Hardware für 10G LAN mit IDS/IPS

[Marlon81]

Hallo,

ich möchte für eine interne Netzwerktrennung eine Hardware Opnsense aufbauen.
Das Netzwerk hat 10G (20G LACP) und neben firewalling soll auch IDS/IPS zum Einsatz kommen.

Ist eine DEC3860 ausreichend oder zu welcher Hardware könnt Ihr mir raten?

Vielen Dank!

Grüße
Marlon

[Nambis]

Hi,

also bei mir läuft Opnsense auf einem 4 Kern Xeon mit 3.4 GHz pro Kern und 32 GB RAM, mit 1 GBit Ethernet pro Netzwerk. Bei mir läuft sowohl Suricata als auch Zenamor.

Ich bin mir jetzt nicht absolut sicher, wie aussagekräftig mein Test, siehe weiter unten, mit Iperf3 ist, aber es sieht damit zumindest schon mal nicht schlecht aus.

Ob Iperf das geeignete Mittel ist, um den IPS/IDS Durchsatz zu messen, würde mich an der Stelle auch ein mal interessieren.

Für 10 oder 20 GBit wäre wohl noch mehr Leitung pro Kern sinnvoll, meiner subjektiven Einschätzung, aber vielleicht ist hier noch jemand, der damit bereits Erfahrung gemacht hat?

Code Select Expand

-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
Accepted connection from 192.168.1.1, port 48810
[  5] local 192.168.1.6 port 5201 connected to 192.168.1.1 port 10700
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  99.0 MBytes  101406 KBytes/sec
[  5]   1.00-2.00   sec   112 MBytes  114400 KBytes/sec
[  5]   2.00-3.00   sec   112 MBytes  114344 KBytes/sec
[  5]   3.00-4.00   sec   112 MBytes  114715 KBytes/sec
[  5]   4.00-5.00   sec   112 MBytes  114563 KBytes/sec
[  5]   5.00-6.00   sec   112 MBytes  114206 KBytes/sec
[  5]   6.00-7.00   sec   112 MBytes  114895 KBytes/sec
[  5]   7.00-8.00   sec   112 MBytes  114927 KBytes/sec
[  5]   8.00-9.00   sec   112 MBytes  114265 KBytes/sec
[  5]   9.00-10.00  sec   111 MBytes  113523 KBytes/sec
[  5]  10.00-10.11  sec  12.0 MBytes  112996 KBytes/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.11  sec  1.09 GBytes  113123 KBytes/sec                  receiver
-----------------------------------------------------------


Code Select Expand

Connecting to host 192.168.1.6, port 5201
[  5] local 192.168.0.4 port 50328 connected to 192.168.1.6 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec   113 MBytes  115497 KBytes/sec    0   3.01 MBytes     
[  5]   1.00-2.00   sec   112 MBytes  114452 KBytes/sec    0   3.01 MBytes     
[  5]   2.00-3.00   sec   112 MBytes  114258 KBytes/sec    4    818 KBytes     
[  5]   3.00-4.00   sec   112 MBytes  114776 KBytes/sec    1    634 KBytes     
[  5]   4.00-5.00   sec   112 MBytes  114441 KBytes/sec   11    210 KBytes     
[  5]   5.00-6.00   sec   112 MBytes  114202 KBytes/sec    5    289 KBytes     
[  5]   6.00-7.00   sec   112 MBytes  115009 KBytes/sec    0    573 KBytes     
[  5]   7.00-8.00   sec   112 MBytes  114964 KBytes/sec    0    708 KBytes     
[  5]   8.00-9.00   sec   111 MBytes  114109 KBytes/sec    1    545 KBytes     
[  5]   9.00-10.00  sec   111 MBytes  113496 KBytes/sec   10    104 KBytes     
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.09 GBytes  114521 KBytes/sec   32             sender
[  5]   0.00-10.11  sec  1.09 GBytes  113123 KBytes/sec                  receive

[Marlon81]

Danke @Nambis

Ich poste hier mal die Empfehlung von den Thomas-Krenn Experten, die mir nach einem Meeting zu diesem Thema geschickt wurde:

1HE AMD Single-CPU RA1104-SMEPFH [Ver.1.0]
AMD EPYC 7252 (3.10 - 3.20  GHz, 8-Core, 64 MB)
32 GB (4x 8GB) ECC Reg ATP DDR4 3200 RAM (Premium)
120 GB ATP N600Sc mit PLP (M.2 PCIe x4 2280)
Broadcom 25 Gigabit P225P SFP28 Dual Port Netzwerkkarte


Ich persönlich würde zu einem AMD EPYC "ROME" 7282 (2.80 - 3.20 GHz, 16-Core, 64MB) tendieren.