In ultima vreme am tot fost prins in troubleshoot-at diverse “appliance”-uri de firewall care in datasheet la performante spun una, iar in realitate fac aproape fix pula. Ca asa e frumos… sa-l pacalesti pe fraier sa cumpere… ca nu-i merge dupa aia… e treaba tehnicului, ca vaznatorul (de la vendor) si-a facut treaba.
Ce-am aflat io legat de benchmark-urile din datasheet-uri la firewall-uri:
– se fac cu trafic UDP: n-ai nevoie de connection tracking ca la TCP, less overhead, te doare la bascheti
– se fac cu aproximativ 8 stream-uri de date… sa nu dea saracul firewall in greu procesand pachete
– se face cu o singura regula de Any-Any-Accept si fara logging, ca doar asa poti obtine cel mai mare throughput
– nici ars nu activezi inspectii pe protocol sau alte features mai avansate, nuuuu… alea le scrii acolo cu steluta invizibila la text, ca de la activezi real life ti-o sugi de nu stii cum te cheama dupa aia
Si uite asa din X Gbps in datasheet ajungi la X/10 Gbps in real life. Si cine-si ia pumnii in cap de la client ? Tehnicul ofcourse, ca sigur n-a facut bine ce-a facut. Dar cum din cand in cand unele chestii se mai termina si cu happy end, totul se lumineaza cand vendorul recunoaste ca e din cauza lor :)
Si uite asa o sa ma duc io in vacanta linistit (sper) cu gandul ca io treaba mi-am facut-o bine si e din vina altora tot rahatul de se intampla. Yey!
Daca n-ar fi scump ca pula, as inchiria un echipament de testare de genul alora facute de corporatia unde lucreaza madamme si as lua cate un appliance pe rand si as pune 100-1000 de reguli si trafic cat mai variat si sa-mi fac o idee care e diferenta dintre vis si realitate a alora de fac dataheet-urile la vendor.
Ca mi s-a luat anul asta de tot felul de rahaturi de genul asta. Na, ca ma mai racorii si io un pic; desi unor vendori le-as trimite niste rachete pe post de cadou de Craciun… sa-si bage mintile in cap.
Tot din seria asta am vazut un linux box pus in fata unui router cisco sa-i cioparteasca pachetele in bucati mai digerabile ca altfel saracul se ineca.
Am inteles ca jucariile Astaro ar fi destul de sincere cu ce promit si ce pot cu adevarat. Arunca un ochi, descarca (gratuit) imaginea si testeaza pe o cutie la tine, poate esti multumit. Avand in vedere ca e Linux, e destul de configurabil..
@Enigma: Corporatia unde activez io nu vinde Astaro, asa ca nu m-ar ajuta cu nimic un benchmark pe solutia lor :)