（转）《如何鉴别硬件防火墙性能的差异》对比netfilter的一些问题！

JohnBull

原帖由 platinum 于 2006-2-13 22:48 发表
谢谢 JohnBull 大哥的指点，原来是这样的，不过我还想继续再问一个问题，还请指教
我能测试出这个“延迟”的多少吗？

编程测试比较难，因为在用户态发报还牵扯到用户态与内核态复制。
感觉上应该写一个内核模块，从eth0发报，通过网关后再转回eth1。发报的时候写上时标，收报的时候对比一下，把差除以2就行了。
[更正]不对，应该先eth0-eth1对接测得基准延迟，然后再接入网关后相减即可。

可以考虑用CPU 的Cycle Counter做时标，最精确。

[ 本帖最后由 JohnBull 于 2006-2-13 23:24 编辑 ]

platinum

继续请教 JohnBull 大哥，怎么能探测出网络造成的延迟呢？（如果网关禁止了 icmp type 8）

wheel

rtai

caibird3rd

原帖由 wheel 于 2006-2-13 17:29 发表
稳定性，，，这东西都是用嘴说的。。现在的PC开始用PCI-E 和STAT等串行技术后，传扰小的多，稳定也不高了一点。
X86 从总线设计上来讲就无法达到千兆线速。。。这我就不太同意。。其实AMD64的939的裸总线比NP不 ...

请问就目前X86体系下的系统，什么样的硬件配置（CPU、总线、板卡。。。）做防火墙性能是最好的？

busonghua

软件防火墙的平台安全性！！！大家考虑过没有？
硬件防火墙速度快，但是软件防火墙可实现的功能更加丰富。可谓各有千秋，不好比较，看个人好恶以及具体情况！

depthblue_xsc

对于普通用户来说鉴别性能的差异是很困难的,因为性能是测试出来的,很多厂家的性能参数都是夸大了的,
测试的工具可以使用smartbit,ixia等等,对于网络产品而言,我们关心的是四个参数: throughput,latency,pakcetloss,backtoback,这些都是标准的东西,可以上网查.
    传统x86结构的防火墙,除了带宽的限制以外,另外pps的性能也是个大问题.
    接下来就该看pci-e的表现了,不过我现在还没测试过,估计下周就能测试了.
    np在很多地方并不比x86强,asic的确有速度的优势,可是如果要处理高层协议,无论asic,np,x86对系统的消耗都是非常大的.

initx

如果用x86构架的硬件，散热就是问题了

depthblue_xsc

原帖由 initx 于 2006-2-21 22:10 发表
如果用x86构架的硬件，散热就是问题了

呵呵,实际上x86的架构,散热根本不是什么问题

desert969

每次听到大虾们的精彩讲解，都会让人热血沸腾。总想让自己好好补补基础，但
down了几本书，都是超厚的，总看不进去，书上也很难能像上面JohnBull版主，总结出，
想想linux的数据转发：
NIC收到数据/发出irq----内核响应irq（驱动程序通过PCI总线把NIC的buffer里的frame复制到主存(这步虽然可以DMA，但是要在irq前完成，时间还是省不下来，更何况还要考虑DMA对SMP性能的影响)----内核的协议栈分析frame(协议分拣／处理报头...)查路由表）----修改报头／组装L2报文／报文进入网卡驱动的队列----网卡驱动通过PCI把数据交给NIC。
这样的话。

在此我顺便问一句，听人说，作nat应用层的设备最好。为什么会这样说？iptables应该是在网络层把数据包进行封装吧，怎么能说是应用层的？
又或者是别人说错了，应该是作nat，软件比硬件好？

[ 本帖最后由 desert969 于 2006-2-22 18:51 编辑 ]

honckly

受教啊 ^_^