LINUX.ORG.RU
ФорумAdmin

Кластеризированный HA firewall с балансировкой нагрузки

 , , , ,


0

1

Hi, folks!

Как известно, CARP в бздях умеет балансировку с помощью arpbalance и не умеет этого на Linux в виде UCarp.

В связи с этим, возникает вопрос на чем лучше построить такой fw.

Вариант А: FreeBSD >= 10 + CARP + PF + Pfsync, в 10-ке pf научили в многопоточность, соответственно cамый перспективный вариант.

Вариант Б: NetBSD >= 6 + CARP + NPF + ???. Вот тут возник вопрос, а есть ли для NPF аналог pfsync?

Вариант В: OpenBSD + CARP + PF + Pfsync, учитывая что и CARP и PF родом отсюда, но очень большое НО, в виде однопоточного PF.

Конкретно вопросов к занющим людям пока 2: как сейчас в опенке дела с многопоточностью PF (знаю что они ее пилили, но не в курсе чем закончилось) и есть ли в NetBSD для NFP аналог Pfsync.

Спасибо.

★★

Последнее исправление: trancefer (всего исправлений: 1)

какой поток данных планируется обрабатывать? я в свое время был очень доволен связкой openbsd/carp/pfsync с балансировкой но уже давно не работаю там где я это сетапил. я бы начинал с опена и смотрел на фрю только если производительность будет неудовлитворительной, да и то наверное лучше бы просто добавить нод. все таки опенок намного более приятная система (имхо; давайте без холиваров).

val-amart ★★★★★
()
Ответ на: комментарий от val-amart

Пока что это только в качестве эксперимента, R&D так сказать. Я в курсе что при нормальном железе на хороших сетевухах можно пророутить довольно приличный объем трафика и не упереться в однопоточность PF. В случае успеха, планируется навернуть поверх этого дела FreeRADIUS через который, пользователям авторизованым по 802.1x будет предоставляться доступ к ресурсам локальной сети. Т.е. это попытка построить свою кластеризованную ASA с блекджеком.

Но интересует как все же обстоят дела в многопоточностью PF в опенке. Во фре таки смогли в 10ке сделать его многопоточным. Я сам несколько лет с опенком не имел дела, поэтому незнаю как там сейчас. Может быть, Вы как более опытный пользователь, в курсе последних тенденций?

trancefer ★★
() автор топика
Ответ на: комментарий от trancefer

ничего толком не происходит. да и проблема практически всегда не в однопоточночти пф, а в однопоточности ingress pipeline сетевого стека (чего во Фре нет уже давно).

val-amart ★★★★★
()
Ответ на: комментарий от trancefer

в проде сток, на Опене не принято пересобирать. пересобирал только на ноуте когда сидел на карренте — присылали патчи и писал патчи сам, но для прода GENERIC вполне подходит.

val-amart ★★★★★
()
Ответ на: комментарий от val-amart

Да, в курсе, что не принято. Но я одно время использовал опен на плате Alix и там на стороковом ядре маршрутизация сильно тормозила. На пересобраном, плата могла роутить/натить кучу торрентов в полную скорость интерефейса (100М).

trancefer ★★
() автор топика
Ответ на: комментарий от trancefer

разумеется, если есть валидная причина, то вопросов нет. но баги надо будет репродюсить на дженерике =) если речь не идет о 10G/40G каналах, то я бы не парился, но тестировать все равно надо своем конфиге

val-amart ★★★★★
()

Вариант Д: dragonfly bsd + остальное.(carp в ней умеет master-master).

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.