NETGATE

EL IMPACTO DEL HARDWARE Y SOFTWARE

Netgate tiene un conjunto popular de dispositivos de red seguros que van desde el SG-1100 hasta el XG_1541. Los compradores pueden diferenciarlos rápida y fácilmente en función de la interconexión física, la CPU, y el precio.

Pero, hay otro factor de compra que es menos obvio, pero bastante importante. Ese factor es la arquitectura interna del producto. Podemos (o no) saber que la arquitectura interna difiere significativamente entre los SG-1100, SG-3100, SG-5100, XG-7100 y XG-1537 / XG-1541.

La arquitectura abarca el procesador, la memoria, el almacenamiento, los tipos de interfaz y los recuentos, la ausencia o presencia de una estructura de conmutador y más. Se vuelve muy importante al considerar preguntas como:

  • ¿Cuántas conexiones de puerto de conmutador necesito?
  • ¿Cuánto tráfico se debe pasar localmente entre esas conexiones?
  • ¿Cuánto tráfico debe abandonar las instalaciones para acceder a Internet en general o canalizarse a través de Internet a través de una conexión VPN segura?
  • ¿Cuál es la naturaleza de mi tráfico: voz, datos, video o todo lo anterior?
  • ¿Las conexiones de alta velocidad ejecutarán cargas de tráfico sostenidas o con ráfagas?
  • ¿Cuánto de mi tráfico está encriptado?

Consideremos estas preguntas analizando algunos casos de uso de redes seguras que rutinariamente aparecen en las conversaciones con los clientes. Y, para que sea digerible, separemos las respuestas de los casos de uso en dos etapas:

Primero, solo diferenciaremos los dispositivos en función de algunas diferencias clave de arquitectura de hardware.

Luego, veamos qué cambios si equipara estas arquitecturas de hardware con el software TNSR en lugar del software pfSense.

Como telón de fondo, la siguiente tabla proporciona una comparación rápida y simple de las arquitecturas de dispositivos Netgate. Solo se representan las configuraciones básicas, y para los fines de este blog, los diagramas se simplifican solo a los puertos de red de procesador, conmutador y ethernet. Por supuesto, hay otros puertos: USB, Mini PCIe, etc. Para obtener más detalles, visite nuestras páginas de productos en store.netgate.com.

Caso de uso 1:

“Yo trabajo desde casa. Necesito una conexión VPN desde mi oficina. La velocidad de mi internet va desde los 100 Mbps a los 300 Mbps.”

Nuestra recomendación: obtiene un SG-1100. Tiene un gran impacto como firewall de acceso a internet, para el hogar, o las oficinas lejanas, dónde con 400-500 Mbps de tráfico protegido por firewall es suficiente. Muchas redes domésticas y oficinas pequeñas tienen velocidades de interconexión que están dentro de este rango. Sería difícil encontrar un mejor firewall, router atractivo, silencioso, sin calentarse mucho y rico en funciones a su precio.

Caso de uso 2:

“nosotros trabajamos en una pequeña oficina con alrededor de 50 empleados. Necesitamos una VPN qué soporte una conexión de 150 Mbps para nuestra oficina corporativa. Hemos observado qué la velocidad del internet comúnmente está alrededor de 500 Mbps bidireccionales. También necesitamos un número de puertos conmutables de internet. Para cada conexión no es necesario realmente mucha banda ancha, aunque para un par de conexiones se necesita un rendimiento más “garantizado” o, al menos, “priorizado”. El conjunto puede compartir sin problemas un enlace ascendente de 500 Mbps.

El SG-3100 es una gran opción en este caso. Excelente densidad de puertos para un espacio de escritorio, de tamaño reducido, doble WAN de 1 Gbps y movimiento de tráfico solido entre puertos, para hasta cuatro puertos de conmutador que comparten una estructura de conmutador robusta de 2.5 Gbps.

Caso de uso 3:

“Estamos en el extremo receptor de los usuarios de trabajo en el hogar y pequeñas oficinas definidos en los casos anteriores, 1 y 2. Sus respectivos SG-1100 y SG- 3100 se conectarán a nuestro dispositivo de oficina corporativa, que deberá soportar 800 Mbps y terminación de VPN.”

El SG-5100 es el boleto. Con hasta seis conexiones a internet de 1 Gbps totalmente independientes, obtendrá un router/ firewall de capa 3 de 1 Gbps muy flexible a precio de oferta. Aprovisiona cada puerto en una dirección LAN o WAN como deseé. Además, la CPU Intel Atom C3558 2.2 GHz del SG-5100, con instrucciones QuickAssist, AES-NI y SHA (que ayuda en OpenSSL), proporciona el impulso necesario para arrancar el procesamiento de tráfico cifrado.

Caso de uso 4:

“Necesito una conexión WAN de 1-3 Gbps. Tengo un número considerable de puertos de conmutación qué necesitarán mover una buena cantidad de trafico entre ellos localmente. El trafico local puede superar fácilmente 1Gbps con paquetes de todos tamaños.

Para este caso, el XG-7100 es el punto de partida, Equipado con 10 Gbps SFP+ puertos, este es sencillo de diferenciar del SG-5100 (y los demás) productos. Además, con ocho puertos vinculados a enlaces de conmutador duales de 2.5 Gbps, el potencial de ráfaga en los puertos puede alcanzar un pico de hasta un 500% más si estuvieran conectados a un solo puerto de conmutador de 1 Gbps. Esto es especialmente útil para actividades de transferencia de archivos grandes, comunes a los equipos de desarrollo o departamentos de TI responsables de las copias de seguridad a gran escala.

¿Buscando para 3-10 Gbps y un incremento significativo en las conexiones activas? Adquiere nuestro XG-1537 o XG-1541. A estas velocidades también sugerimos una consulta directa con nuestro equipo de ventas. Conocen nuestros productos por dentro y por fuera. Con una buena comprensión de sus necesidades específicas de redes, pueden ayudarlo a diseñar la red correcta a un mínimo costo.

Entonces, tiene un desglose de cómo diferenciar los dispositivos de hardware Netgate en función de las arquitecturas internas de los productos cómo cada arquitectura agrega un valor único.

Ahora, llevemos el software al proceso de selección para identificar aún más el dispositivo Netgate apropiado para tus necesidades. Con suerte, has escuchado que podemos instalar de fábrica nuestros dispositivos Netgate de gama alta con el software pfSense o TNSR. Es una distinción clave a tener en cuenta, especialmente a medida que las necesidades de banda ancha y/o cifrado comienzan a aumentar.

¿Porqué? Tan popular, capaz, y confiable como es el software pfSense, tiene sus límites. En particular, a medida que aumentan las velocidades de enlace, el tamaño de los paquetes disminuye y el cifrado aumenta: el software pfSense se ve sometido a tensiones y, en ultima estancia, acelera el uso completo de su hardware. TNSR tiene mucha más capacidad para llevar el hardware a sus límites (el nuestro o el de cualquier otra persona), dónde pfSense puede ser un “embotellamiento de software” que a menudo impide que los usuarios exploten todo el poder de su inversión en hardware.

Entonces, ¿dónde comienza pfSense a convertirse un embotellamiento? Lo verá 1) bajo la carga de trafico IMIX real, 2) a medida que aumenta la cantidad de tráfico cifrado, y 3) especialmente si se producen ambos. Tomemos IMIX primero.

¿Qué es IMIX? Internet mix (IMIX) es una combinación de tamaños de paquetes usados para emular las condiciones de tráfico del mundo real, que experimentan los equipos de red, como enrutadores, conmutadores y firewalls, en las pruebas de tráfico. El simple IMIX tiene siete paquetes de 40 bytes, cuatro paquetes de 576 bytes, y un paquete de 1500 bytes. Entonces, ¿cómo debería tener en cuenta la decisión de compra de un firewall o enrutador? Eso depende de su escenario particular de red segura. Tomemos dos extremos:

Escenario 1:

“Todo lo que leo es mi correo electrónico, navegar en la red, y ver películas desde Netflix”

Con la excepción de la descarga de mensajes (donde la mayoría de los clientes de correo te hacen esperar un poco, y empeora si hay archivos adjuntos), la lectura del correo electrónico depende en gran medida de tu velocidad de lectura, por lo que podemos descartarlo, incluso si aceleras la lectura. ¿Navegación en internet? Aunque mirando o buscando, se trata principalmente de buscar paginas de texto, imágenes, y algunos archivos de transmisión de música y/o video, la mayoría de los cuales se pueden administrar ya sea por su tasa de consumo humano o almacenamiento en la memoria intermedia. Ahora, ¿transmitiendo una película de dos horas como Avengers: Infinity war? Bueno, es probable que ese contenido se entrega en paquetes de 1500 bytes, eso dignifica que el firewall/enrutador tiene tiempo de sobra para procesar un encabezado de paquete, descansar mientras sigue una larga carga de paquetes y prepararse para el siguiente encabezado. Entonces en este escenario, su firewall/ enrutador no está viendo una manguera de incendios del tráfico IMIX simple, por lo que probablemente pueda saturar un enlace de 1 Gbps e incluso una buena porción de un enlace de 10 Gbps. A menudo escuchamos a los usuarios reclamar 6,7 incluso 8 Gbps a través del software pfSense. Eso es completamente posible siempre que los paquetes permanezcan grandes, sin cifrar, y con una configuración de firewall relativamente simple, por ejemplo, sin IDS/IPS u tras reglas de inspección de trafico activadas.

Ahora desde otro extremo, y mantendremos el escenario bastante claro desde una perspectiva de seguridad. El aumento de la carga se duplica con el mismo argumento.

Escenario 2:

“ejecuto un conjunto relativamente limitado de listas de control de acceso de firewall (ACL), sin IDS/IP o filtrado web. Sin embargo, en lugar de la transmisión ocasional de dos horas de fotogramas de video de 1500 bytes, veo una mezcla muy variable de tráfico de voz, datos y vídeo durante todo el día.”

Es probable que el software pfSnse (en hadware económico), alcance como punto más alto alrededor de 200-300 Mbps de tráfico IMIX simple. Si es un usuario domestico con alrededor de 300 Mbps de banda ancha actualmente, debería no sería peros por el desgaste. Pero si usted es empleado de una organización doméstica de clase empresarial (se espera que haga las cosas bajo presión de tiempo), lo último que desea es la congestión del rendimiento de la red desde su firewall, especialmente, si su empresa pagó por una conexión de red más raída para mantener su alta productividad.

Aquí es dónde TNRS paga grandes dividendos. TNSR usa el procesamiento de paquetes vectoriales (VPP) para impulsar el rendimiento extremo de paquetes a través de hardware comercial estándar (COTS). En otras palabras, lo que solía requerir hardware, basado en ASIC de alto precio para lograr un rendimiento serio ahora se puede obtener por una fracción del precio del hadware de propósito especial. Puede obtener más información sobre TNSR aquí. Otro diferenciador clave para TNRS es una API RESTCONF, pero este blog se centra en la arquitectura de hardware y el procesamiento de paquetes, por lo que volveremos a ese tema en un blog por separado.  

Los primeros dispositivos Netgate que cuentan con TNSR son los SG-5100, XG- 1537 y XG-1541. Planeamos compartir resultados de pruebas más extensos en una publicación de blog separada, pero por ahora, considere los siguientes números de tráfico IMIX cifrados con IPsec (basados en la codificación AES-GCM-128) para comprender el poder de TNSR:

De acuerdo, eso es mucho para digerir. Así que resumamos algunas conclusiones clave:

  • Primero: recuerde que todas las cifras se basan en el trafico IMIX simple
  • TNSR y pfSense están a la par con el reenvío simple L3 (filtro de paquetes pf deshabilitado), independientemente de si TNSR de un solo hilo o multiproceso.
  • Aumenta la carga de trabajo de procesamiento de paquetes agregando firewall (filtro de paquetes pf habilitado), y TNSR toma ventaja de 1.7-2.3X a medida que aumenta la CPU y la memoria.
  • Avance a una carga de trabajo de procesamiento de paquetes aún más dura, tráfico IMIX cifrado con AES-GCM-128, y permita que ambos aprovechen la aceleración inherente de SW o HW donde puedan, TNSR tiene una ventaja de 2.2-9.4X.
  • Para ser justos pfSense puede explotar AES-NI, pero no QAT. TNSR puede aprovechar al máximo QAT.
  • NOTA: TNSR se mantiene en procesamiento de subproceso único en todos los casos de prueba, excepto la interfaz múltiple SG-5100. Agregar hilos quita al gobernador y TNSR se dispara.
  • OTRA NOTA: todas las figuras son unidireccionales, excepto TNSR en la interfaz múltiple SG-5100, que son bidireccionales.

Ahí lo tienes: cada producto brilla bajo una luz adecuada. Pero, para tomar una decisión necesitas considerar el caso de uso, la arquitectura interna del producto, y la pila de software, los tres. Si usted está en la gama baja o alta de la línea de productos, las opciones son bastantes claras. En medio (SG-3100 a SG-5100 a XG-7100), piense con cuidado, en el caso de uso/interruptor/ interfaz de pila de software para obtener el mayor golpe para su dinero.

Y si está dirigiendo un negocio, piense cuidadosamente en una suscripción de asistencia técnica. Mientras que tanto el software pfSense como el software TNSR son fáciles de usar y robustos, las redes a menudo lanzan bolas curvas. Estamos ahí para ponerlos en marcha- y nuestra calificación de satisfacción del cliente es estelar. También tenga en cuenta que una suscripción de asistencia técnica es un cargo adicional con pfSense, mientras qué está integrada en licencias perpetuas o de suscripción con TNSR. Como siempre, si tiene preguntas, póngase en contacto con nosotros. ¡nos encanta hablar de networking!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *