propustnost aneb data-throughput
moje
moje na kalhotky.net
Úterý Květen 17 08:44:41 CEST 2005
> > zajima mne teoreticky, protoze je mi jasne ze realny je zavisly na hodne
> > na tom co s packetama vsecko delam
> > (firewalling, VPN, VLAN a pocitani statistik prenesych objemu)
>
> Statistiky prenesenych objemu nereste, to vam vyresi iptables pravidla sama
> o sobe (maji pocitadla). VPN ma jediny problem - sifrovani. Zalezi na
> slozitosti sifry, kterou pouzijete. Firewalling je hlavni "problem" - zalezi
> na zpusobu, jakym pravidla slepite. Jestli budou razene linearne a paket v
> nejhorsim proleze vsechny pravidla, tak to bude hoodne pomale. Jestli je
> naraficite do stromu, bude to podstatne lepsi.
Iptables to sice resi, ale pro vetsi rozsahy je lepe resit to nejaky ma
vhodnejsim nastrojem, nez mit tisice pravidel v iptables.
Firewalling pri spravnem nastaveni prakticky nezpomali sit (rozhodne ne
na 100mbitu). Pri linearnim razeni pravidel (nejvetsi mozne svinstvo) se
na P4 na 2.4 dostane rychlost pod 200mbit asi u 2500 pravidel, coz je
mnohem vic nez by mel normalni firewall mit a da se tomu hodne pomoct
pouzitim conntracku na zacatku pro ESTABLISHED a RELATED (ma docela
sympaticky vliv na rychlost firewallu).
No a dobre udelany strom ma podobne vysledky.
MOJE
--
Konir Tomas
Czech Republic
Brno
ICQ 25849167
Další informace o konferenci Linux