© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Mon, 9 Feb 2004 09:58:06 +0100
Bernd Walter <ticso(at)cicely12.cicely.de> wrote:
> >
> > Moin!
> >
> > kann auch Kostengruende haben... wenn man mal das obere Ende bei den
> > Anschaffungskosten nimmt, faellt mir spontan Cisco ein, wenn man
> > deren Geraete teuer kaufen muss, und nicht alle Features braucht,
> > dann kommt man fuer einige spezielle tasks mit einer normalen
> > Intel-Maschine und etwas Gehirnschmalz deutlich billiger und
> > besser...
>
> Sicher, aber das PPPoE und ATM machen die sicherlich nicht darüber.
> Die Router haben die also so oder so und der FreeBSD ist zusätzlich.
>
> > Beispiel: eine 12000er Cisco kostet so um die 100 kilo-Euro, ein
> > GiGE-Interfaceboard schlaegt nochmal mit >10kEuro zu Buche.
> > bedingt durch das Design von den Dingern, und auch die
> > IOS-Ansteuerung, schaufeln die GigE-Interfaces in der Praxis, gerade
> > wenn Filterlisten gesetzt sind, ca. 300 Mbit/s durch, die neuen
> > Interfaces sollen bei 400 MBit/s im Praxisbetrieb koennen.
>
> Da habe ich aber bereits von kleineren Routern bessere Zahlen in
> Erinnerung, war aber auch damals im LAN Bereich für eine Webfarm, da
> gab es gute Shortcutraten zu einem Ethernetswitch hin.
>
> Aber was willst du groß filtern?
> Was du im Prinzip brauchst sind bestenfalls ein paar Antispoofing
> auf den PPP Interfaces, was dem Router kaum wehtut.
> Selbst die Umlenkung für einen Transparenten Proxy tut den Kisten
> nicht weh.
>
> > Eine Intel-Maschine in annehmbarer Qualitaet, mit 3 Jahre Hardware
> > vor-Ort-Service kosten 5 kEUR, und liefert meist etwas besseren
> > Datendurchsatz, solange man keine allzu komplexen setups hat, bzw.
> > nicht das volle Spektrum an Cisco-features braucht, sowas wie
> > komplettes Reporting via SNMP pro Port z.B.
>
> Ja sicher - aber die Maschine ist immer noch zusätzlich.
> Als Firewall, Filter, Sniffermaschine gebe ich dir absolut recht,
> aber wo ist die Anwendung dafür bei der Anbindung von ADSL Kunden?
> Ich gehe eher davon aus dass da klassische Peer-To-Peer Ports
> ausgebremst werden und/oder fleißig Daten gesammelt werden.
Ich weisse in unserem Fall die Vermutung zurück, dass wir irgendwelche
Daten Sammeln mit diesen Kisten. Dies ist nicht der Fall! Auch die
Gesetzlich vorgeschriebenen Überwachunsgmöglichkeiten laufen nicht da
ab. Wie Olaf erwähnt hat, ist es eher eine Frage der Kosten. Ausserdem
hat das ganze noch historische Gründe. Diese FBSD Kisten verrichten den
Dienst seit Jahren absolut problemlos. Ich sehe keinen Grund 30k Euronen
zu investieren für eine Cisco Kiste. Ausserdem sind diese Hardware
Kisten nicht so flexibel wie Software Lösungen. Der Nachteil der
Softwarelösung ist sicherlich die Performance. Leider ist die tcpmssd
Lösung aus den Ports etwas gar lahm. Ich werde jedoch das ganze
sicherlich nochmals Testen. Aber eine Lösung im Kernel ist sicherlich
viel perfomanter.
Zur Frage was die Kisten machen. Grob gesagt:
Die Kisten priorisieren den Traffic und setzen die mss und df.
Das Problem mit dem Setzen der MSS stellt sich nur neu, weil wir
vielleicht ende Jahr diese Rechner auf FreeBSD 5.x upgraden wollen. Aus
diesem Grund muss unser Patch auf IPFW2 Portiert werden. Ich hab mir
heute den Code von IPFW2 kurz mal angeschaut. Die Änderungen gegenüber
IPFW1 sind grösser als ich gedacht habe.
Vielleicht hat ja jemand schon einen ähnlichen Patch für
IPFW2 geschrieben. Im default IPFW2 Code sehe ich jedoch keine direkte
Möglichkeit die mss und df zu setzen.
Gruss
Thomas Vogt
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 09 Feb 2004 - 13:04:07 CET