Débit d'un firewall et débit de ses interfaces - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 19-10-2007 à 17:18:24
frankie_flowers a écrit : Si le débit total ne peut de toutes façons pas dépasser 450 Mbps, l'intérêt du Giga sur les interfaces est très limité, non |
Vu que le niveau en dessous des cartes gigabit c'est du 100Mb/s, meme si tu peux pas exploiter ton giga a 100% c'est quand meme vachement plus interessant d'exploiter au maxi la capacité de traitement de ton firewall plutot qu'il se tourne les pouces parce que le facteur limitant c'est ton interface matériel, 450Mb/s c'est déjà bien mieux que 100
Citation : A moins que dans certaines situations, le trafic entre deux interfaces puisse effectivement s'affranchir de la limite de 450 et monter au Giga ? |
Si je dis pas de connerie, non. Mais c'est pour relier quoi a quoi que tu veux absolument du giga ? Parce que les ASA sont plutot prévu pour être des firewalls de perimetre/passerelle VPN/IPSec branchés sur des liens WAN qui vont assez rarement atteindre de tels débits...
Marsh Posté le 19-10-2007 à 17:37:56
Le temps de traitement d'un paquet, en ASIC ou autre, c'est du temps, donc la latence etc... fait que tu as le droit à un débit réel < à un débit des interfaces.
Sachant bien évidement que le temps de traitement des paquets dépend de beaucoup de paramètres : le protocole, la fragmentation, les services associés (routage, IDS, antivirus...), le chiffrement...
bref, le throughput ne peut être équivalent au débit des NICs dans la simple mesure où un firewall n'est pas un fil.
Marsh Posté le 19-10-2007 à 21:32:24
Si tu n'as que du transfert internet, c'est a dire LAN/WAN ... du 100 ne sera pas limitant.
Et meme la puissance CPU/RAM ne sera pas limitant non plus.
De meme si tu as LAN1/LAN2/LAN3 et le WAN et qu'il n'y a pas de transits entre les différents LAN, meme remarque que le premier cas.
Par contre si tu as des transits inter lan, soit du prends un commutateur N3 et tu simplifie et optimise ton infrastructure, ce qui te permet de n'avoir au final plus qu'un "gros lan" qui tiendras sur 1 interface et le WAN ...
Mais si tu ne peux mettre en place un switch N3, alors ton parefeu se retrouveras comme l'unique "routeur" de tout ton réseau et sa puissance CPU/RAM sera très importante dans un premier temps et des interfaces giga seront très vivement conseillées.
Dans TOUS LES CAS : une ACL sur un commutateur, une Règle de parefeu prennent du temps CPU pour etre analysées et traitées.
Plus il y en a, plus c'est long ; d'ou une optimisation necessaire.
Marsh Posté le 19-10-2007 à 21:34:31
mouaif, avant d'atteindre un débit effectif de plusieurs centaines de Mb/s dans les réseaux d'entreprise... Y a de quoi voir venir.
edit : les ACL sur les switchs, c'est traité en hardware maintenant
Marsh Posté le 20-10-2007 à 00:33:21
je pense qu'il faut aussi regarder les specs de ton firewall en terme de pps et non de trafic.
450 mbits de trafic web n'a rien a voir avec 450 mbits de trafic jeu (counter strike ou autre) par exemple.
un firewall sachant filtrer et firewaller 450 meg de trafic web ne sera p'tet pas forcément capable de faire la meme chose avec le même debit mais avec bcp plus de pps
Marsh Posté le 20-10-2007 à 17:45:29
Et si des services de sécurité type anti virus antispy ids filtrag contenu ect.. çà descend vite...
Marsh Posté le 22-10-2007 à 10:20:58
El Pollo Diablo a écrit : Si je dis pas de connerie, non. Mais c'est pour relier quoi a quoi que tu veux absolument du giga ? Parce que les ASA sont plutot prévu pour être des firewalls de perimetre/passerelle VPN/IPSec branchés sur des liens WAN qui vont assez rarement atteindre de tels débits... |
Le réseau est assez mal conçu et il y a de gros transferts ponctuels entre les DMZ et le LAN
Marsh Posté le 22-10-2007 à 11:14:17
A une epoque, j'avais fais un truc pas génial ...
Parefeu WAN/LAN/DMZ classique quoi !
J'ai ajouté une 2eme NIC dans la machine en DMZ avec une IP entierement différente de mes réseaux utilisées.
Donc mon interface LAN étati relié à un N3 sur lequel, j'avais tous mes VLANS, mes différents SR, etc ...
Pour ne pas passer par le parefeu de l'epoque pour transférer les videos/php/html et autre joyaux, j'ai contourné la DMZ en lui mettant directement une interface sur le N3.
Puis placé quelques ACL comme il se doit, modifier simplement l'enregistrement DNS pour atteindre la nouvelle IP de la machine à atteindre SANS toucher les routes puisque mon N3 avait une interface dans ce "nouveau" reseau crée.
Ca permettais de n'avoir qu'un simple commutation/routage très optimisé entre mon LAN et cet unique machine (les autres machines dn DMZ etant accessibles via le parefeu).
Coté sécurité, c'était pas top, meme avec des ACL ...
Néanmoins pour mettre en place les 2GB de données, il ne fallait plus que 20min maximum au lieu de 3-4h ...
Depuis, nous nous sommes équipés de parefeu gigabit, très costaud et la DMZ est redevenue separée.
Pour 4-5GB a copier (DMZ <--> LAN) il leur faut environ 1h ... je trouve ca correct.
Marsh Posté le 19-10-2007 à 16:52:07
Bonjour,
Dans les caractéristiques des firewall matériels, sont précisés le débit des interfaces réseau (100Mbps ou 1 Gbps le plus souvent), mais aussi le débit du firewall (plus variable, "firewall throughput" ).
Ce throughput est déterminé par la puissance de calcul du firewall.
Ma question : quel type de trafic ne sera PAS limité par la valeur de ce throughput ?
Elle peut paraître débile, mais je suis en train d'étudier les specs du Cisco ASA 5520, qui possède 4 interfaces Giga, pour un throughput de seulement 450 Mbps.
Si le débit total ne peut de toutes façons pas dépasser 450 Mbps, l'intérêt du Giga sur les interfaces est très limité, non
A moins que dans certaines situations, le trafic entre deux interfaces puisse effectivement s'affranchir de la limite de 450 et monter au Giga ?