Worauf kommt es bei der Hardware drauf an?

[antimon]

Hallo zusammen,

bei meinen Recherchen bin ich leider nicht so ganz schlau geworden, deswegen die Frage an Euch:

Worauf kommt es bei der Hardware an, um vernünftige Performance zu erhalten?

Ich weiß, es ist eine Frage, die natürlich nicht pauschal beantwortet werden kann. Mir geht es auch eher darum, ein Gefühl zu bekommen, worauf man achten muss.

Einsatzszenario ist ein Firewall-Cluster, über den einige (WLAN-)Gastnetze ins Internet gehen können sollen. Es wird vermutlich, da es einige VLANs sind, recht viele Filterregeln geben und es soll auch IDS/IPS gefahren werden. Weiterhin gibt es einige VPN-Tunnel (OpenVPN, IPSEC, WireGuard), die zwar momentan nicht so viel Durchsatz verlangen, aber das wird sich vermutlich auch ändern.
Benutzer dürften es wohl 250-400 werden (es hängen unter anderem 3 Schulen dran).

Grundsätzlich habe ich gelernt, dass eine gute Intel Netzwerkkarte das System wohl deutlich entlastet - wobei da die Frage ist, ob die Hardware bei Anwendung von IDS/IPS so viel Offloading betreiben kann?

Was ist prinzipiell besser - eine höhere CPU-Taktfrequenz oder mehrere Kerne?
Für die Verschlüsselung (VPN) sind Kryptographie-Funktionen der CPU natürlich dienlich, (wie) kann man diese denn bei den CPUs vergleichen?
RAM spielt, wenn ich das richtig verstanden habe, keine so große Rolle - natürlich muss er groß genug sein, dass alle States gespeichert werden können.

Gibt es sonst noch Faktoren, die die Performance beeinflussen?

Irgendwo habe ich gelesen, dass IDS/IPS angeblich nur mit externen Netzwerkkarten funktionieren soll. Kann das jemand bestätigen? Ich kann das irgendwie nicht nachvollziehen...

Für unser Vorhaben hätte ich den Intel Xeon D-2146NT (2,20GHz, 8-Core) in Erwägung gezogen, das Ganze auf einem Supermicro Mainboard X11SDV-8C-TP8F - zusammen mit 32 GB RAM erscheint mir das als ein schickes System, das auch ordentlich Ports mitbringt. Gibt es da Erfahrungen/Empfehlungen eurerseits?

Vielen Dank schon mal für Eure Tips!  :)

[Patrick M. Hausen]

Guck doch mal hier, dort findest Du verschiedene Geräte inkl. zugesicherter Performance:
https://shop.opnsense.com/product-categorie/hardware-appliances/

Gruß
Patrick

[antimon]

Danke für deine Antwort!

Die Appliances habe ich mir schon angeschaut, allerdings fehlen mir da zwei 10 G Ports sowie IPMI - da hätte ich gerne ein Supermicro Board. Wenn man das ein Mal gewohnt ist ... ;)

Leider stehen da zu wenige Infos zu CPU etc., so dass ich da z.B. die Frage nach der Taktfrequenz rauslesen kann...

[Patrick M. Hausen]

Schnuckliges Teil. Generell funktionieren Intel-Systeme von Supermicro mit FreeBSD sehr gut. Guck mal in meine Signatur, was ich hier zuhause habe. Die Performance eines solchen Geräts sollte locker ausreichen. Am besten wird sicherlich, man macht ohne die Redundanz mal mit einem System einen PoC und misst ;)

[mimugmail]

Xeon-D ist gut für Routing und Squid. Wenn du IPS mit Gigabit willst nimmst du lieber Xeon E. Ich geh davon aus dass das Teil von Thomas Krenn ist ;)

[Patrick M. Hausen]

Nachtrag - ich meinte bezgl. Performance nicht mein Teil sondern das des OP. Meine Kiste hat ja nichtmal 10G. Rennt trotzdem geil und mit 3 Noctua-Lüftern flüsterleise. Und das Gehäuse ist schnucklig. Hach ... :)

[antimon]

Schnuckliges Teil. Generell funktionieren Intel-Systeme von Supermicro mit FreeBSD sehr gut. Guck mal in meine Signatur, was ich hier zuhause habe. Die Performance eines solchen Geräts sollte locker ausreichen. Am besten wird sicherlich, man macht ohne die Redundanz mal mit einem System einen PoC und misst ;)

Für daheim find ich deine Kiste auch sehr schnuckelig ;) Darf ich fragen, was die an Strom verbraucht? Daheim hab ich grad ne VM, weil meine APU mir etwas zu schwachbrüstig ist...

Xeon-D ist gut für Routing und Squid. Wenn du IPS mit Gigabit willst nimmst du lieber Xeon E. Ich geh davon aus dass das Teil von Thomas Krenn ist ;)

Okay, nehme ich mal so auf :) Könntest du mir aber evtl. noch begründen, wo der Unterschied liegt? Taktrate? CPU-Features? Prinzipiell sind die D's ja eher die "robusteren" - weiterer Temperaturbereich und so. Aber vom Cache etc. können die ja schon mit manchem E3 mithalten. Warum ist der E besser?

[mimugmail]

Qualität bei IPS und Taktrate bei Prozessen die nur mit einem Kern arbeiten wie z.B. OpenVPN

[antimon]

Qualität bei IPS und Taktrate bei Prozessen die nur mit einem Kern arbeiten wie z.B. OpenVPN

Ah okay das macht Sinn. Jetzt muss ich allerdings doch noch mal nachhaken: Nutzt OpenVPN generell nur einen Kern? Oder nur pro Verbindung? Bei letzterem würde dann quasi die Taktrate den Durchsatz begrenzen, wenn ich aber dafür mehrere Kerne hätte, könnten mehrere Tunnel auf die Kerne verteilt werden - richtig?

[mimugmail]

Je Serverinstanz ein Kern. D.h. wenn du einen Server hast und 1000 User skaliert das nicht so gut.
Ich hab z.B. auch ein System mit 80 VPN Servern .. je Standort ein Dienst. Hört sich viel an, aber das System hat ne Load von 0 und 5% CPU (inkl. 1 Dienst mit 150 VPN Usern). Das ist dann aber Xeon-E mit 3,8.

[Patrick M. Hausen]

Für daheim find ich deine Kiste auch sehr schnuckelig ;) Darf ich fragen, was die an Strom verbraucht? Daheim hab ich grad ne VM, weil meine APU mir etwas zu schwachbrüstig ist...

Sorry, keine Ahnung wie ich das messen soll ;)

Gruß
Patrick

[bringha]

Hz,

Setze seit Jahren auf Supermicro und bin sehr zufrieden.

Für meine Heiminstallation und wenn man mit 4 ports auskommt kann ich ein Supermicro X11SBA-LN4F empfehlen, hat IPMI, ist sparsam (TDP 6W) und ist extrem stabil und zuverlässig  und rennt und rennt und rennt.

Habe jetzt gerade  ein System mit einem Supermicro A2SDV-8C-LN8F in der Mache für eine etwas größere Installation, auf der auch viele Zusatzdienste der Opnsense laufen sollen, lässt sich ebenfalls gut an. Habe 'leider' nur 16G Riegel bekommen, die Büchse ist jetzt mit 32G 'etwas'  ??? überdimensioniert ....

Br br

[antimon]

Danke schon mal für Eure zahlreichen Antworten!

Es wird jetzt ein Xeon E-basiertes System mit 8 Kernen und 3,8 - 5 GHz Booster, das Ganze mit 4 10 GbE Interfaces und 32 GB RAM. Das sollte für den Workload erst mal reichen, bin schon gespannt wie das System performt!

Für daheim find ich deine Kiste auch sehr schnuckelig ;) Darf ich fragen, was die an Strom verbraucht? Daheim hab ich grad ne VM, weil meine APU mir etwas zu schwachbrüstig ist...

Sorry, keine Ahnung wie ich das messen soll ;)

Gruß
Patrick

Wenn du keinen Meß-Zwischenstecker oder nen Shelly Plug o.ä. hast, der Leistung messen kann, wirds schwierig ;)

Hz,

Setze seit Jahren auf Supermicro und bin sehr zufrieden.

Für meine Heiminstallation und wenn man mit 4 ports auskommt kann ich ein Supermicro X11SBA-LN4F empfehlen, hat IPMI, ist sparsam (TDP 6W) und ist extrem stabil und zuverlässig  und rennt und rennt und rennt.

Habe jetzt gerade  ein System mit einem Supermicro A2SDV-8C-LN8F in der Mache für eine etwas größere Installation, auf der auch viele Zusatzdienste der Opnsense laufen sollen, lässt sich ebenfalls gut an. Habe 'leider' nur 16G Riegel bekommen, die Büchse ist jetzt mit 32G 'etwas'  ??? überdimensioniert ....

Br br

Also ich bin auch mittlerweile seit Jahren Fan von Supermicro... günstige, aber supergeniale Hardware. Ist auch mein Favorit, auch wenn ich derzeit ne APU2E2 verwende... bzw. die auch nur als Cold Standby, weil mir die Performance zu schlecht ist - die "Haupt"-OPNsense läuft virtualisiert. Gefällt mir zwar nicht, aber ich habe keine bessere stromsparende Lösung bisher gefunden.
Wie ist die Performance von dem X11SBA-LN4F? Die APU taktet ja nur mit 1 GHz, vermutlich ist das der Flaschenhals bei mir. Die Auslastung ist jedenfalls immer ziemlich hoch. Hast du mal den Gesamtleistungsbedarf des Systems gemessen?
Ports sind ja eigentlich kein Problem - VLAN machts möglich. Oder spricht da was dagegen, damit zu arbeiten?