|
[필독] 처음 오시는 분을 위한 안내 (737) |
정은준1 |
2014-05 |
5247840 |
0 |
2014-05
5247840
1 정은준1
|
|
(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234) |
백메가 |
2015-12 |
1773163 |
25 |
2015-12
1773163
1 백메가
|
46426 |
FTP에서 다운로드만 안되는 현상에 대해서 질문드립니다. (10) |
luciddream |
2013-10 |
8810 |
0 |
2013-10
8810
1 luciddream
|
46425 |
혹시 아수스모니터 사용하시는분 계시나요? |
김건우 |
2013-10 |
8007 |
0 |
2013-10
8007
1 김건우
|
46424 |
cpu의 차이점. 클로버타운 vs 코어2듀오 (7) |
김황중 |
2013-10 |
8462 |
0 |
2013-10
8462
1 김황중
|
46423 |
3가지의 허브 구성 한번 봐주세요.!~~~~~~~~~~ (2) |
컴지기 |
2013-10 |
8041 |
0 |
2013-10
8041
1 컴지기
|
46422 |
[필독] 질문게시판에 가격문의는 금지입니다. (3) |
정은준1 |
2013-10 |
21121 |
0 |
2013-10
21121
1 정은준1
|
46421 |
구형 사운드카드 구입문의 (5) |
max158 |
2013-10 |
8368 |
0 |
2013-10
8368
1 max158
|
46420 |
pfSense의 방화벽 처리용량은 어떻게 추정할 수 있나요? (14) |
회원K |
2013-10 |
15610 |
0 |
2013-10
15610
1 회원K
|
46419 |
NAS 관련 질문입니다. (5) |
오재호 |
2013-10 |
8021 |
0 |
2013-10
8021
1 오재호
|
46418 |
질문게시판 상단에 공지하나 띄우면 어떨까요? (4) |
김황중 |
2013-10 |
6951 |
0 |
2013-10
6951
1 김황중
|
46417 |
리눅스 SAR 의 iowait 가 뭔가요?? (1) |
컴지기 |
2013-10 |
11581 |
0 |
2013-10
11581
1 컴지기
|
46416 |
m-atx 보드는 원래 이리 고장이 잘나는가 봅니다. (10) |
윈도우10 |
2013-10 |
6838 |
0 |
2013-10
6838
1 윈도우10
|
46415 |
HP ML350-Gen8 Win2003 랜카드 추천 부닥드립니다. (11) |
누굴까 |
2013-10 |
7809 |
0 |
2013-10
7809
1 누굴까
|
46414 |
모니터에서 메뉴 진입이 안되면 어떻하나요? (7) |
SkyBase |
2013-10 |
6345 |
0 |
2013-10
6345
1 SkyBase
|
46413 |
마소 익스4 마우스용 마이크로 스위치를 구하기가 어렵네요. (2) |
권순규 |
2013-10 |
7702 |
0 |
2013-10
7702
1 권순규
|
46412 |
랜카드 Broadcom 칩은 정말로 아닌가요? (6) |
윈도우10 |
2013-10 |
7751 |
0 |
2013-10
7751
1 윈도우10
|
46411 |
dhcp 주서버 보조서버?? (1) |
컴지기 |
2013-10 |
6319 |
0 |
2013-10
6319
1 컴지기
|
46410 |
HP NC375T 쿼드 랜카드.. 윈도우7 드라이버는 없을까요? (2) |
이니셜225 |
2013-10 |
6776 |
0 |
2013-10
6776
1 이니셜225
|
46409 |
보드 수리할땐 무조건 고주파인두기가 필요한가요? (10) |
장동건2014 |
2013-10 |
11748 |
0 |
2013-10
11748
1 장동건2014
|
46408 |
1366소켓 서버보드 질문 드려요. (18) |
유고자 |
2013-10 |
6205 |
0 |
2013-10
6205
1 유고자
|
46407 |
아버지 아이폰 4 고장 나서요 (6) |
박성만 |
2013-10 |
6454 |
0 |
2013-10
6454
1 박성만
|
Reporting and Monitoring
RRD Graphs
The RRD graphs in pfSense maintain historical information on the following.
CPU utilization
Total throughput
Firewall states
Individual throughput for all interfaces
Packets per second rates for all interfaces
WAN interface gateway(s) ping response times
Traffic shaper queues on systems with traffic shaping enabled
장비가 한대면 그냥 시스템에서 모니터링 하시고 장비가 여러대인 경우에는 snmp를 이용해서
다수의 장비를 모니터링 하시면 됩니다.
일반 서버에 pfSense를 설치하는 경우 어느정도 처리용량인지 확인할 방법이 필요할 것 같은데
못찾고 있습니다.
pc다수---방화벽---서버다수 이런식으로 연결하고 서버 다수에 iperf 서버 구동, pc다수에 iperf client 로
테스트 하면 어차피 모든 패킷은 방화벽을 거쳐서 가기 때문에 패킷 로스가 발생하는 시점을 찾을 수 있을듯 합니다. 그 시점의 방화벽의 rrd graph를 확인하시면 대략 한계치가 나오지 않을까 싶네요.
방화벽의 사양이 어떻게 되는지는 모르겠지만
기가비트 컨트롤러 달려있고 메모리 충분하면 700~800Mbps 까지는 충분히 버티지 않을까 예상해 봅니다.
CPU는 업글되어서 좋은 사양으로 알고 있습니다 (CPU 라벨을 적어두지 않아서...)
이정도면 700-800 mbps까지 버틸 수 있을까요?
추가로 램을 4G로 늘린다면 성능이 더 좋아지는지 알고 싶습니다.
서버는 사양만 들어도 추정이 되는데,
방화벽은 써보지를 않아서... 예측이 안되네요.
리눅스를 예를 들자면 리눅스 방화벽의 경우 대부분 iptables로 패킷 컨트롤을 하게 됩니다.
iptables가 동작하면서 연결 추적(conntrack)을 기본적으로 하게 되는데 이 경우 시스템의 메모리의
영향을 받게 됩니다. 즉 처리할수있는 세션수가 한계에 도달하게 되어 동시에 많은 커넥션이 발생하면
더이상 처리를 못하게 되는 경우가 생깁니다.
따라서 가급적 메모리는 넉넉하게 가져가는것이 좋습니다.
기본적으로 1G이상의 시스템에서는 ip_conntrack_max 값이 65536개 입니다.
물론 저정도도 왠만한 접속이 많은 곳에서도 잘 버팁니다만 저 값이 시스템 메모리와 관련이 있어서
무작정 늘릴수가 없습니다. 따라서 접속에 관련한 값을 확인한후 부족하지 않게 메모리를 증설을 해주셔야 합니다.
커널문서에 따르면 시스템메모리(byte)/16384 하시면 ip_conntrack_max값이 나온다고 되어있습니다.
현재 1G 6400U가 2개 꼽혀 있는데, 뱅크가 2개라서 2G로 바꿔야 4G가 나옵니다.
그런데 2G 6400U는 귀한 것이라서 구하기 쉽지는 않을 것 같구요.
2G에서는 12만 정도 나오네요.
50mbps 나가는 웹서버의 apache의 connection(apachectl status에서 보이는 것)이
보통 10-30개 정도 열리니까 500mbps 이상도 무난 할 것 같은데...
제 생각이 맞는걸까요? ^^
High Throughput Environments
In environments where extremely high throughput through several interfaces is required, especially with gigabit interfaces, PCI bus speed must be taken into account. When using multiple interfaces in the same system, the bandwidth of the PCI bus can easily become a bottleneck. Most typical motherboards only have one or two PCI buses, and each can run an absolute maximum of 133 MBps, or 1064 Mbps. That's less than one gigabit interface can transfer. PCI-X can transfer up to 1056 MBps, or about 8.25 Gbps.
PCIe (PCI Express) offer significantly higher bandwidth than traditional PCI and PCI-X slots. PCIe 1.0 offers a bandwidth of 250MB/sec per lane, while PCIe 2.0 doubles that to 500MB/sec per lane, while PCIe 3.0 offers a staggering 985MB/sec per lane although as of winter 2013 there are no PCI 3.0 NICs on the market. Most single and multi-port NICs (both integrated and add-on PCIe cards) are connected via an x4 (four lane PCIe) offering plenty bus headroom to saturate multiple gigabit links. Both single and dual port 10gbit adaptors are typically PCI-e x8.
If you need sustained gigabit throughput at wire speed, you will want a server-class motherboard with PCIe or PCI-X slots with matching PCIe/PCI-X NIC's. You'll also need a 2.8+ GHz CPU.
201-500 Mbps No less than 1.0 GHz CPU Dual Core
A 266 MHz CPU will max out at around 4 Mbps of IPsec throughput, a 500 MHz CPU can push 10-15 Mbps of IPsec, and relatively new server hardware (Xeon 800 FSB and newer) deployments are pushing over 100 Mbps with plenty of capacity to spare.
솔리게이트 정도의 장비에 pfSense를 올리면 500mbps 이상 무난한 것 같습니다.
앞의 자료를 조금 더 정리한 것 입니다...
실사용자들중에는 atom으로도 200mbps는 처리한다고 하니 Xeon 계열이면 500mbps는 무난할 것 같습니다.
프비에서도 커널 옵티마이징이 가능하므로 일단 테스트 해보시고 적용시키시면 되실듯 하네요
iptables 의 conntrack 은 방화벽의 룰이 어떻게 되어 있느냐에 따라서도 영향을 받습니다.
보통 허용되는 포트에 대해서는 conntrack을 하지 않는것도 방법중에 하나입니다.
속도를 위해 ssd로 바꾸는 것은 어떤가요?
디스크 속도는 거의 의미가 없습니다.
디스크를 사용하는 경우라면 기껏해야 rrdtool 이용해서 그래프 만드는 정도와 로그기록할때만 사용하게 될겁니다.
rrdtool의 경우 워낙 가벼워서 실제 디스크를 바꾼다고 해도 체감할만큼 큰 차이를 못 줄 것입니다.
ebay를 뒤지다보니, 구형 펜티엄4 서버가 50mbps 정도 처리 가능하네요.
생각보다 pfSense의 성능이 높은 것 같습니다.
2G에서 6만 정도의 conntrack가 가능하면 600mbps 정도 가능한것이 아닐까요?
1 conntrack = 1 session이 맞는지 모르겠습니다.
Users: 20-60
Throughput: 400mbps
Max. Sessions: 40,000
Lan Ports: 6
WAN Ports: 2
VPN Tunnels: 50