisco 1710 usmerjevalnik in internet hitrejši od 10Mbps?
Surfar ::
Lep pozdrav, za 50 računalnikov v našem omrežju imamo Cisco 1710 usmerjevalnik, nanj pa je prikjučen 2Mbit/128kbit internet. Sedaj bi nadgradili hitrost (ponudnik telekom) na 16M/1M, pa so nam z arnesa sporočili da bi morali menjat tudi ta usmerjevalnik, saj ne zmore takšne hitrosti, in da bi bil max. paket, ki ga še prebavi 8M/1M in da biza 16/1 rabili Cisco 1840 router.
Ali to drži?
Ali to drži?
Spc ::
Jaz še vedno prisegam na x86 based routerje z kakšnim server os-om.
Narediš skupaj en server z nekje 2GHz processorjem, 2GB rama in uporabiš naslednje os-e: redhat enterprise linux, OpenBSD, Windows Server 2003, Windows Server 2008, FreeBSD .. itd itd.
Noter namečeš dve intelovi gigabitni mrežni in si končal.
Takšna konfiguracija ti bo držala še par 20 let kajti ko pride nov standard samo mrežne zamenjaš magari z 10GbE in je stvar končana.. pri routerjih pa moraš vsakih tolko let menjat celoten router kot enoto in je ne moreš nadgradit.
Narediš skupaj en server z nekje 2GHz processorjem, 2GB rama in uporabiš naslednje os-e: redhat enterprise linux, OpenBSD, Windows Server 2003, Windows Server 2008, FreeBSD .. itd itd.
Noter namečeš dve intelovi gigabitni mrežni in si končal.
Takšna konfiguracija ti bo držala še par 20 let kajti ko pride nov standard samo mrežne zamenjaš magari z 10GbE in je stvar končana.. pri routerjih pa moraš vsakih tolko let menjat celoten router kot enoto in je ne moreš nadgradit.
aleksander10 ::
SPC: Počasi z takimi izjavami, ker če bi bilo to res kar ti praviš bi več ali manj vsi tako delal.
IziG: Glede na to, da greste na 16/, bo 1710 malo premalo glede na servise, ki jih boste imeli vključene (NAT, SPI FW,, itd). Glede, da ne delate nikaršnega BGP-ja, bi bili mogoče dobro razmisliti o Cisco ASA 5510. Perfektna napravica.
IziG: Glede na to, da greste na 16/, bo 1710 malo premalo glede na servise, ki jih boste imeli vključene (NAT, SPI FW,, itd). Glede, da ne delate nikaršnega BGP-ja, bi bili mogoče dobro razmisliti o Cisco ASA 5510. Perfektna napravica.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
Poldi112 ::
x86 škatle tudi v sanjah ne dosegajo takšne zanesljivosti kot namenske škatlice. Plus da žrejo precej več elektrike...
In ti res misliš da bo v par letih iz 16Mb prišel na 10Gb? Pa tudi če bi, nekako dvomim da bi serverju uspelo usmerjati 10Gb prometa.
In ti res misliš da bo v par letih iz 16Mb prišel na 10Gb? Pa tudi če bi, nekako dvomim da bi serverju uspelo usmerjati 10Gb prometa.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Spc ::
http://www.intel.com/Products/Server/Adapters/10-Gb-AF-DA-DualPort/10-Gb-AF-DA-DualPort-overview.htm
To verjetno lahko komot usmerja 10GbE promet.
To verjetno lahko komot usmerja 10GbE promet.
jype ::
Spc> To verjetno lahko komot usmerja 10GbE promet.
Verjetno?
Nikakor ne. 10GbE pri normalni uporabi pogoltne ~milijon paketov na sekundo. "Na internetu" še bistveno več. x86 strežniki se tipično zlomijo nekje pri polovici te vrednosti.
Seveda se da, ampak za to je treba vso reč precej previdno sestaviti skupaj, izbrati ustrezen OS ter ustrezno nastaviti tudi programje.
IziG> Ali to drži?
Glede na to da se šlepate na Arnes - da. Oni imajo take zahteve, ker jim to močno poenostavi upravljanje z omrežjem. Če se odločiš za komercialnega ponudnika, te težave izginejo (je pa treba plačati internet).
Verjetno?
Nikakor ne. 10GbE pri normalni uporabi pogoltne ~milijon paketov na sekundo. "Na internetu" še bistveno več. x86 strežniki se tipično zlomijo nekje pri polovici te vrednosti.
Seveda se da, ampak za to je treba vso reč precej previdno sestaviti skupaj, izbrati ustrezen OS ter ustrezno nastaviti tudi programje.
IziG> Ali to drži?
Glede na to da se šlepate na Arnes - da. Oni imajo take zahteve, ker jim to močno poenostavi upravljanje z omrežjem. Če se odločiš za komercialnega ponudnika, te težave izginejo (je pa treba plačati internet).
Bakunin ::
aleksander10
res je da namenske naprave (juniper M10, cisco 65xx/7xx) zmore vec kot x86, ampak je razlika v ceni OGROMNA. Ze navaden PIII zmore vec kot kaksen 28xx Cisco, da ne govorimo se o dodatnih funkcijah, ki jih lahko imas na taksni skatli in to vse za delcek cene, ki bi jo sicer dal za strojno ter programsko opremo (niso vsi IOS opremljeni z vsem kar rabis - BGP, Ip plus,....).
res je da namenske naprave (juniper M10, cisco 65xx/7xx) zmore vec kot x86, ampak je razlika v ceni OGROMNA. Ze navaden PIII zmore vec kot kaksen 28xx Cisco, da ne govorimo se o dodatnih funkcijah, ki jih lahko imas na taksni skatli in to vse za delcek cene, ki bi jo sicer dal za strojno ter programsko opremo (niso vsi IOS opremljeni z vsem kar rabis - BGP, Ip plus,....).
Surfar ::
jype, saj sedaj tudi plačujemo telekomu cca 50 evrov za 2mbit/768kbit, smo namreč javni zavod... Malo me skrbi zaradi cene novega routerja, ker že tako ali tako varčujemo in mislim da nov router ne bo šel skozi... Samo cene so pa divje za te routerje... Torej bo treba vzet paket 8/1, ki pa stane pri telekomu le 7 evrov manj na mesec kot 16/1. Šment, zakaj pred 5 leti niso vzeli raje kakšnega zmogljivejšega routerja, tudi ta kolikor gledam ni bil ravno poceni...
trnvpeti ::
in kaj bos dal na x86(kateri os), da bos imel v redu QoS(pfsense in monowall takoj odpadeta)?
kako bos vzdrzeval masino, disk?
poraba elektrike proti namenski napravi?
za 16m linijo lahko pogledas po cenejsi draytek opremi recimo
kako bos vzdrzeval masino, disk?
poraba elektrike proti namenski napravi?
za 16m linijo lahko pogledas po cenejsi draytek opremi recimo
Spc ::
Ok če se zlomi potem pa mi razloži zakaj sploh delajo 10GbE mrežne ?
Torej potem takem ta PCIe ali pa neka PCI-X mrežna ne more prebavit 10GbE ?
Torej potem takem ta PCIe ali pa neka PCI-X mrežna ne more prebavit 10GbE ?
trnvpeti ::
ze imas en zadetek
lahko pa se naprej ugibas
oziroma, 10Gb mrezna na PCI oz PCI-X
povlecem nazaj, se mrezna ne bo uspela toliko prenesti
lahko pa se naprej ugibas
oziroma, 10Gb mrezna na PCI oz PCI-X
povlecem nazaj, se mrezna ne bo uspela toliko prenesti
urarrr ::
in kaj če ste javni zavod..
pa ljudje božji danes je leto 2009...že vsak tadrugi otrok ima doma 20/20 optiko.
vzami priključek ok komercialnega ponudnika bo ceneje in hitreje. ni najta linija, ampak vseeno deluje optiko 20/20 če se da, če ne pa vdsl..arnes je povozil čas.
router kaj pa vse rabiš da dela ta zadeva in koliko folka je gor oz kake storitve uporabljajo...server je ok...samo ga ne bo mel kdo naštelati..oz. to se plača samo pol pa ne ne bo nikogar ki bi to upravljal oz vzdrževal...,
zaradi enostavnosti uporabe raje cisco ... lahko pa tudi kaj ceneje če vas ni cela armija v mreži seveda
lp
pa ljudje božji danes je leto 2009...že vsak tadrugi otrok ima doma 20/20 optiko.
vzami priključek ok komercialnega ponudnika bo ceneje in hitreje. ni najta linija, ampak vseeno deluje optiko 20/20 če se da, če ne pa vdsl..arnes je povozil čas.
router kaj pa vse rabiš da dela ta zadeva in koliko folka je gor oz kake storitve uporabljajo...server je ok...samo ga ne bo mel kdo naštelati..oz. to se plača samo pol pa ne ne bo nikogar ki bi to upravljal oz vzdrževal...,
zaradi enostavnosti uporabe raje cisco ... lahko pa tudi kaj ceneje če vas ni cela armija v mreži seveda
lp
LP Urarrr
trnvpeti ::
vzami se eno(vsaj) komercialno linijo(zraven arnesove)
pa load balancing router(2xwan, ali pa celo 3x oz 4x wan router)
pa load balancing router(2xwan, ali pa celo 3x oz 4x wan router)
Spc ::
oziroma, 10Gb mrezna na PCI
Ne zaj PCI tu mešat..
PCI vemo, da več kot 125MB/s ni zmožen govorim o PCI-X in PCIe x8.
Poldi112 ::
Problem je po mojem pretežno v procesorski moči za izvajanje routanja. Ni problem imeti 10G v enem file serverju, problem je imeti to v routerju - ker vsak paketek odpreti, pogledati kam mora iti, ugotoviti kam ga na podlagi naslova poslati, izračunati checksum, ga zapakirati nazaj v nov paketek in poslati naprej.
Zato recimo so switchi toliko hitrejši. Ne delajo praktično nič drugega kot premikajo podatke iz enega porta na drugega.
Zato recimo so switchi toliko hitrejši. Ne delajo praktično nič drugega kot premikajo podatke iz enega porta na drugega.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Bakunin ::
http://wiki.quagga.net/index.php/Main/F...
Q: I want to push 100mbit/1/10GE through my box, what pci/cpu should I use? (^)
A: It's not really a Quagga question, but it's been asked from time to time on #quagga, so let's cite:
http://wiki.quagga.net/index.php/Main/H...
Q: I want to push 100mbit/1/10GE through my box, what pci/cpu should I use? (^)
A: It's not really a Quagga question, but it's been asked from time to time on #quagga, so let's cite:
<Scrye> pci-e > pci-x > pci 64bit > pci 32bit <Scrye> 500mbps for pci 32, 1000 for pci64/66, 1000 full duplex for pci-x-100/133 and 2gig pcie x1, 4gig pcie-x4, 10gig pciex8 10gig full pci-x16 <Scrye> roughly <glut> Scrye: and what about cpu that handles stuff? <Scrye> ghz per gigabit <Scrye> glut : one of those new quad core xeons should beable to handle a 10 gigabit feed
http://wiki.quagga.net/index.php/Main/H...
Zgodovina sprememb…
- spremenil: Bakunin ()
Spc ::
Torej če kupim nehalema 3.2GHz in 32GB rama ne more routeat 1GB povezave ?
to nebo nekak štimalo.
to nebo nekak štimalo.
trnvpeti ::
za 1.000.000 povezav rabis kaksnih 2G rama
vsi x86 so namenjeni bolj multimedijskim vsebinam
kaksen namenski cpu za routerje, 200mhz pozre kaksnih 60M linijo
sicer pa probaj z 3.2Ghz za 1G mrezo
pa se zanima me, kateri OS bo pozrl 1.000.000 povezav na x86 procesorju
vsi x86 so namenjeni bolj multimedijskim vsebinam
kaksen namenski cpu za routerje, 200mhz pozre kaksnih 60M linijo
sicer pa probaj z 3.2Ghz za 1G mrezo
pa se zanima me, kateri OS bo pozrl 1.000.000 povezav na x86 procesorju
jype ::
trnvpeti> pa se zanima me, kateri OS bo pozrl 1.000.000 povezav na x86 procesorju
?
Vsaj Linux in FreeBSD brez težav, preizkušeno. Milijon povezav je bilo veliko v časih, ko se pomnilnik še ni meril v gigabajtih.
Spc> Torej če kupim nehalema 3.2GHz in 32GB rama ne more routeat 1GB povezave ?
Odvisno, kaj po tej povezavi potuje. Če to ~80MB/s dns zahtevkov in odgovorov, potem bo taka mašina precej obremenjena (ram pa neizkoriščen).
?
Vsaj Linux in FreeBSD brez težav, preizkušeno. Milijon povezav je bilo veliko v časih, ko se pomnilnik še ni meril v gigabajtih.
Spc> Torej če kupim nehalema 3.2GHz in 32GB rama ne more routeat 1GB povezave ?
Odvisno, kaj po tej povezavi potuje. Če to ~80MB/s dns zahtevkov in odgovorov, potem bo taka mašina precej obremenjena (ram pa neizkoriščen).
trnvpeti ::
mislil sem namenski OS, ki ga lahko dobis in je dokaj enostaven za uporabo(recimo pfsense,...)
preizkusil si z linuxom routat 1.000.000 povezav?
no, potem bos pa mirodajen, in povej kaksen hw, sw si uporabljal
preizkusil si z linuxom routat 1.000.000 povezav?
no, potem bos pa mirodajen, in povej kaksen hw, sw si uporabljal
jype ::
trnvpeti> no, potem bos pa mirodajen, in povej kaksen hw, sw si uporabljal
Dva (stara, p4-based) Xeona in 4GB pomnilnika, pa intel MT gigabitke na PCI-X. Linux 2.6 z netfilter in FreeBSD 6 z ipfw.
Dva (stara, p4-based) Xeona in 4GB pomnilnika, pa intel MT gigabitke na PCI-X. Linux 2.6 z netfilter in FreeBSD 6 z ipfw.
tony1 ::
Lep pozdrav, za 50 računalnikov v našem omrežju imamo Cisco 1710 usmerjevalnik, nanj pa je prikjučen 2Mbit/128kbit internet. Sedaj bi nadgradili hitrost (ponudnik telekom) na 16M/1M, pa so nam z arnesa sporočili da bi morali menjat tudi ta usmerjevalnik, saj ne zmore takšne hitrosti, in da bi bil max. paket, ki ga še prebavi 8M/1M in da biza 16/1 rabili Cisco 1840 router.
Ali to drži?
Najprej: v resnem produkcijskem okolju se z x86 serverji namesto routerjev ne bo nihče ukvarjal.
Drugič: kaj za vraga ima Arnes zraven tvojega routerja? Naroči hitrejšo povezavo in boš videl kako bo... Moj glas gre, da bo vse delovalo b.p. Če res ne bo, boš pa šele potem razmišljal o drugem routerju... Hujšega, kot da del povezave ne bo izkoriščen, se pa tako ne more zgoditi :-P
trnvpeti ::
jype , to ne bo slo skozi
sem pogledal po svoji dokumentaciji
2.2 dual core, 2G rama, 2.6 linux, giga mrezne kartice
100.000 povezav, 100M internet, 400 uporabnikov
pa je KOMAJ sfolgalo
sem iskal tudi po internetu, na svedskem, lan party, freebsd, 1G mreza, athlon 1.7, 1G rama
pa so prisli malo preko 118M
za 1.000.000 povezav, to preprosto ne bo slo, vsaj z x86 ne
sem pogledal po svoji dokumentaciji
2.2 dual core, 2G rama, 2.6 linux, giga mrezne kartice
100.000 povezav, 100M internet, 400 uporabnikov
pa je KOMAJ sfolgalo
sem iskal tudi po internetu, na svedskem, lan party, freebsd, 1G mreza, athlon 1.7, 1G rama
pa so prisli malo preko 118M
za 1.000.000 povezav, to preprosto ne bo slo, vsaj z x86 ne
jype ::
grep ESTABLISHED /proc/net/ip_conntrack | wc -l je vrnil 1.2 mio
Razen če ti misliš kakšne druge vrste povezav.
trnvpeti> 2.2 dual core, 2G rama, 2.6 linux, giga mrezne kartice
trnvpeti> 100.000 povezav, 100M internet, 400 uporabnikov
trnvpeti> pa je KOMAJ sfolgalo
?
Jaz imam single 2.4GHz p4 based xeon, 512M rama, ta trenutek 80k vzpostavljenih povezav, ne vem sicer če je 400 uporabnikov, je pa zadaj 500+ mašin.
100M internet, Linux 2.6, load je 0.06, v mašini je tole (4GE trunk do switcha, iz katerega gre naprej optika po bajti, 2GE trunk do switcha, kamor so priključeni "podnajemniki" v bajti, en "onboard" GE je pa do uplinka):
fw:~ # lspci | grep Eth
0000:03:01.0 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:03:01.1 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:03:03.0 Ethernet controller: Intel Corp. 82545EM Gigabit Ethernet Controller (Copper) (rev 01)
0000:04:01.0 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:04:01.1 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:04:02.0 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:04:02.1 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
Razen če ti misliš kakšne druge vrste povezav.
trnvpeti> 2.2 dual core, 2G rama, 2.6 linux, giga mrezne kartice
trnvpeti> 100.000 povezav, 100M internet, 400 uporabnikov
trnvpeti> pa je KOMAJ sfolgalo
?
Jaz imam single 2.4GHz p4 based xeon, 512M rama, ta trenutek 80k vzpostavljenih povezav, ne vem sicer če je 400 uporabnikov, je pa zadaj 500+ mašin.
100M internet, Linux 2.6, load je 0.06, v mašini je tole (4GE trunk do switcha, iz katerega gre naprej optika po bajti, 2GE trunk do switcha, kamor so priključeni "podnajemniki" v bajti, en "onboard" GE je pa do uplinka):
fw:~ # lspci | grep Eth
0000:03:01.0 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:03:01.1 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:03:03.0 Ethernet controller: Intel Corp. 82545EM Gigabit Ethernet Controller (Copper) (rev 01)
0000:04:01.0 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:04:01.1 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:04:02.0 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
0000:04:02.1 Ethernet controller: Intel Corp. 82546EB Gigabit Ethernet Controller (Copper) (rev 01)
Zgodovina sprememb…
- spremenilo: jype ()
trnvpeti ::
odpre, established, ne time wait, closed ipd
skoda, da nimam vec tam masine
nekaj mi ne gre skupaj s tabo :)
skoda, da nimam vec tam masine
nekaj mi ne gre skupaj s tabo :)
Zgodovina sprememb…
- spremenil: trnvpeti ()
imagodei ::
tony1> "Najprej: v resnem produkcijskem okolju se z x86 serverji namesto routerjev ne bo nihče ukvarjal."
V zelo resnem produkcijskem okolju se bodo zelo verjetno ukvarjali prej z x86 serverji, kot pa z namenskimi routerji. Pravzaprav verjetno kar z obema, tam kjer je varnost izjemnega pomena.
Vojska, npr. ima več kot en x86 in/ali namenski router med LAN in internetom. Pa še marsikatera ustanova, kjer se jim varnost zdi dovolj pomembna.
V zelo resnem produkcijskem okolju se bodo zelo verjetno ukvarjali prej z x86 serverji, kot pa z namenskimi routerji. Pravzaprav verjetno kar z obema, tam kjer je varnost izjemnega pomena.
Vojska, npr. ima več kot en x86 in/ali namenski router med LAN in internetom. Pa še marsikatera ustanova, kjer se jim varnost zdi dovolj pomembna.
- Hoc est qui sumus -
Senitel ::
odpre, established, ne time wait, closed ipd
skoda, da nimam vec tam masine
nekaj mi ne gre skupaj s tabo :)
Sicer bo tole zelo n00b komentar, ker s takimi enterprise zadevami nisem ukvarjal...
Ampak ali ne bo večji problem CPU čas, ko paketki dejansko prihajajo na router, kot pa samo koliko povezav bo router lahko držal v routing tabelah (RAM)? Torej koliko paketkov/s sproducirajo tvoji uporabniki, da ne primerjata z jype preveč različnega profila uporabe.
jype ::
Glede na to da je trnvpeti omenil lan party seveda verjamem, da je mašina počepnila prej - tam gre praviloma za ogromne količine majhnih UDP paketov in ne za običajno mešanico DNSa, HTTPja, poštnih protokolov in streaming spletnih radiev in video posnetkov, kjer so paketi v večini veliki in jih je manj (in se prej zapolni uplink kot CPU na routerju).
trnvpeti ::
ja jype, ce imas taksne povezave, dns, http,....
potem ne verjamem da si prisel do 1.000.000
sploh pa ne na 100M mrezi
kot je rekel senitel, je isto, ce meris koliko imas hkratnih, established povezav, itak jih je moral cpu obdelati prej, potem jih pa drzi v routing tabelah
kar je pa wait, closed, se pa samo ram kuri in caka na ponovno(ce sploh) vzpostavitev
potem moras se racunati na QoS, posebej na 100M ali pa celo 1G internet mrezni povezavi
ponavadi se ne dela vec samo routing
in tudi QoS zre nekaj(vec) cpu
pac po mojih izkusnjah, je tezko z x86 masino (za 1G)
za 10G, pa ne vem :)
je pa nekdo omenil deneba na 3.2, pa 1G mrezno
ce lahko, naj sproba :)
vendar naj orng proba, recimo kaksen udp promet, ali pa nalozi 50 torrent clientov, pa bo vsak kaksnih 1000-2000 povezav naredil, bo prisel recimo do 100.000, pa naj samo proba na 100M mrezi
pol pa lahko samo mnozi z 10
potem ne verjamem da si prisel do 1.000.000
sploh pa ne na 100M mrezi
kot je rekel senitel, je isto, ce meris koliko imas hkratnih, established povezav, itak jih je moral cpu obdelati prej, potem jih pa drzi v routing tabelah
kar je pa wait, closed, se pa samo ram kuri in caka na ponovno(ce sploh) vzpostavitev
potem moras se racunati na QoS, posebej na 100M ali pa celo 1G internet mrezni povezavi
ponavadi se ne dela vec samo routing
in tudi QoS zre nekaj(vec) cpu
pac po mojih izkusnjah, je tezko z x86 masino (za 1G)
za 10G, pa ne vem :)
je pa nekdo omenil deneba na 3.2, pa 1G mrezno
ce lahko, naj sproba :)
vendar naj orng proba, recimo kaksen udp promet, ali pa nalozi 50 torrent clientov, pa bo vsak kaksnih 1000-2000 povezav naredil, bo prisel recimo do 100.000, pa naj samo proba na 100M mrezi
pol pa lahko samo mnozi z 10
Zgodovina sprememb…
- spremenil: trnvpeti ()
Mr.B ::
Najprej definirajte, kaj si vsak predstavlja kaj je con/s, šele potem pa kakšen promet furaš skozi.. Drugače pa sem nekje na žur*** enkrat v eni temi našel sledeči opis kaj se pravi prepustnsot :
Jedna ljudska stanica sadrži oko 75 MB genetskih informacija unutar
DNK. Jedan spermatozoid sadrži polovicu genetskih informacija, što će
reći oko 37.5 MB.
U jednom mililitru sperme nalazi se oko 100 milijuna spermatozoida.
Prosječna ejakulacija muškarca traje 5 sekundi i sadrži oko 2.25 ml
sperme. Iz svega navedenog slijedi da propusna sposobnost muškog
spolnog organa iznosi:
37,5 MB x 100.000.000.000 x 2,25)/5 =
(39 321 600 bajtova po spermatozoidu x 100.000.000.000 spermatozoida
po ml x 2,25 ml) u pet sekundi =
1.769.472.000.000.000 bajtova u sekundi =
1609,33 terabajta u sekundi.
Dobijemo, znači, da ženska jajna stanica izdržava DDoS napad od više
od tisuću i pol terabajta u sekundi i pri tom propušta samo jedan,
izabrani paket informacija.
Po tome se da zaključiti da je jajna stanica neusporedivo najbolji
hardverski firewall koji postoji na Zemlji!
Problem je što izbrani jedan paket informacija koji taj Firewall
propusti blokira cijeli sustav na 9 mjeseci!
Jedna ljudska stanica sadrži oko 75 MB genetskih informacija unutar
DNK. Jedan spermatozoid sadrži polovicu genetskih informacija, što će
reći oko 37.5 MB.
U jednom mililitru sperme nalazi se oko 100 milijuna spermatozoida.
Prosječna ejakulacija muškarca traje 5 sekundi i sadrži oko 2.25 ml
sperme. Iz svega navedenog slijedi da propusna sposobnost muškog
spolnog organa iznosi:
37,5 MB x 100.000.000.000 x 2,25)/5 =
(39 321 600 bajtova po spermatozoidu x 100.000.000.000 spermatozoida
po ml x 2,25 ml) u pet sekundi =
1.769.472.000.000.000 bajtova u sekundi =
1609,33 terabajta u sekundi.
Dobijemo, znači, da ženska jajna stanica izdržava DDoS napad od više
od tisuću i pol terabajta u sekundi i pri tom propušta samo jedan,
izabrani paket informacija.
Po tome se da zaključiti da je jajna stanica neusporedivo najbolji
hardverski firewall koji postoji na Zemlji!
Problem je što izbrani jedan paket informacija koji taj Firewall
propusti blokira cijeli sustav na 9 mjeseci!
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
tony1 ::
tony1> "Najprej: v resnem produkcijskem okolju se z x86 serverji namesto routerjev ne bo nihče ukvarjal."
V zelo resnem produkcijskem okolju se bodo zelo verjetno ukvarjali prej z x86 serverji, kot pa z namenskimi routerji. Pravzaprav verjetno kar z obema, tam kjer je varnost izjemnega pomena.
Vojska, npr. ima več kot en x86 in/ali namenski router med LAN in internetom. Pa še marsikatera ustanova, kjer se jim varnost zdi dovolj pomembna.
Ne drži.
Še mogoče, da je SV taka, ampak to je bolj zato, ker ali šparajo na napačnem koncu, ali pa imajo tam nekoga, ki je nekoč videl m0n0wall, pa mu je bil všeč GUI, o freeBSDju pa niti ni nujno da ima kaj pojma. Argument, da je takšen firewall varnejši od namenskih rešitev ne drži.
Prepustnost z namenskim harvderom (ASIC čipi) pa je čisto drug svet od x86.
imagodei ::
tony1> "Ne drži."
Če misliš tako, potem bo treba žal še malo žgancev pojesti.
Nisem govoril o rešitvah tipa monowall. Imajo pa postavljene Unix in sorodne sisteme, kjer se da postavit mnogo bolj resne firewalle, kot na tipičnih komercialnih rešitvah.
Pa še enkrat, da se izognem nesporazumu: v vojski kombinirajo različne routerje - Cisco, namenski Unix/Linux server in še kaj. K sreči se zavedajo, da je Security through Obscurity jeba; poleg tega, da se z uporabo različnih routerjev izognejo možnim bugom in zero-day exploitom, se tudi zaščitijo pred morebitnimi backdoori.
Če misliš tako, potem bo treba žal še malo žgancev pojesti.
Nisem govoril o rešitvah tipa monowall. Imajo pa postavljene Unix in sorodne sisteme, kjer se da postavit mnogo bolj resne firewalle, kot na tipičnih komercialnih rešitvah.
Pa še enkrat, da se izognem nesporazumu: v vojski kombinirajo različne routerje - Cisco, namenski Unix/Linux server in še kaj. K sreči se zavedajo, da je Security through Obscurity jeba; poleg tega, da se z uporabo različnih routerjev izognejo možnim bugom in zero-day exploitom, se tudi zaščitijo pred morebitnimi backdoori.
- Hoc est qui sumus -
jype ::
trnvpeti> potem ne verjamem da si prisel do 1.000.000
trnvpeti> sploh pa ne na 100M mrezi
Bittorrent odjemalec komot vzpostavi več tisoč TCP povezav, ki večino časa idlajo, tako da to kar si napisal vsaj v splošnem ne drži.
Skozi firewall, ki je držal state za tisti milijon in petino povezav, je šel inbound promet na ~25 različnih zelo obiskanih (web, smtp, imap, pop3) strežnikov. Reč se ni prav nič matrala.
trnvpeti> sploh pa ne na 100M mrezi
Bittorrent odjemalec komot vzpostavi več tisoč TCP povezav, ki večino časa idlajo, tako da to kar si napisal vsaj v splošnem ne drži.
Skozi firewall, ki je držal state za tisti milijon in petino povezav, je šel inbound promet na ~25 različnih zelo obiskanih (web, smtp, imap, pop3) strežnikov. Reč se ni prav nič matrala.
ender ::
Ko se že toliko prepirate, kaj x86 zmore, in česa ne, a nima zgoraj predlagani Cisco ASA 5510 notri Celeron procesorja?
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
tony1 ::
Imagodei: če boš lažje spal z unix based firewallom in še dvema brandname kištama zraven, prav.
Jaz bi raje vzel en Fortinet in še dve brandname škatli zraven. In če že kdo, si SV to lahko špoga.
Ampak firmica s 50 uporabniki bo bolje prišla čez z Driscotom.
Jaz bi raje vzel en Fortinet in še dve brandname škatli zraven. In če že kdo, si SV to lahko špoga.
Ampak firmica s 50 uporabniki bo bolje prišla čez z Driscotom.
Zgodovina sprememb…
- spremenil: tony1 ()
Monster ::
@ender: ima ja
Cisco ASA 5510 VPN/Firewall Processor & Chipset
# Processor
: Intel Celeron 1.6GHz
Cisco ASA 5510 VPN/Firewall Memory
# Memory
: 256MB DRAM
link > http://www.pcrush.com/product/Network-S...
Cisco ASA 5510 VPN/Firewall Processor & Chipset
# Processor
: Intel Celeron 1.6GHz
Cisco ASA 5510 VPN/Firewall Memory
# Memory
: 256MB DRAM
link > http://www.pcrush.com/product/Network-S...
Ka zaboga...
imagodei ::
@tony1,
no, očitno se bova le razumela.
Problem brandname rešitev je še vedno (lahko) closed source firmware, ki ima lahko skrite buge, ki ostanejo neodkriti tudi več mesecev, teoretično celo dlje.
Zato je pri tovrstni varnosti izjemnega pomena tudi ena opensource bariera.
no, očitno se bova le razumela.
Problem brandname rešitev je še vedno (lahko) closed source firmware, ki ima lahko skrite buge, ki ostanejo neodkriti tudi več mesecev, teoretično celo dlje.
Zato je pri tovrstni varnosti izjemnega pomena tudi ena opensource bariera.
- Hoc est qui sumus -
tony1 ::
Yes, tukaj se moram strinjat, ker vem, da mi boš ven privlekel openBSD .
Rad bi le izpostavil, da je običajen unix based router domena domačih hekerjev, ki šparajo vsak €, ali pa nekoga, ki se gre ultra paranojo z več firewalli. (Kartična industrija, npr., je s Ciscom čisto srečna.) Če rabiš visoko razpoložljivost na unixu, se zna zgoditi, da bo najbolje imeti kar enega zaposlenega za vzdrževanje. Kar stane ponavadi več od morebitne verjetnosti za škodo.
Pa še tole glede opensourca: jaz nimam časa iti gledat kompletne kode, ampak moram verjeti "skupnosti", da lukenj ni. (Čeprav smo na primeru Debiana videli, da te so, in jih še nihče ne opazi). Poleg tega ponavadi ni na voljo 24/7 tehnične podpore.
Še en problem je odprava bugov, ki je lahko ekspresna ali pa tudi ne. Po drugi strani je tudi s closed source opremo že kdaj tudi bilo tako, čeprav stane težke $$$. No, open source zadevo lahko sam poflikaš.
Skratka, double edged sword, kakorkoli ga obrneš.
99% enterprise okolij pa uporablja enterprise rešitve. Tudi če te laufajo na Linuxu. Jebiga, so enterprise.
Rad bi le izpostavil, da je običajen unix based router domena domačih hekerjev, ki šparajo vsak €, ali pa nekoga, ki se gre ultra paranojo z več firewalli. (Kartična industrija, npr., je s Ciscom čisto srečna.) Če rabiš visoko razpoložljivost na unixu, se zna zgoditi, da bo najbolje imeti kar enega zaposlenega za vzdrževanje. Kar stane ponavadi več od morebitne verjetnosti za škodo.
Pa še tole glede opensourca: jaz nimam časa iti gledat kompletne kode, ampak moram verjeti "skupnosti", da lukenj ni. (Čeprav smo na primeru Debiana videli, da te so, in jih še nihče ne opazi). Poleg tega ponavadi ni na voljo 24/7 tehnične podpore.
Še en problem je odprava bugov, ki je lahko ekspresna ali pa tudi ne. Po drugi strani je tudi s closed source opremo že kdaj tudi bilo tako, čeprav stane težke $$$. No, open source zadevo lahko sam poflikaš.
Skratka, double edged sword, kakorkoli ga obrneš.
99% enterprise okolij pa uporablja enterprise rešitve. Tudi če te laufajo na Linuxu. Jebiga, so enterprise.
Zgodovina sprememb…
- spremenil: tony1 ()
Bakunin ::
Pa še tole glede opensourca: jaz nimam časa iti gledat kompletne kode, ampak moram verjeti "skupnosti", da lukenj ni. (Čeprav smo na primeru Debiana videli, da te so, in jih še nihče ne opazi). Poleg tega ponavadi ni na voljo 24/7 tehnične podpore.
OTOH - Cisco se vedno ne podpira 32bitne AS#
pred kratkim je tudi bil najden bug s predolgimi AS-PATH, ki jih je en ceski network spuscal v Internet...
kljub temu, da je placan IOS ter vzdrzevanje nam v tem trenutku (in do junija) Cisco ne bo nic novega dal na to temo....
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Ubuntu ali debianOddelek: Pomoč in nasveti | 1398 (1063) | pikachu004 |
» | WiFi ne dela na Lenovo R500 z Ubuntu 10.04 LTS (64 bit)Oddelek: Operacijski sistemi | 1560 (1365) | Icematxyz |
» | [Linux][Ubuntu] Inštalacija dodatkov na prenosnikuOddelek: Operacijski sistemi | 2184 (2079) | Looney |
» | 10Gb/s preko kablaOddelek: Omrežja in internet | 2265 (1484) | Spc |
» | Linux računalnik - router / 2. mrežna ne obstaja?Oddelek: Omrežja in internet | 1637 (1556) | Brane2 |