[FreeBSD] Router Hardware

[lockdoc]

Hi,
Ich wollt mal rumfragen was ich fuer Hardwareanforderungen bei einem Router brauche.
Genauer gesagt, wie kraeftig sollte die CPU sein, wie hoch wird der benoetigte RAM sein und welche Netzwerkkarten koennt ihr da empfehlen.

Was der Router leisten soll:

* 2 DSL Leitungen 300mbit/s und 100mbit/s fallback
* Traffic Shaper
* VPN Service
* DNS
* DHCP
* PF

Es sollen ca. 40-50 Clients mit Internet DNS und DHCP versorgt werden.
Es gibt 3 interne Netzwerke, wobei der Traffic Shaper das Internet zu 20/20/60 aufteilen soll. (Net1 bekommt 20% vom Down/Upload, Net2 auch 20% und Net3 den Rest)

Nun hab ich keine Vorstellung davon, wieviel Bums der braucht, evtl macht es ja ein PII oder aber auch nicht.

Kann mir da Jemand was raten.

 

[Crest]

Also die DSL Anbindung mit 300Mb/s per DSL halte ich für ein Gerücht (Stand Q3 2012).
Nein ein PII wird das nicht packen.
DNS und DHCP sind so genügsam, dass sie kaum ins Gewicht fallen solange du keinem DoS ausgesetzt bist. Benötigst du dynamic DNS Updates?
PF tötet dir alle Vorteile des nebenläufigen IP Stacks, weil doch aller Traffic durch das PF Lock muss. Somit ist hier ein Bottleneck um das kein Weg herum führt. Die single-threaded Performance muss also reichen um alles durch dieses Bottleneck zu bekommen. Nach diesen Vorüberlegungen kommen wir also zu den eigentlichen Fragen.

Wieviele Pakete pro Sekunde muss der Router im Peak verlustlos erreichen? Bei der Bandbreite moderner Hardware ist die Bandbreite relativ unwichtig. Mit 300Mb/s bist du noch nicht im problematischen Bereich für halbwegs aktuelle Hardware.

Vermutlich reicht es dir die Minimalausstattung zu nehmen, die deinen sonstigen Anforderungen genügt. Ich würde aus schlechter Erfahrung von Atommüll abraten sondern eher ein kleines E3-1220 System nehmen auch wenn es etwas übertrieben ist. Es hat genug "Bums" für meine Interpretation deiner sehr vagen Anforderungen und noch etwas mehr. Bei den heutigen Strompreisen macht es keinen Sinn (mehr) dafür einen ausgemusterten Server ab zu stellen.

 

[lockdoc]

Zu den 300Mb/s habe ich auch noch nichts gefunden, das ist aber die Anforderung, dass der Router das problemlos schaffen soll.
Dynamic DNS wird nicht gebraucht.

Es hat genug "Bums" für meine Interpretation deiner sehr vagen Anforderungen und noch etwas mehr.

Ich bin da jetzt kein Experte auf dem Gebiet, aber an sich habe ich doch klar geschildert, was der Router leisten soll oder was war hier unklar?

 

[Crest]

Was unklar ist:
- Packets per Second
- Max States
- Art des VPNs
- Müssen DHCP und DNS mit dynamischen Updates verbunden werden
- ...

 

[lockdoc]

- Packets per Second
Hier bin ich ein wenig ratlos. Wie kann ich das denn berechnen

Max States
Das sagt mir leider auch nichts

Art des VPNs
routed OpenVPN

Dynamic DNS
Nein

Bis auf den ersten Punkt, war es mir gar nicht klar, dass das so ein Unterschied bei der Hardware Wahl machen wuerde. Aber man lernt ja nie aus.

 

[Kamikaze]

PF tötet dir alle Vorteile des nebenläufigen IP Stacks, weil doch aller Traffic durch das PF Lock muss. Somit ist hier ein Bottleneck um das kein Weg herum führt. Die single-threaded Performance muss also reichen um alles durch dieses Bottleneck zu bekommen.

Wurde PF nicht kürzlich parallelisiert? Ich bin mir ziemlich sicher, dass zumindest mit Current das Problem nicht mehr besteht. Genau wie bei NetBSD, wo NPF diese Probleme lösen sollte.

 

[lockdoc]

Also PF soll uebrigens nur ein paar Server im Netz erreichbar machen. Also sprich max. 10 Ports von aussen nach innen durchschupsen. Weiss jetzt nicht ob das so gross ins Brot faellt.

 

[Crest]

Tut es nicht so wirklich.

 

[foxit]

Wurde PF nicht kürzlich parallelisiert? Ich bin mir ziemlich sicher, dass zumindest mit Current das Problem nicht mehr besteht. Genau wie bei NetBSD, wo NPF diese Probleme lösen sollte.

Jepp das ist so. Siehe hier: http://www.bsdforen.de/showthread.php?t=27951

 

[Crest]

Das ist nicht in -CURRENT sondern einem Project.

 

[lockdoc]

So ich muss nochmal explizit nachfragen.
Wenn die PF jetzt nich so ins Brot faellgt, da sie lediglich ein paar Dienste nach aussen oeffnet, ist denn wirklich etwas in der Klasse vom " E3-1220" erforderlich, oder waere das in diesem Fall ueberdimensionalisiert?

 

[Yamagi]

Das Problem bei Routern und Paketfiltern im Heim- und kleinen Bürobereich ist nicht unbedingt die CPU-Leistung. So ein Core i3 ist schon sehr leistungsfähig und kann ohne Probleme weit über 100 Mbit/s bis mehrere Gigabit filtern und routen. Das gilt insbesondere dann, wenn alle genutzten Komponenten SMP unterstützten. Die Problematik liegt eher im Bereich des Bussystems und halt auch der NIC. Gerade die billigen Atom- und E-Serie-APU-Boards sind in Sachen PCIe-Lanes, Speicheranbindung (meist nur ein 64bit Kanal) und so weiter extrem sparsam. Wenn die billige Realtek-NIC dann noch viel Arbeit an die CPU auslagern will, läuft man schnell gegen die Bandbreiten-Wand. Daher: Wenn Atom oder E-Serie-APU, dann ein richtiges Board mit guten NICs und wenigstens halbwegs dickem Bussystem von Supermicro oder ähnlichem. Die sind aber schon wieder so teuer, dass man auch gleich den Core i3 nehmen kann. Ein weiteres Argument für den i3 ist, dass seine relativ hohe Rechenleistung eine gewisse Zukunfssicherheit gibt, auch wenn die Anforderungen steigen.