Rechenleistung = Bandbreite ?
-
Hallo
Ich wollte mal Nachfragen ob die alte -etwas schräge- Handgelenk mal Pi Gleichung für Firewalls, Gateway & Routert. -> "Mehr Bandbreite bedeutet gleichzeitig mehr Rechenleistung" noch zutrifft, oder es irgendwann einen Punkt gibt/gab ab dem Man sagen kann: Nein solange du nicht verschlüsselst, ein ungewöhnlich hohes Client aufkommen hast, oder anspruchsvolle Filter installiert, sollte 08/15 ausreichen.
Ich Frage deshalb, weil ich mit dem Gedanken spiele die WAN Bandbreite zu verdreifachen, dies obwohl meine HW bei aktueller Bandbreite bereits optimal belastet wird (CPU ca 33%, RAM ca 40%).
Grüsse Borde
-
Kann man m.E. pauschal nicht sagen, da die Auswahl an Hardware zu groß ist und die Kisten sehr unterschiedlich skalieren. Im Prinzip sollten die neuen pfs Versionen durch bessere Multicore Unterstützung und Co. besser die Hardware nutzen und auch skalieren, aber es hängt dann auch teils an den NICs und was eben mehr dazu kommt.
Wenn du zusätzlich dann noch Pakete hast, die mit der Bandbreite in irgendeiner Form skalieren (mehr Bandbreite - mehr Traffic -> Squid oder Snort werden dann sicher wesentlich mehr Ressourcen fressen) kommt da eine andere Rechnung zustande.Wenn es nur um sagen wir mal tumbe Leistung im Bereich Routing + NAT geht und da kein großes VPN o.ä. mitspielt: meine relativ alte FW-7535 mit Atom D510 (ja noch eine der lahmen…) wuppt bspw. ohne großes Aufhebens von DSL bis Kabel so ziemlich alles was rum kommt. Momentan sind das 150MBit/s im Downstream + 5-6MBit/s im Upstream. Und auch 200MBit/s sollten der Kiste kaum was ausmachen. Zum Vergleich: die gleiche CPU bspw. ist ja auch in älteren NAS verbaut gewesen und die bekommen dann entsprechende Platten vorausgesetzt auch ihre Gigabit Links gesättigt. Solangs also nur ein bisschen Routing + NATting ist, kein Thema. Auch nen kleinen VPN Tunnel wird das abkönnen. Allerdings brauch ich da mit Snort, Squid und Co eben gar nicht erst anfangen ;)
-
Kann man m.E. pauschal nicht sagen,
Ach wass, unter Vorbehalt kann man in Fachkreisen sehr wohl Pauschalen anlegen, die mit unter auch sehr nützlich sein können. Ich gibt dir ein Beispiel aus der fernen Vergangenheit: Ab dem Pentium 4 Willamette auf Sockel 478 (2001/2002) konnte man sich daran halten, dass man ab 2 GHz für'n Allrounder & Büro-PC immer genug Leistung hat. ..und die Aussage trifft -für 32/64_x86er- auch Heute noch. Ab 2 Ghz ist die Welt in Ordnung.
Fakt ist auch das bereits erste DDR RAM mit einem Takt von 100Mz (DDR-200 / PC-1600, 845E Brookdale-E ICH4 Chipsatz anno 2002) im single Chanel Modus einen Datendurchsatz von über 12Gbits erreichten. Im Dual-Channel sogar über 25 Gbits. Was sich so spektakulär liest ist jedoch Leitungsmäßig (als System) weiter hinter der nur 8 Jahre später erschienenen "Pineview" Plattform, zu der ja auch die D510 gehört. -> Welche im Vergleich zur Silvermont (M…field, Bay Trail, Avoton, Rangeley) selbts recht alt aussieht.Insofern ist es wohl nicht verkehrt wen man sich -unter der Voraussetzung eines angelegten RAM-Divers und entsprechender NIC- fragt, wie wenig Rechenpower es wohl minimalst braucht um mit pfSednse unter optimalsten Bedingungen in summe* 10Gbits zu erreichen?
*(z.B. 5x2000Mbits alias 1Gbit full)
Mindestens ebenso spannend wäre auch die Frage der Hardwareplatform. Den Datenbus der mindestens 1250MB/s (10Gbits) zu liefern vermag, muss man ja auch erst mal haben. Ansonsten hast du den selben Bug wie bei Festplatten. ;D
Wenn du zusätzlich dann noch Pakete hast, die mit der Bandbreite in irgendeiner Form skalieren (mehr Bandbreite - mehr Traffic -> Squid oder Snort werden dann sicher wesentlich mehr Ressourcen fressen) kommt da eine andere Rechnung zustande.
.. ;) Klahr, wäre auch ne interessante Tabelle/Formel die mich brennend interessieren würde. Wäre die steigende Leistungsforderung parallel zur Bandbreite?
PS: Ich finde die Frage mit auch deswegen interessant weil -im vergleich zu deiner 200Mbits wuppernden D510- ::) ;D mit einer XWAY oder meinetwegen auch ARM Plattform ähnliche oder gar höhere Leistungen möglich wären/sind (theoretisch).
-
Ach wass, unter Vorbehalt kann man in Fachkreisen sehr wohl Pauschalen anlegen
konnte man sich daran halten, dass man ab 2 GHz für'n Allrounder & Büro-PC immer genug Leistung hatIch verstehe es gerade nicht wirklich. Du fragst ob es ne Regel gibt, ich sage aus meiner Erfahrung "kann sein, aber es kommt drauf an…" und du kommst mit "ach was natürlich gibts da was". Wenn dus doch weißt warum fragst du dann? Und wenn nicht, warum nimmst du dann meine Antwort nicht so hin, wie ich sie geschrieben habe? Zumal das Beispiel mit 2GHz für Büro ein m.E. echt ungeschicktes ist. Erstens war das noch zu Zeiten des GHz Hypes, wo jedes GHz mehr toll war - heute hat man neue Generationen CPUs die mit wesentlich weniger GHz mehr Leistung bringen als ältere. Also ist diese Faustformel auch schon dezent für die Tonne. Und dann geht die Frage eben zu Netzwerk und Netzwerk Appliances sowie Netzwerkdurchsatz. Und da spielt eben mitunter nur bedingt CPU ne Rolle. Und dein DDR RAM Beispiel ist noch komplett ferner. Was hat das jetzt mit allem zu tun? Eigentlich nichts.
Insofern ist es wohl nicht verkehrt wen man sich -unter der Voraussetzung eines angelegten RAM-Divers und entsprechender NIC- fragt, wie wenig Rechenpower es wohl minimalst braucht um mit pfSednse unter optimalsten Bedingungen in summe* 10Gbits zu erreichen?
10Gbps hat ganz andere Probleme als CPU, NIC oder sonstigem Kram. Und das bezieht sich auf 10Gbps auf EINEM Interface. Alles andere ist irrelevant, weil pps Durchsatz, IRQs etc. ganz anders reinspielen als wenn reine 10Gbps auf einem Interface ankommen.
Und da du auch immer wieder gerne auf ARM und sonstigen Kram zurückkommst: Potato Potato. Ich mach mir um heiße Kartoffeln keinen Kopf, sondern muss mit dem auskommen, wo pfSense heute drauf läuft, und das ist irgendwelche ARM Mini-Hardware die noch nicht final getestet und entwickelt ist. Also juckt mich ARM in der Rechnung gar nicht. Es geht um x86 bzw. x64 Architektur gerade und sonst nichts.
Du wolltest ne Faustformel: ich sag dir es gibt eben m.E. keine wirklich gute, da jeder mit dem Basisbetrieb von pfSense ganz anderen Krams macht. Manches skaliert toll über mehrere Kerne, manches nicht. Sprich für den einen wäre der Einsatz von mehr GHz sinnvoll, andere juckt es gar nicht. Wieder andere profitieren von Multicores weil sie gut skalierende Applikationen zusätzlich einsetzen. Festplatten/SSD sind schön, aber wenn nicht Pakete mit explizitem heftigen I/O eingesetzt werden ist das Speichermedium irrelevant. RAM ist schön, aber m.E. ist bis auf wenige kleine Appliances meist eh genug RAM vorhanden, um fast alles aus dem RAM zu bedienen sobald geladen (anders würde meine Kiste das bspw. auch nicht packen). Bleibt noch CPU sowie Board/Bus/Interface und NICs. Auch bei letzteren gibt es eben Unterschiede, sonst wären nicht so viele aus dem Firewalling Bereich scharf darauf, eben Intel NICs o.ä. einzusetzen und den Realtek Kram loszuwerden. Auch die Anbindung der NICs muss dann sitzen.
Ergo ist es im Einzelfall eben immer ein "kommt drauf an". Da kann man noch so toll drüber diskutieren, trotzdem sage ich, dass es Einzelfall Entscheidungen bleiben werden. Man weiß inzwischen grob, was die Untergrenze ist und alles weitere schaut man sich an, wenn man seine Spezifikationen hat, was man machen möchte (IDS, IPS, Proxy, Balancing, MultiWAN, Portal, WiFi, wasweißich). Die kleinen Appliances bzw. SOCs haben ihre Kennzahlen und alles was man mehr braucht kann man darauf aufbauen. Was bringt mir ein Milchmädchenvergleich zwischen bspw. einem Atom C2758, der 8 Kerne und 2,4GHz mitbringt und einem Xeon-D 1540, der nur 4 Kerne und nur 2GHz bringt. Man weiß und hat Zahlen, dass er trotz Kernanzahl und geringerer GHz trotzdem wesentlich mehr Power auf die Straße bringt, weil es eine ganz andere inCore Architektur ist. Trotzdem sind beides SOCs die speziell für Networking gebaut wurden.
Aber vielleicht hat ja jemand die magische Formel, dann wäre ich gespannt die zu hören. Dazulernen ist ja immer schick :)