要做 QoS, DPI, IPSec/wireguard ,所以只能装个软路由,hardware offload 似乎不太支持 DPI
不知道自已买个小主机组装?还是买个成品多网口?
需求:
2 个 10G SFP+
4-6 个 2.5G RJ45
在淘宝看到有倍控,畅网,飞速讯在卖
CPU N150 和 Pentium 8505 的差价在 400 左右
N150 的 PCI-E 通道不知道够不够用
不知道自已买个小主机组装?还是买个成品多网口?
需求:
2 个 10G SFP+
4-6 个 2.5G RJ45
在淘宝看到有倍控,畅网,飞速讯在卖
CPU N150 和 Pentium 8505 的差价在 400 左右
N150 的 PCI-E 通道不知道够不够用
 |
1
cloudsong 1 天前 via iPhone  1
首先,取决于你的网络接入方式,你的带宽,你是否需要跑满 64b 线速,你的并发连接数,以及 qos 的区分颗粒度(在 l3-l7 做),dpi 的具体要求,威胁库的更新来源等。在你明确知道你要什么以及能够获得什么之后,或许答案已经在你心中了。
根据你提出的需求,特别是 2 个 10g sfp+接口,我觉得你的需求是非常极限的。你拥有 2 条万兆对等网络,要求跑满 64B 小包线速转发,需要 L7 级别的 QoS ,需要基于全流量的 DPI ,拥有商业级的威胁库订阅,并发连接常年在 10 万以上,且 VPN 必须跑满万兆。而且,N100 小主机是整个需求的核心! 根据我浅薄的知识,建议如下: 1.万兆接入层,请直接采购一台企业级商业防火墙来保证万兆小包的线速转发。拿出一个 SFP+ 接口做 Mirror ,把所有流量镜像进另一台独立的 DPI 服务器做深度检测,然后通过 RESTCONF 联动给路由器下发 ACL 来阻断威胁链接。如果你对安全级别的要求极高(比如家里有金库),终端设备上还需要部署类似 Check Point 这种专业客户端,用来做 SSL 流量解包检测。 2. 万兆 WireGuard / IPSe ,这太难了。目前市面上绝大多数商业路由器都做不到 WireGuard 万兆 64B 线速( IPSec 有专用芯片勉强可以)。因此,你需要一台独立的专用网关设备,CPU 起步建议 Xeon D 2700 ( qat gen3 或者以上)支持 ChaCha20 指令集加速,配合 DPDK 和 QAT 专门用来跑隧道。当吞吐量达到 100G 时,这种性能溢出会让你获得极大的自我满足感。深夜里,机器风扇 10000 转嘶吼的声音,正是那无处安放的青春。 3. 关于 QoS 与特征库: 真正的 L7 QoS 建议交给专门的上网行为管理设备。你每个月只需支付 XXXX 元的订阅费,就能获得最及时的应用特征库更新和尊贵的技术支持服务。 4. N150 小主机,建议挑一个铝合金外壳做工精致的,买回来摆在电脑桌上。可以远观更可以随手把玩,情绪价值直接拉满! |
 |
2
labdum 1 天前 1
感觉可以直接买 Ubiquiti 的 Cloud Gateway Fiber
10G SFP+ x2 10 GbE RJ45 x1 2.5 GbE RJ45 x4 QoS, DPI, IPSec/wireguard 都支持,还有自带的 SD WAN |
 |
3
davidyin 22 小时 50 分钟前 via Android 1
这是需要一个商用交换机。
我用这个 TP-Link TL-SG3210XHP-M2 Network Switch |
 |
4
konia 20 小时 21 分钟前 1
- 爱折腾,[BPI-R4 Pro]( https://blog.csdn.net/sinovoip/article/details/155104888?spm=1001.2014.3001.5502)
- 求稳定,软路由 + 万兆交换机 |
 |
5
miyunda 19 小时 53 分钟前 1
无论哪家的成品,记得买个好电源,把它附送那个扔一边
|
 |
6
pingdog OP @cloudsong Checkpoint/palo alto/fortinet/cisco firepower 几家的 NGFW 开了 DPI ,L7 FWD 直线下降,他们 paper results 大多数是 L4 FWD 得出
10G SFP+,打开 DPI ,routing ,用 spirent 打流只有 3-4Gbps DPI signatures 不值钱,市面上做 agent 多的是 |
 |
7
qwvy2g 19 小时 8 分钟前 via Android 1
8505 好像是最后一代低功耗的双内存的奔腾平台,后面就是缩水缩到单内存条的 n 系列的,到现在都没买过 n 系列的产品,普通的性能 n100/n150 之类的连 8505 都比不上,n305 单核性能以及核显性能还是打不过双内存版 8505 ,单内存条配置总是一根刺。不过 8505 发热也不小,最好是带风扇版本。
|
|
9
pingdog OP @qwvy2g 不太了解 intel 产品线,看 ark 的信息,Pentium 8505 基本是一个 desktop CPU ,n150 估计就 atom 的性能?
万兆没风扇,温度直冲 100 吧。。 |
|
10
qwvy2g 19 小时 1 分钟前 via Android
至于 n5105 这个版本我记得早期有内存控制器问题,也就是在较低负载下发热也高,当时经典搭配 bug 超多的 i225 网卡断流,现在不知道修复了没有。如果怕踩坑可以选择没有内存控制器问题的 j6412/6413 或者非大小核 Intel CPU 绝唱的 7505 。如果不跑 docker 之类重负载,有 j4125 ,虽然性能不如后面的 n5105 ,但是是无需风扇的弱电箱神器。发热小又稳定,性能还可以。
|
 |
11
esee 17 小时 32 分钟前
你要内网 QOS ?随便买个交换机不行吗?
|
 |
12
mm2x 16 小时 2 分钟前
如果是万兆需求,还要 DPI 。一定要买个性能强的路由了!
我建议你买一台 HP DL320e G8 V2 直接上至强。N150 跑不了万兆 |
 |
13
sadan9 12 小时 22 分钟前
楼上的也别瞎猜,我觉得楼主没说清楚到底是家用还是带一个小企业。家用场景小包和网络规则都不多,理论上 N100 就够用。我自己是 2x10G ,4x2.5G @ N100 。接入电信 2000M ,联通 1000M x 2 ,移动 300M 。上面一些简单的规则+psw+mwan3 。实际用下来,跑满电信+联通(比如拖大模型权重),近 4500Mbps 时候 CPU 使用率大约是 50%。而且家用的并发数也不可能很高,能有几万算很高了。企业场景估计真得防火墙和路由分开。
|
|
14
cloudsong 12 小时 22 分钟前 via iPhone
@pingdog 其实我的回复是开玩笑的。本意是说家里不必搞那么复杂。国内也就 1000/2000m 下行,上行 50/100 ,而且现在这个网络环境,上行多了还关小黑屋,就没那么多花样折腾了。
|
 |
15
lan894734188 3 小时 1 分钟前 via iPhone
直接一步到位 戴尔 XR 系列的边缘服务器
|
Select Language