Jake zelezo na router (UP nebo DP)

[Petr Bezděk]

Zdravim konferenci,

omlouvam se predem za delsi mail. Potreboval bych nakopnout, jakym 
smerem se ubirat pri vyberu zeleza pro novy router. Provozuji stroj, 
ktery slouzi jako router+NAT+dummynet (FreeBSD 5.4-STABLE) a na nem take 
bezi aplikacni zalezitosti jako mailserver+antivir, apache, postgresql, 
statistiky provozu, monitoring site atd.

Pres den bezne dosahujem kolem 5 000 paketu/s. S lokalnim provozem 
kratkodobe o dost vic. Stavajici zelezo (Athlon 2500+, FE a GE sitovka, 
na GE sitovce nekolik VLANu), hlavne vykon procesoru, prestava stihat.

Kamen urazu je v poctu pravidel firewallu IPFW (cca 3000) pro 
internetovy provoz. V nejhorsim pripade se prochazi az nekolik set 
pravidel. Snizovat pocet prochazenych pravidel uz moc nejde, pouzivam 
skoky, kde to jen jde. Dale v kazdem smeru paket musi projit pres 3 
pipe/queue kvuli shapingu rychlosti. A jeste k tomu se musi provadet NAT 
pomoci natd.

Jelikoz datovy tok pres router stale roste a lze predpokladat, ze do 
budoucna stale poroste, jsem proto nucen rozdelit zatez na aplikacni 
server a na samostatny router. Pro novy router hledam vhodne zelezo. 
Predpokladam, ze novy router pobezi na 6-kove verzi.

V cem vaham je volba: zda 1 procesor na vysoke frekvenci (nejake Pentium 
4) nebo 2 procesory system (Xeon, Opteron)? Vim, ze smerovani na FreeBSD 
se moc paralelizovat neda. Ale zase na druhou stranu vidim ze 
stavajiciho zatizeni, ze proces natd bere temer polovinu z vytizeni 
procesoru. A pokud by se na 2-procesorovem reseni natd, jako user-space 
proces, povesil na jeden procesor a zbytek (smerovani) by resil druhy 
procesor, tak bych snad mohl dosahovat lepsiho vykonu nez u 
1-procesoroveho reseni? Pro 2-procesorove reseni mi dale hovori provoz 
dalsich procesu jako ospfd, SIP proxy, mozna i squid, ty vsak nemaji 
velke naroky na vykon procesoru.

Mate-li nekdo konstruktivni podnet, zda volit 1 nebo 2 procesorove 
reseni, tak sem s nim :)
-- 
Petr Bezděk