![[OpenBSD]](../../../images/smalltitle.gif)
[Předchozí: Logging]
[Obsah]
[Další: Otázky okolo FTP]
PF: Výkon
"Jak velkou šířku pásma PF zvládá?"
"Jak silný potřebuji počítač aby zvládal mé Internetové připojení?"
Neexistují žádné snadné odpovědi na tyto otázky. Pro některé aplikace a
486/66 s párem dobrých ISA NIC karet můžete filtrovat a NATovat skoro
5Mbps, ale pro jiné aplikace potřebujete mnohem rychlejší stroj
s mnohem efektivnějšími PCI NIC kartami aby to bylo dostatečné.
Opravdová otázka neni počet bitů za sekundu, ale raději počet
paketů za sekundu a komplexnost pravidel.
PF výkon je určen několika proměnnými:
- Počet paketů za sekundu. Takřka stejné množstvi zpracování je nutné
udělat na paketu s 1500 bytů velkou datovou častí (payload) jako pro paket
s 1 bytem payload. Počet paketů za sekundu určuje, jak často jsou stavová
tabulka a, v případě, že v ní není odpovídající záznam, filtrovací pravidla
vyhodnocována každou vteřinu což určuje efektiní dopad na systém.
- Výkon vaší systémové sběrnice. ISA sběrnice má maximální šířku pásma
8MB/sec a pokud k ní přistupuje procesor, tak sama sebe musí zpomalit na
efektivní rychlost 80286 běžící na 8MHz bez ohledu na to jak je procesor
ve skutečnosti rychlý. PCI sběrnice má mnohem větší efektivní šířku pásma
a menší dopad na procesor.
- Efektivita vaší síťové karty. Některé síťové adaptéry jsou prostě
efektivnější než jiné.
Starší rl(4) karty založené na Realtek 8139 mají tendenci poskytovat relativně
ubohý výkon
(novější
re(4) karty založené na Realtek jsou mnohem lepší), zatímco Intel 21143
(dc(4))
karty fungují velmi dobře. Pro maximální výkon pouvažujte nad použitím
gigabitových Ethernet karet i když se nebudete připojovat k gigabitovým
sítím, protože mají mnohem pokročilejší buffering.
- Komplexnost a návrh vašich pravidel. Čím složitější jsou vaše pravidla,
tak tím pomalejší to je. Čím více paketů je filtrováno pomocí
keep state a quick pravidel, tím lepší budete mít výkon.
Čím více řádků se musí pro každý paket vyhodnocovat, tím nižší výkon.
- Sotva stojí za zmínku: CPU a RAM. Protože je PF proces běžící v jádru,
tak nebude používat swap prostor. Takže pokud máte dostatek RAM, tak funguje,
pokud ne, tak to vyvolá panic z důvodu
pool(9) přetečení. Velké množství RAM není potřeba -- 32MB by mělo
být dostatečné pro skoro 30.000 stavů což je mnoho stavů pro malou kancelář
nebo domácnost. Většina uživatelů zjistí, že "recyklovaný" počítač je více
než dostatečný pro PF systém -- 300MHz systém je schopný zpracovat velké
množství paketů velmi rychle pokud má alespoň dobré NIC a dobré filtrovací
pravidla.
Pomůže více procesorů?
PF použije pouze jeden procesor, takže více procesorů (nebo více jader)
NEZLEPŠÍ PF výkon.
OVŠEM v některých případech, použití SMP verze OpenBSD
(bsd.mp) místo bsd nabídne lepší výkon z důvodu
rozdílu v tom, jak je zpracováváno přerušení.
V mnoha případech dá bsd.mp menší výkon.
POKUD vídíte výkonové problémy, tak to zkuste. Většina uživatelů nikdy
nedosáhne žádný z limitů aby je toto muselo trápit.
Jsou dostupné nějáké benchmarky?
Lidé se často ptají na PF benchmarky. Jediný benchmark, který se počítá je
výkon vašeho systému ve vašem prostředí. Benchmark, který
nesimuluje vaše prostředí vám nepomůže správně naplánovat váš firewall
systém. Nejlepší cestou je benchmarkovat PF pro vás samotné pod stejnýma,
nebo co nejpodobnějšíma síťovýma podmínkama, které pak firewall zažije na
hardware, který bude používat.
PF je používán v některých velmi velkých aplikacích s vysokým množstvím
provozu a vývojaři jsou tzv. "power uživatelé" PF. Je tak šance, že bude
velmi dobře sloužit i pro vás.
[Předchozí: Logování]
[Obsah]
[Další: Otázky okolo FTP]
![[back]](../../../images/back.gif)
www@openbsd.org
$OpenBSD: perf.html,v 1.2 2012/11/08 08:49:02 ajacoutot Exp $