12
Pfsense Hardware Atom Prozessoren Sinnvoll?
Hallo zusammen,
demnächst löse ich unsere unsere derzeitige Core-Firewall mit einem PfSense HA-Cluster ab.
Ich suche mir gerade die Hardware dafür zusammen und wollte mich erkundigen ob jemand Erfahrungen mit Atom Prozessoren und PfSense hat. Ca. 2Gbit Throughput sollten schon vorhanden sein und ich dachte an einen Intel G4400T Dual Core mit 2,9 GHz. Bzw einen Xeon E3 V5 (Quad) mit 3 Ghz um Reserven für Snort etc zu haben.
Nun gibt es ja auch Atom CPUs mit 2,4 GHz und 4 bzw. 8 Kernen.
Wenn ich überlege ,dass in unserer jetzigen Aplliance 4 Kerne mit 800 mhz stecken und mein APU1D4 Board mit einem 1Ghz Dual Core zwischen 75 und 90 MB/sec schafft frage ich mich doch was die Hardware Sizing Guides der PfSense so für Werte angeben.
Hat jemand hier Erfanrungswerte?
Und noch eine Sache. Ich habe mal vor 2 Jahren einen Thread gelesen in dem stand, dass der Pfsense Service für die Paketfilterung Single Threaded ist. Also Multi Cores garnicht wirklich Sinn machen. Vielleicht bestätigt mir nochmal jemand das das blödsinn ist weil auch Quad CPus in den Hardware Sizing Guides dann keinen Sinn machen würden.
EDIT: Ich habe gerade gesehen, dass ab V2.2 der Packet Filter Multithreaded ist.
Danke euch schonmal.
LG Theo
demnächst löse ich unsere unsere derzeitige Core-Firewall mit einem PfSense HA-Cluster ab.
Ich suche mir gerade die Hardware dafür zusammen und wollte mich erkundigen ob jemand Erfahrungen mit Atom Prozessoren und PfSense hat. Ca. 2Gbit Throughput sollten schon vorhanden sein und ich dachte an einen Intel G4400T Dual Core mit 2,9 GHz. Bzw einen Xeon E3 V5 (Quad) mit 3 Ghz um Reserven für Snort etc zu haben.
Nun gibt es ja auch Atom CPUs mit 2,4 GHz und 4 bzw. 8 Kernen.
Wenn ich überlege ,dass in unserer jetzigen Aplliance 4 Kerne mit 800 mhz stecken und mein APU1D4 Board mit einem 1Ghz Dual Core zwischen 75 und 90 MB/sec schafft frage ich mich doch was die Hardware Sizing Guides der PfSense so für Werte angeben.
Hat jemand hier Erfanrungswerte?
Und noch eine Sache. Ich habe mal vor 2 Jahren einen Thread gelesen in dem stand, dass der Pfsense Service für die Paketfilterung Single Threaded ist. Also Multi Cores garnicht wirklich Sinn machen. Vielleicht bestätigt mir nochmal jemand das das blödsinn ist weil auch Quad CPus in den Hardware Sizing Guides dann keinen Sinn machen würden.
EDIT: Ich habe gerade gesehen, dass ab V2.2 der Packet Filter Multithreaded ist.
Danke euch schonmal.
LG Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 310988
Url: https://administrator.de/contentid/310988
Printed on: April 24, 2024 at 17:04 o'clock
12 Comments
Latest comment
Die CPU ist nicht sehr ausschlaggebend. Viel wichtiger ist das NIC Chipset. Hier sollten keine Realtek, Ralink usw. Chipsets verwendet werden die das Paket Handling der Rechner CPU aufbürden.
Mit einer potenten Atom CPU kannst du nichts falsch machen.
Mit deiner Angabe "zwischen 75 und 90 MB/sec" meinst du da MByte ? Also 720 Mbit/s was dann schon ein sehr realistischer Wert für das APU1D ist.
Das Multithreading Thema ist ja schon beantwortet
Mit einer potenten Atom CPU kannst du nichts falsch machen.
Mit deiner Angabe "zwischen 75 und 90 MB/sec" meinst du da MByte ? Also 720 Mbit/s was dann schon ein sehr realistischer Wert für das APU1D ist.
Das Multithreading Thema ist ja schon beantwortet
Hi Aqui,
Die Intel NICs sind klar. Die Supermicro Boards haben 4 Onboard und es kommt noch eine Intel Quad Port Karte rein.
Also meinst du mit dem 8-Kern Atom (C2758) den entsprechenden Nics etc. komme ich auf auf die 2 Gbps?
Und ja ich meinte 720Mbit/s beim APU.
EDIT: Ich habe mir gerade das Atom Board mal genauer angesehen. Zwar steht im Dazenblatt Intel I354 Controller aber offensichtlich haben die Ethernet Schnittstellen keinen eigenen Processor sondern dafür istkomplett der Atom Prozessor zuständig. Oder ist das ein einzelner Prozessor und nur im SOC integriert...Das würde mir ja wohl nicht wirklich weiterhelfen und ist eigentlich dann ein K.O Kriterium oder?
LG
Theo
Die Intel NICs sind klar. Die Supermicro Boards haben 4 Onboard und es kommt noch eine Intel Quad Port Karte rein.
Also meinst du mit dem 8-Kern Atom (C2758) den entsprechenden Nics etc. komme ich auf auf die 2 Gbps?
Und ja ich meinte 720Mbit/s beim APU.
EDIT: Ich habe mir gerade das Atom Board mal genauer angesehen. Zwar steht im Dazenblatt Intel I354 Controller aber offensichtlich haben die Ethernet Schnittstellen keinen eigenen Processor sondern dafür istkomplett der Atom Prozessor zuständig. Oder ist das ein einzelner Prozessor und nur im SOC integriert...Das würde mir ja wohl nicht wirklich weiterhelfen und ist eigentlich dann ein K.O Kriterium oder?
LG
Theo
Ja, die Frage ist nur wenn du lediglich 1 GiG NICs hast im Board wie du dann 2Gig handhaben willst ??
Supermicro Boards sind generell eine sehr gute Wahl und Hardware.
Die I350 Controller Serie sind dedizierte Ethernet Controller...alles gut also.
http://www.intel.com/content/www/us/en/ethernet-products/gigabit-server ...
Supermicro würde nie "Spar" Chipsätze verbauen...
Supermicro Boards sind generell eine sehr gute Wahl und Hardware.
Die I350 Controller Serie sind dedizierte Ethernet Controller...alles gut also.
http://www.intel.com/content/www/us/en/ethernet-products/gigabit-server ...
Supermicro würde nie "Spar" Chipsätze verbauen...
Ich nehme das Board mit 4 Nics. Per Raiser Card kommt noch eine Intel Quad Karte dazu.
Per LACP werden die Switche für LAN und DMZ im redundaten Stack angebunden. Das gibt natürlich nur 1 Gig pro Verbindung aber bswp. 2 x 1Gig in die DMZ von unterschiedlichen Clients aus. Die lokalen Nics des Boards werden auch "nur" für die 3 Wan verbindungen und die Heartbeat Verbindung des HA Clusters genutzt.
Beim Atom Board bin ich etwas stutzig geworden weil wenn man sich die Bilder mal im Detail ansieht, hängt zwischen den Nics und dem Atom nur der Ethernet Transceiver und eben keine dedizierten Controller wie auf den großen Supermicro Boards. Die eigeltochen Controller sind offensichtlich im Atom integriert. Aber wenn du meinst die controller sind im SOC dezidiert werd ich das wohl trotzdem mal ausprobieren.
Lg
Theo
Per LACP werden die Switche für LAN und DMZ im redundaten Stack angebunden. Das gibt natürlich nur 1 Gig pro Verbindung aber bswp. 2 x 1Gig in die DMZ von unterschiedlichen Clients aus. Die lokalen Nics des Boards werden auch "nur" für die 3 Wan verbindungen und die Heartbeat Verbindung des HA Clusters genutzt.
Beim Atom Board bin ich etwas stutzig geworden weil wenn man sich die Bilder mal im Detail ansieht, hängt zwischen den Nics und dem Atom nur der Ethernet Transceiver und eben keine dedizierten Controller wie auf den großen Supermicro Boards. Die eigeltochen Controller sind offensichtlich im Atom integriert. Aber wenn du meinst die controller sind im SOC dezidiert werd ich das wohl trotzdem mal ausprobieren.
Lg
Theo
aber bswp. 2 x 1Gig in die DMZ von unterschiedlichen Clients aus.
Aber nur wenn der 802.3ad Hash von Mac oder IP auch unterschiedliche Werte ergibt Aber keine Frage das klappt natürlich und erklärt die 2 Gig.
Die heutigen kompakten North- oder Southbridge Chipsätze und gerade die von Intel haben fast alle Schnittstellen integriert wie SATA, USB und auch Ethernet. Eine Hälft davon ist häufig gleich mit aufs CPU Die gewandert um die Verwendung von externen Bauteilen zu reduzieren.
Alles klar danke dir. Dann werde ich wohl in den nächsten Wochen den HA Cluster mal damit aufbauen und die Ergebnisse hier posten.
Lg
Theo
Lg
Theo
Wir sind gespannt 
Hallo nochmal,
was ist denn nun aus dem HA Cluster geworden? Hast Du den via CARP laufen
und machst ein Load Balancing über beide Geräte oder ist eine nur als Ersatz
wenn die andere ausfällt?
Es gibt davon 2,4 und 8 Kern SoCs, und ja die sind richtig schnell bei der
Sache.
1 GBit/s am WAN Port! Es gibt dazu zwei richtig gute Boards auf dem Markt!
- ASUS Q87T
- Jetway NF592-Q170
Damit kann man dann später im Hinblick auf CPU, RAM und mSATA auch aufrüsten!
(NIC) so richtig fett! Daher sind die leider ausverkauft und voll vergriffen, selbst
gebraucht sind sie kaum noch zu ergattern.
> Nun gibt es ja auch Atom CPUs mit 2,4 GHz und 4 bzw. 8 Kernen.
Das ist gerade alles im Umbruch und von daher auch wirklich etwas konfus
normaler weise ist der PPPoE Part am WAN Interface "single threaded" und
von daher geht dort recht viel mit einer CPU um die 3,0GHz, also 1 GBit/s routing
am WAN mit Snort und eventuell Squid ist da locker drin. Bei OpenVPN sieht es
dann schon wieder anders aus denn dort macht jeder Tunnel einen CPU thread
auf und mehrere CPU Kerne sind dann schon nett.
Einwahl mittels PPPoE oder nicht!?
Snort, Squid & SquidGuard, pfBlockerNG, ClamAV, OpenVPN oder IPSec VPN,.....
Die 8 Kern SoCs (C2758) kommen nicht voll auf 1 GBit/s am WAN Port, "aber"
sie sollen es ermöglichen recht viele Pakete zu installieren und die Kiste rennt
und rennt und rennt.
APU1D4
APU2C4
Supermicro C2358
Jetway NF9HG-2930
Mittel:
AxiomTek NA342(R)
AxiomTek NA361(R)
Supermicro C2558
Stark:
ASUS Q87T
Gigabyte GA-6LISL
Jetway NF592-Q170
Supermicro Intel Xeon D-15x8
und mit Version 3.0 sollte das dann der Vergangenheit angehören.
was man erwartet (Durchsatz) bzw. installiert (Pakete). Nehmen wir mal an Du hast
2 x 1 GBit/s FTTH zur Verfügung und willst das dort recht viel an VPN Durchsatz und
WAN - LAN Durchsatz im LAN und in der DMZ ankommt, dann ist ein Intel Xeon
E3-12xxv3 mit ~3,0GHz (Quad Core) schon richtig nett dann braucht man sich
um nichts mehr sorgen und hat noch dicke Platz nach oben.
auch alles Multithreaded sein.
Gruß
Dobby
was ist denn nun aus dem HA Cluster geworden? Hast Du den via CARP laufen
und machst ein Load Balancing über beide Geräte oder ist eine nur als Ersatz
wenn die andere ausfällt?
demnächst löse ich unsere unsere derzeitige Core-Firewall mit einem
PfSense HA-Cluster ab.
Auch nicht schlecht!PfSense HA-Cluster ab.
Ich suche mir gerade die Hardware dafür zusammen und wollte mich erkundigen
ob jemand Erfahrungen mit Atom Prozessoren und PfSense hat.
Die werden von ADI und dem pfSense-shop selber verbaut und benutzt.ob jemand Erfahrungen mit Atom Prozessoren und PfSense hat.
Es gibt davon 2,4 und 8 Kern SoCs, und ja die sind richtig schnell bei der
Sache.
Ca. 2Gbit Throughput sollten schon vorhanden sein und ich dachte an einen
Intel G4400T Dual Core mit 2,9 GHz.
Es gehen auch G3260 @3,0GHz die rauschen richtig ab und routen auch ganz sicherIntel G4400T Dual Core mit 2,9 GHz.
1 GBit/s am WAN Port! Es gibt dazu zwei richtig gute Boards auf dem Markt!
- ASUS Q87T
- Jetway NF592-Q170
Damit kann man dann später im Hinblick auf CPU, RAM und mSATA auch aufrüsten!
Bzw einen Xeon E3 V5 (Quad) mit 3 Ghz um Reserven für Snort etc zu haben.
Da war das Gigabyte GA-6LISL mit einem Dual oder Quad Port Intel Server Adapter(NIC) so richtig fett! Daher sind die leider ausverkauft und voll vergriffen, selbst
gebraucht sind sie kaum noch zu ergattern.
> Nun gibt es ja auch Atom CPUs mit 2,4 GHz und 4 bzw. 8 Kernen.
Das ist gerade alles im Umbruch und von daher auch wirklich etwas konfus
normaler weise ist der PPPoE Part am WAN Interface "single threaded" und
von daher geht dort recht viel mit einer CPU um die 3,0GHz, also 1 GBit/s routing
am WAN mit Snort und eventuell Squid ist da locker drin. Bei OpenVPN sieht es
dann schon wieder anders aus denn dort macht jeder Tunnel einen CPU thread
auf und mehrere CPU Kerne sind dann schon nett.
Wenn ich überlege ,dass in unserer jetzigen Aplliance 4 Kerne mit 800 mhz
stecken und mein APU1D4 Board mit einem 1Ghz Dual Core zwischen 75
und 90 MB/sec schafft frage ich mich doch was die Hardware Sizing Guides
der PfSense so für Werte angeben.
Das kommt immer auf das an was Du (Ihr) hast oder habt!stecken und mein APU1D4 Board mit einem 1Ghz Dual Core zwischen 75
und 90 MB/sec schafft frage ich mich doch was die Hardware Sizing Guides
der PfSense so für Werte angeben.
Einwahl mittels PPPoE oder nicht!?
Snort, Squid & SquidGuard, pfBlockerNG, ClamAV, OpenVPN oder IPSec VPN,.....
Die 8 Kern SoCs (C2758) kommen nicht voll auf 1 GBit/s am WAN Port, "aber"
sie sollen es ermöglichen recht viele Pakete zu installieren und die Kiste rennt
und rennt und rennt.
Hat jemand hier Erfanrungswerte?
Klein:APU1D4
APU2C4
Supermicro C2358
Jetway NF9HG-2930
Mittel:
AxiomTek NA342(R)
AxiomTek NA361(R)
Supermicro C2558
Stark:
ASUS Q87T
Gigabyte GA-6LISL
Jetway NF592-Q170
Supermicro Intel Xeon D-15x8
Und noch eine Sache. Ich habe mal vor 2 Jahren einen Thread gelesen in dem stand,
dass der Pfsense Service für die Paketfilterung Single Threaded ist. Also Multi Cores
garnicht wirklich Sinn machen.
Teilweise stimmt es noch aber, mit Version 2.4 ist das schon nicht mehr ganz richtigdass der Pfsense Service für die Paketfilterung Single Threaded ist. Also Multi Cores
garnicht wirklich Sinn machen.
und mit Version 3.0 sollte das dann der Vergangenheit angehören.
Vielleicht bestätigt mir nochmal jemand das das blödsinn ist weil auch Quad CPus
in den Hardware Sizing Guides dann keinen Sinn machen würden.
Die machen dicke Sinn! Es kommt immer darauf an was man will oder braucht undin den Hardware Sizing Guides dann keinen Sinn machen würden.
was man erwartet (Durchsatz) bzw. installiert (Pakete). Nehmen wir mal an Du hast
2 x 1 GBit/s FTTH zur Verfügung und willst das dort recht viel an VPN Durchsatz und
WAN - LAN Durchsatz im LAN und in der DMZ ankommt, dann ist ein Intel Xeon
E3-12xxv3 mit ~3,0GHz (Quad Core) schon richtig nett dann braucht man sich
um nichts mehr sorgen und hat noch dicke Platz nach oben.
EDIT: Ich habe gerade gesehen, dass ab V2.2 der Packet Filter Multithreaded ist.
Stück für Stück kommt das wohl bei allen Sachen und ab Version 3.0 sollte es dannauch alles Multithreaded sein.
Gruß
Dobby
Hi Dobby,
ich schreib dir Montag nochmals Details, wollte auch noch ein HA Tutorial machen.
LG
Theo
ich schreib dir Montag nochmals Details, wollte auch noch ein HA Tutorial machen.
LG
Theo
Hallo zusammen,
Viel los die Woche....mal sehen wann ich das Tutorial hinbekomme aber erstmal das kurze Resümee:
Verbaut wurden 2 Supermicro Server mit 8-Kern Atom á 2,4 Ghz (A1SRi-2785F) mit 2x8GB Ram.
Das Board hat bereits 4 Intel NICs onboard.
Per PCIe habe ich noch eine Intel Quad verbaut (Achtung: die alten Quad Port Server Adapter sind nicht vom Atom Board unterstützt da PCIe V1.0 was auch trotz BIOS update und Kompatibiltätsmodus nicht läuft).
Lan und DMZ wurden jeweils per 802.3ad Links (Dual Gbit) an im Stack verkabelten SG500 Switche angeschlossen(2xSG500-52 und 2xSG500-28)
3 WAN Uplinks, und eine CARP Verbindung für den Cluster über die separate Intel NIC.
Kurzes Ergebnis: Es läuft alles astrein. Neben dem FireWall Cluster läuft auch Snort auf den 3 WAN Verbindungen und der LAN Verbindung (mit config sync).
Der HA Failover mit allen CARP IP's läuft so transparent das nichtmal eine bestehende Teamviewer Sitzung abbricht.
Bei vollem 2 GBit Traffic von 2 LAN Clients auf 2 DMZ Server steigt die CPU Last nur auf ca. 15%.
Der Hersteller der Server (ich darf ja keine Werbung machen aber wenn man 1HE Server bei google eingibt...) meinte er hat einen Kunden der die Hardware auch erfolgreich in einem 10GBit Setup mit Intel NICS verwendet hat. Bin da sehr angetan vom Service gewesen nur am Rande.
Falls noch Fragen sind schreibt. Ich gucke mal wann ich das HA Tutorial hinbekomme...
LG
Theo
Viel los die Woche....mal sehen wann ich das Tutorial hinbekomme aber erstmal das kurze Resümee:
Verbaut wurden 2 Supermicro Server mit 8-Kern Atom á 2,4 Ghz (A1SRi-2785F) mit 2x8GB Ram.
Das Board hat bereits 4 Intel NICs onboard.
Per PCIe habe ich noch eine Intel Quad verbaut (Achtung: die alten Quad Port Server Adapter sind nicht vom Atom Board unterstützt da PCIe V1.0 was auch trotz BIOS update und Kompatibiltätsmodus nicht läuft).
Lan und DMZ wurden jeweils per 802.3ad Links (Dual Gbit) an im Stack verkabelten SG500 Switche angeschlossen(2xSG500-52 und 2xSG500-28)
3 WAN Uplinks, und eine CARP Verbindung für den Cluster über die separate Intel NIC.
Kurzes Ergebnis: Es läuft alles astrein. Neben dem FireWall Cluster läuft auch Snort auf den 3 WAN Verbindungen und der LAN Verbindung (mit config sync).
Der HA Failover mit allen CARP IP's läuft so transparent das nichtmal eine bestehende Teamviewer Sitzung abbricht.
Bei vollem 2 GBit Traffic von 2 LAN Clients auf 2 DMZ Server steigt die CPU Last nur auf ca. 15%.
Der Hersteller der Server (ich darf ja keine Werbung machen aber wenn man 1HE Server bei google eingibt...) meinte er hat einen Kunden der die Hardware auch erfolgreich in einem 10GBit Setup mit Intel NICS verwendet hat. Bin da sehr angetan vom Service gewesen nur am Rande.
Falls noch Fragen sind schreibt. Ich gucke mal wann ich das HA Tutorial hinbekomme...
LG
Theo
Klasse Feedback aber du hast natürlich auch mit der Supermicro eine sehr gute, schon fast etwas überperformante HW so das das Ergebnis zu erwarten war.
Fazit: Alles richtig gemacht !
Fazit: Alles richtig gemacht !
