Calculo de Capacidade de Hardware

CássioOliveira

Pessoal,
Boa Tarde,

Andei pesquisando no forum mas não encontrei nada parecido com o que preciso.
Talvez vocês possam me ajudar.

Preciso fazer um calculo para especificação do hardware do servidor que irá abrigar o PFsense. No meu cenário possuo cerca de 4000 maquinas + 2000 usuários utilizando captive portal. A ideia inicial é usar o squid como proxy transparente e squidguard para bloqueio do porno. Iremos fazer interceptação do SSL no futuro. Além de firewall e roteamento das redes.

Como começo a especificar esse hardware. Com relação ao processamento estava pensando num Xeon six Core, Memoria de no minimo 16Gb. Quanto ao HD com essa quantidade de usuário teria que ser SSD? Talvez HA?

Me ajudem.

marcosjost

Minha sugestao inicial seria: Deixar uma maquina somente para proxy/cache, pode ser com o pfsense mesmo, mas dedicada pra essa função…

marcelloc

uma primeira fonte de pesquisa.

https://doc.pfsense.org/index.php/Hardware_requirements

Já encontrei outros documentos que calculavam de acordo com a quantidade de usuários, mas não tenho mais o link.

JackL

@CássioOliveira:

Como começo a especificar esse hardware. Com relação ao processamento estava pensando num Xeon six Core, Memoria de no minimo 16Gb. Quanto ao HD com essa quantidade de usuário teria que ser SSD? Talvez HA?
Me ajudem.

Bem, aparentemente, este seu setup inicial deve atender esta sua demanda. Contudo, é muito difícil mensurar com exatidão os recursos para uma rede, sem antes medir o "throughput" real da mesma. Neste sentido, que solução você utiliza hoje com o proxy e/ou firewall? Consegue verificar quantidade de seções ativas simultâneamente?

As vezes uma rede pequena em termos de hosts, gera uma um overhead de pacotes imenso. O contrário também pode acontecer. Logo, o melhor é tentar mensurar caso à caso.

Nota: Na medida dos possível, em função da sua demanda, meu conselho é que vc utilize sim HDs SSDs (dá uma diferença gigante em performance, já que funções como proxy fazem muito I/O de disco), bem como, pense em HA.

Abraços!
Jack

CássioOliveira

Pessoal,
Muito Obrigado pela ajuda.

Isso já vai me ajudar muito.

No ambiente atual, existem um firewall em cima do centos, algo do tipo, e um mikrotik para fazer hotspot.

Isso eu herdei de uma administração passada. risos.

Então agora estamos padronizando o pfsense em todos os campus, cerca de 22 campus.

A faze agora é levantar os prerequisitos, e como esse campus é o maior que possuo. Já tenho o pfsense rodando em alguns campus menores, rodou bem..Lá tem um Dell T110. Que fica em torno de 50% de utilização de cpu, e memoria. Isso sem squid…nada demais..apenas com o captive portal.

Voltando ao campus que estou levantando tenho um link simetrico de 100M para internet, e alem de um interface para roteamento para os demais campus. Hoje no hotspot batem cerca de 2000 usuários, sendo ainda mais 2000 estações divididas entre laboratorios e administrativo.

A ideia é que o pfsense faça o firewall de perímetro, e das vlans da rede do campus..Captive portal..dai surgiu a ideia do squid, que estou na duvida entre deixar na mesma maquina ou em outra...

JackL

@CássioOliveira:

A ideia é que o pfsense faça o firewall de perímetro, e das vlans da rede do campus..Captive portal..dai surgiu a ideia do squid, que estou na duvida entre deixar na mesma maquina ou em outra…

Do ponto de vista lógico, não há problema algum em deixar o Squid rodando no mesmo server do Firewall e Captive Portal. Contudo, os recursos físicos podem mesmo se mostrar aquém do que você precisa, já que o Squid é um dos pacotes que mais consomem memória e, especialmente I/O de disco.

Por outro lado, na configuração de hw citada anteriormente, bem como, com os benchmarks que você já possui, imagino que não vai ter problemas neste sentido. Mas repito, pense sim em HA e HDs SSDs, você vai sentir uma diferença gritante em performance neste cenário.

Abraços!
Jack

CássioOliveira

Obrigado JackL, e a todos do forum.

Vou considerar isso que você me disse.

Depois da migração conto pra vocês o resultado.

Outra questão que muito se fala ai é a questão do cache dinamico, qual a sua experiencia com isso?Vale a pena? O trafego na faculdade é 70 % youtube e facebook.
Será que consigo bom resultado no pfsense?

JackL

@CássioOliveira:

Outra questão que muito se fala ai é a questão do cache dinamico, qual a sua experiencia com isso?Vale a pena? O trafego na faculdade é 70 % youtube e facebook.
Será que consigo bom resultado no pfsense?

Sim, vale a pena sim.

Tenho algumas excelentes experiências usando Squid 3 com proxy dinâmico. Vale a pena testar! ;)

Abraços!
Jack