Re: lug-bg: Tunnel iziskvania
- Subject: Re: lug-bg: Tunnel iziskvania
- From: Stoyan Zalev <stockton@xxxxxxxxx>
- Date: Thu, 30 Oct 2003 11:29:08 +0200
Zdravejte,
eto i mojte 2 stotinki: :)
3com (i Intel,dokolkoto znam) pravjat mrezhovi karti sys vyzmozhnost za IPSEC
offload - (3)DES kriptiraneto, MD5 i SHA heshove i prochie.A da,vkluchitelno
i smjataneto na tcp/ip check-sumite,koeto si e goljam plus,dori da ne
polzvash ipsec. Modela,za kojto znam e 3CR990 - typhoon. Samo che tuk ima
edin problem :) Supporta za tazi karta e v 2.6,a osven tova,citiram ot
typhoon.c, kernel 2.6-test9 :
"*) Doesn't do IPSEC offloading. Yet. Keep yer pants on, it's coming."
:-) Taka che,kato napishat ipsec offloading chastta, neshtata mogat da stanat
osven mnogo interesni,i mnogo polezni :-)
A ako njakoj znae za drugi karti s "hardwaren" IPSEC support,molja da
pishe,mislja che shte e polezno.
10x predvaritelno.
Stoyan
On Wednesday 29 October 2003 21:20, Marian Popov wrote:
> Zdrasti Vesseline,
>
> > Тунелен демон в userspace е малко или много лош избор. Защо
> > не използваш GRE или IP-in-IP? Там цялата работа на практика
> > се поема от ядрото чрез интерфейсни протоколни модули (ip_gre.o
> > и ipip.o).
> >
> > Иначе зависи какъв тунел искаш да правиш. Ако е GRE тунел,
> > няма никакви проблеми да се направи такава конфигурация с
> > машинки от рода на Celleron 366 MHz с 256 MB RAM. Можеш да
> > вдигнеш и 50 Mbps без загуби на пакети. Ако тунелът е тип
> > IPSec (реализиран с FreeS/WAN), можеш да достигнеш отново
> > към 50 Mbps без загуби. Машините, които ще са краища на
> > тунела трябва да не се товарят с демони като SMTP, POP3,
> > Squid-proxy и подобни. Имай предвид, че при по-големи
> > натоварвания ще се наложи да направиш компромис със скоростта
> > на обмен на пакетите. Може ping да ти покаже времена от
> > порядъка на 100 ms. Т.е. няма да има загуби, но при високи
> > натоварвания ще има забавяния на пакетите. Помисли дали
> > това няма да пречи на IP телефонията, например (създава
> > "ехо").
> >
> > При нас работи решение базирано на FreeS/WAN, което осигурява
> > почти 100 Mbps канал и то без загуби. Тествали сме го и на
> > по-големи трафици и не сме наблюдавали загуби, но машината е
> > по-мощна и по-скъпа (Athlon 900 MHz с 512 MB RAM). По принцип
> > при натоварване към 95% забавянето на ping заявките е към 40 ms.
> > За сравнение, при 5-10% натоварване забавянето на ping е
> > към 3-4 ms. Големите потоци заявки по принцип създават
> > по-голямо натоварване, в сравнение с малко сесии потребяващи
> > много трафик.
> >
> > Има един друг момент, който често се пропуска при планирането
> > на тунелите. Не може да не се отчита преносната среда. Когато
> > ще се гради тунел (оснобено IPSec) трябва много добре да се
> > подсигуриш срещу полюции на трафика. Това значи, грубо казано,
> > от тези 100 Mbps канал, през който ще прекарваш тунела, да
> > заделиш твърдо 13-15 Mbps канал за твоя си тунел и да направиш
> > добър QoS. Най-много могат да ти пречат broadcast флудове и др.
> > подобни гадости. Предполагам, че искаш да използваш тунела за
> > IP телефония (щом така държиш да няма загуби).
> >
> > Съжелявам, че не намерих време да довърша документа по FreeS/WAN
> > конфигурациите, но доста работа ми се насъбра.
> >
> > ~ Поздрави
> > ~ Весо
>
> Ami da prekarvam i telefonia.
> Poslushah syveta ti i pusnah GRE Tunnel no polojenieto e syshtoto.
> Interesno e obache slednoto.
>
> Linux1 <> Catalyst <> Catalyst <> Linux2
> Linux1 <> Catalyst <> Catalyst <> Linux3
>
> Ot Linux1 puskam 2 tunela s vtund kym Linux2 i Linux3
> Ot Linux1 kym Linux2 imam zagubi 10-15%, no ot syshtia Linux1 do
> Linux3 niamam nikakvi zagubi. Linux2 i 3 se namirat ot drugata strana
> na liniata. Sled kato pusnah GRE tunnel do Linux2 situaciata ne se promeni.
>
> Pak si imam 10-15% zagubi do Linux2 a do 3 niamam.
>
> Linux1 e P4 na 1.8Ghz s 1GB RAM
> Linux2 e P3 na 800 Mhz s 1GB RAM
> Linux3 e P4 na 2.4Ghz s 1GB RAM
>
> Vyzmojno li e Linux2 koito e po-slabichyk da pravi problemite ?
>
> mano
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|