Jak mocny sprzęt potrzeba?
-
Postawiłem pfsense ze squidem, squidguardem, antywirusem, snortem na platformie Intel S3200SH z procesorem X3110 (odpowiednik desktopowego E8400) i 4 GB RAM. Dwie zintegrowane sieciówki Intela 1 Gb/s na lan i wan oraz trzeci realtek pcie na wan2 (Neostrada 10 Mb/s jako backup). Łącze 150/30 Mb/s, około 120 użytkowników. Po paru godzinach ramu zabrakło zaczął swapować i telefon: "Panie Internet się tnie". Wyłączyłem "bajery" czyli squida, snorta, antywirusa został czysty routing i "smiga". Łącze obciążone raczej słabo, w szczycie widzę około 60 Mb/s. Czy to tyle zasobów zjada czy ja coś źle ustawiłem? Wyłączyłem nawet aby squid trzymał dane na dysku. Idzie to lepiej zoptymalizować? Mogę wymienić procesor na 4 rdzeniowego i dodać 4 GB ramu. Zwiększę moc i pamięć x2 ale czy to wystarczy? Użycie swapa było w granicach 4-5 GB.
-
Dodam jeszcze, że nie zależy mi na keszowaniu przez squida. Odpalam go tylko dla antywirusa i squidguarda. Idzie go skonfigurować by nie rozpychał się tak mocno w pamięci?
-
Obawiam się że na tej płycie głównej nie wiele zdziałasz. Możesz pchnąć do 8GB ram ale sądzę że może zabraknąć.
Procek DC to mało dla tych paczek co masz. Z tego co widzę twoja płyta główna obsługuje serię Xeon 3300 wiec możesz pchnąć np X3380 który jest 2x wydajniejszy od te DC co masz aktualnie. A DC co masz to pewnie też jest wąskim gardłem dla Squida i AV.Jak masz fundusze to kup jakiś używany serwer IBM, DELL, HP 2 procesorowy i obsługujący min 32GB RAM.
U siebie mam serwer jak w podpisie. Nie używam co sprawna na chwilę obecną Squid-a ale sam SNORT zajmuje mi ok 2GB pamięci.Kiedyś miałem na PFsense na innym sprzęcie (QC e5420 i 8GB RAM) i na tych paczkach co podałeś bez SNORT-a zajmowało ok 7GB RAM + ok 1-2 GB SWAP-u.
W efekcie zrezygnowałem ze SQUID z racji że skubany nie potrafił ciapać ruchy między WANA-ami jak i były problemy ze ściąganiem aktualizacji do niektórych programów (SQUID ustawiony jako przeźroczysty).edit.
Sprawdź w konfiguracji SQUIDa czy tam nie było informacji że xxMB/GB przestrzeni na dysku to xx MB w pamięci ram. Może warto zmniejszyć Cache np do rozsądnej wartości. Chociaż ram warto puchnąć na max-a jak i wymienić procek. -
Cache ustawiłem na 100 MB(!!), dodatkowo wyłączyłem zapisywanie cachu na dysku. Procesor nie jest aż tak mocno obciążony, głównie problem jest z ramem. Odpaliłem snorta i bez squida daje radę. Na chwilę obecną z 4 GB zajęte 26% RAM. Po niedzieli dołożę 4 GB. Wymiana sprzętu nie wchodzi chwilowo w grę.
-
Sądzę że dołożenie pamięci RAM powinno w znacznym stopniu rozwiązać problem.
-
Ustawiłem squida bez keszowania tylko jako filtr i przestało drastycznie zjadać RAM, nawet jeszcze nie rozszerzyłem do 8 GB. Odpaliłem snorta i w tandemie ze squidem zjadają całego procka :( Teoretycznie mogę wymienić na quada ale nie wiem czy to wystarczy. Kusi mnie http://allegro.pl/ibm-x3550-2xqc-3-16ghz-16gb-2x73-gw-fv-i6055997404.html niby dość tanio, spora moc ale niestety po 120 W na procesor, do tego nie wiem jak bardzo będzie to trwałe :( Widzę, że coś podobnego masz w podpisie, te zintegrowane sieciówki to Intel? Widzi je PF Sense bez problemu?
-
To jest ten sam model co ja mam. Zintegrowane sieciówki to Broadcom NetXtreme II. Są bez problemu wykrywane przez pfsense. Na podglądzie widać jakby tam były 3 świecówki, ale jedna z nich jest do zdalnego zarządzania o ile jest zainstalowany odpowiedni moduł (na zdjęciu go nie ma).
Jedyny minus to to że serwer jest dość głośny przy zainstalowanych 8 modułach pamięci ram. Przy 4 jest dość cichy (chodzi o wydajne chłodzenie pamięci). Jak i pfsense nie widzi statusu RAID. Trzeba obserwować osobiście w serwerowni lub poprzez port zdalnego zarządzania.
Do tego serwera mam podłączone dodatkowe sieciówkę quadport na chipsecie intela. Same procki co są w tym zestawie dość dość drogie w zakupie ok 150-250zł sztuka. Jak byś brał ten zestaw to dopłać te kilka zlotych do drugiego zasilacza jak i szyn. Ten serwer uciągnie maxymalnie 32GB RAM co nie jest drogie.
Rozważ zakup HP DL360G5 z 1-2x CPU QC. Jest on znacznie cichszy podczas pracy jak i pozwalana zainstalowanie 64GB RAM. Swego czasu miałem na takim HP-u pfsense ale z racji zmian wykorzystał go pod virtualalizację. Ale przy tym serwerze warto mieć aktywną baterię BBWC dlatego że duży Cache może trochę mulić.
Ewentualnie DELL 1950 w jakiejś przyzwoitek konfiguracji. -
Dzięki za wyczerpujące informacje. Niestety na dotacje zakładu pracy liczyć nie mogę, muszę wyłożyć ze swoich. Jeżeli się okaże, że działa to sprawnie to być może kiedyś dostanę parę złotych. Dlatego budżet to w granicach 500 zł. Spoglądam na to: http://allegro.pl/hp-dl360-g5-2x-xeon-e5405-16gb-2x72gb-szyny-fvat-i6645589657.html ale ten procesor porównując rdzeń do rdzenia do mojego obecnego jest wolniejszy. Mając dwa takie CPU będę miał niewiele szybciej niż to co mam po wymianie na quda :(
-
Możesz śmiało taki brać. Masz tam 2 cpu wiec razem 8 rdzeni. Pojedynczy CPU ma wydajność 2905pkt, ale 2 cpu to już 5266.
U siebie mam w IBM L5420 ale po podziale sieci na VLANY będę mógł powiedzieć więcej czy 1 daje radę. Na wszelki wypadek mam drugi taki sam który czeka na montaż w tym serwerze.
Z testów jakie przeprowadzałem to obciążenie procka przy kopiowanie między vlanami (1Gb/s) dochodziło do 50%.
W razie co z czasem możesz wymienić na E5450 który to ma 4251pkt wydajności a 2 takie to już 7713pkt.
O ile pfsense potrafi wykorzystać potencjał multicpu. -
Znalazłem coś takiego w rozsądnej cenie: http://allegro.pl/dell-1950-iii-2xl5420-8gb-2xpsu-1x73gb-dvd-amso-i6595241690.html dołożę RAM do 16 GB i zobaczymy co będzie. Z drugiej strony ciekawe co za sprzęt siedzi w profesjonalnych UTM'ach?
-
Będziesz zadowolony. Aktualnie pamięć ram do tego della DDR2 ECC 5300F jest dość tania.
Co do sprzętu typu UTM to tam często siedzi atom, i lub XEON-De. Czasem wspomagany przez układ jak w przełącznikach. Najczęściej są to atomy i jego pochodne.
Chociażby najwydajniejszy router pfsense XG-1541 ma na pokładzie Xeon-DE D-1541 który to jest dedykowany właśnie do switchy, routerów itp.
Moim zdaniem to następca Atoma. -
Witam,
Pozwolą Panowie że podepnę się pod temat.Jest tak - siadł nam Mikrotik, który pełnił funkcję głównego routera. Mamy trochę niepotrzebnego sprzętu komputerowego na którym, zamiast wywalać tysiaka na kolejnego Mikrotika (który i tak radził sobie słabo), postnowiłem postawić pfsense (lub untangle, ale nie o tym).
Założenia:
2x WAN - każdy rutowany do osobnej sieci LAN, oba po ok. 40Mbit/s
priorytetyzacja ruchu po http
VLANy + limity przydziału na poszczególne podsieci, lub jakiś wydajny mechanizm równoważenia obciążenia pasma
Łącznie około 200 maszyn, plus klienci po wi-fi na trzech oddzielnych hotspotach (wpiętych po vlanach). Wszystko wpięte do switcha Cisco.O jakiej klasie sprzętu mówimy, żeby to działało płynnie?
-
Serwer który mam w opisie sprawuje się całkiem sprawnie przy ruchu LAN-WAN VLAN-VLAN.
Aktualnie jestem w trakcie ciapania sieci na vlany. Obciążenie procka wzrosło przy większym przesyle danych ale nie na tyle żeby powiedzieć iż brakuje mu mocy (do 30% dobija). Jak skończę całość to pewnie wzrośnie do ok 60% przy max przesyle. A ze planowany jest jeszcze VPN to drugi procek czeka na montaż.Podaj jakie ilości danych sa przesyłane między vlanami jak i jak bardzo obciążone są WAN-y? Sam SNORT i proxy bardzo obciażają procka. Słabsze modele maja z tym problem.
Swego czasu miałem pod PF-a starą stacje roboczą z opteronem DC 1.8GHz na pokładzie ale niestety nie dawał rady przy takim łączu 2x 40/4 SNORT i Proxy, do tego komunikacja między vlanami zajmowała 100% procesora. Aktualny serwer jest znacznie lepszy.
Przy takiej ilości komputerów co podałeś szukaj sprzętu z prockiem którego wydajność jest nie mniejsza niż 6k pkt w passmarku.
Moje wyglądały tak:
AMD opteron 1210: 923pkt
Intel Xeon L5420: 3492
2x L5420: 6541 -
VLANy w starej konfiguracji były wykorzystywane wyłącznie do wydzielenia podsieci (osobne DHCP) i rozdzielenia łącza zewnętrznego z limitami pasma na każdym VLANie. Innymi słowy - ruch między VLAN zerowy, pomijając łącza diagnostyczne. Podejrzewam, ze głównym wyznacznikiem obciążenia będzie dynamiczny przydział dostępnego pasma w obrębie danej podsieci, ewentualnie jakiś qos pod kątem http. Squid nie jest nam potrzebny. WAN obciążony na maksa - ile fabryka dała :-)
-
Jak masz jakiś stary komputer z dość wydajnym prockiem zagoń na router. Po kilku dniach sam oceniasz jaki sprzęt jest potrzebny.
-
Pochwalę się. Nabyłem drogą kupna nieco mocniejszą maszynę. Jest to HP DL360 G6 z dwoma procesorami X5570, 32 GB RAM, 4 x LAN. Aktualnie testuje u siebie na łączu 100/50. Wkrótce trafi w miejsce docelowe :)
-
Dobra maszyna pod router. Oby bezawaryjna.
Pochwal się jak wygląda obciążenie procka podczas pracy przy takim łączy (+ info jakie pakiety) jak już wdrożysz. -
To jakaś wadliwa seria HP, że piszesz o bezawaryjności?
Zastanawiam się czy włączyć HT w procesorach czy też zostawić czyste rdzenie, tzn. 8C/8C czy 8C/16T? Jest z tego jakiś zysk? Przy okazji widzę, że SNORT nie chodzi na kilku rdzeniach, uczepił się jednego :( Suricata lepiej korzysta z zasobów ale z kolei darmowych reguł jest mniej :(
-
Generalnie większych problemów nie ma z serwerami HP. Nie słyszałem o fabrycznych defektach G6, a o G5 i owszem.
Co do HT to możesz włączyć, ale zanim cokolwiek to poobserwuj jak sobie radzi na tych fizycznych 8 rdzeniach.