【求助】Linux 中 iptables 的 throughput

[genjen]

最近想在 1000M 速率的 switch 上架 Linux 當 Firewall, 不知道若是使用 iptables 的話, throughput 可以到多少呢? 有沒有朋友有經驗的? 效能如何?

[wangcm]

最初由 genjen 發表
最近想在 1000M 速率的 switch 上架 Linux 當 Firewall, 不知道若是使用 iptables 的話, throughput 可以到多少呢? 有沒有朋友有經驗的? 效能如何?

我只試過100base能到全速(PII-400,BTW,firewall rule的寫法也會影響throughput),不過一般PC(指32bit PCI33) PCI bus總共也只有132MB/sec的throughput,應付一張1000base就有點勉強了,可能至少要跑32bit PCI66(不太舊的MB及NIC應該就有支援)甚至是64bit PCI66(NIC和MB都要有支援)才不會塞在bus上...

[dou0228]

你已經有設備了, 何不試一下便知分曉?
如果是 PCI 64 的話, 跑上個幾百 Mb/s 沒問題..

[genjen]

最初由 wangcm 發表
我只試過100base能到全速(PII-400,BTW,firewall rule的寫法也會影響throughput),不過一般PC(指32bit PCI33) PCI bus總共也只有132MB/sec的throughput,應付一張1000base就有點勉強了,可能至少要跑32bit PCI66(不太舊的MB及NIC應該就有支援)甚至是64bit PCI66(NIC和MB都要有支援)才不會塞在bus上...

謝謝 wangcm, 我又學到了一點

[genjen]

最初由 dou0228 發表
你已經有設備了, 何不試一下便知分曉?
如果是 PCI 64 的話, 跑上個幾百 Mb/s 沒問題..

嗯... 可是我不知道怎麼測耶... 是直接透過 firewall 下載檔案, 然後看它的下載速度嗎?

[dou0228]

下載檔案會不準了.. 請設好 NAT rule 之後.
產生一大堆 packet 下去測就好了..
不要傳檔案以免多增加變數.

[wangcm]

最初由 dou0228 發表
下載檔案會不準了.. 請設好 NAT rule 之後.
產生一大堆 packet 下去測就好了..
不要傳檔案以免多增加變數.

補充一下,一般單一HD(非RAID,BTW,非真正hardware based RAID除了吃CPU外也會吃PCI,在此處實用性欠佳)的throughput要破60MB/sec就不太簡單了,用在這堛瑤T不太合適,而且除了有些onboard IDE port有自己的通道不用share PCI外,一般ATA/RAID/SCSI卡都一樣要吃PCI,一般PC對此可能真是力有未逮,server級機器上的64bit PCI66或PCI-X/PCI Express等等在此就有用武之地了...

[genjen]

最初由 dou0228 發表
下載檔案會不準了.. 請設好 NAT rule 之後.
產生一大堆 packet 下去測就好了..
不要傳檔案以免多增加變數.

嗯... 可是我不會自己產生一堆 packet ㄋㄟ... 是要自己寫程式嗎?
嗚... 我程度不行... 還是少做點白日夢好了

[genjen]

最初由 wangcm 發表
補充一下,一般單一HD(非RAID,BTW,非真正hardware based RAID除了吃CPU外也會吃PCI,在此處實用性欠佳)的throughput要破60MB/sec就不太簡單了,用在這堛瑤T不太合適,而且除了有些onboard IDE port有自己的通道不用share PCI外,一般ATA/RAID/SCSI卡都一樣要吃PCI,一般PC對此可能真是力有未逮,server級機器上的64bit PCI66或PCI-X/PCI Express等等在此就有用武之地了...

謝謝 wangcm 您真是熱心, 前幾天我有朋友 forward 一篇 1000M PCI-X 大陸的討論區文章, 還不錯, 明天 po 給大家看 謝謝大家的幫忙

[genjen]

資料來了, 不過聽說有上中下三篇, 這裡只有上篇...
http://china.nikkeibp.co.jp/china/ne...309300108.html