Не мог бы ты протестировать пропускную способность LAN-to-WAN с включёнными NAT и Firewall с помощью iPerf или iPerf3 и сообщить нам результаты? Я купил бесшумный ПК для запуска pfSense и надеялся, что он сможет поддерживать скорость близкую к 1 Гбит/с LAN-to-WAN с включёнными NAT и Firewall, но максимум, что я выжимаю из этой машины — 620 Мбит/с LAN-to-WAN и 650 Мбит/с WAN-to-LAN. Думаю, пора попробовать роутеры Ubiquiti UniFi, но хотел бы знать, смогу ли я получить приближенную к 1 Гбит/с пропускную способность LAN-to-WAN.  

Если не включать функции, которые обходят hardware offloading, то с типичным интернет-трафиком вы получите полный 1 Гбит/с с запасом по мощности. USG справляется с 1 Mpps (миллион пакетов в секунду) на оборудовании с offloading, USG Pro — 2.4 Mpps. Тебе будет сложно получить 1 Mpps через XG-1540 — самый топовый девайс, продающийся сегодня на store.pfsense.org (2500 долларов США). С offloading USG значительно превосходит pfSense по цене и производительности, а USG Pro может достичь скоростей, которых ты не получишь на любом оборудовании с pf.  

Если включать функции, которые обходят offloading, тогда всё становится непредсказуемо. Главный процессор в USG значительно медленнее любого современного x86. Но он всё равно сможет нормально работать минимум на многосот мегабитах в секунду.  

По функционалу USG сегодня не идёт в сравнение с pfSense. Но есть причина, почему я здесь, а не там (я основал pfSense и руководил проектом с 2004 по прошлый месяц). Сейчас я возглавляю усилия по исправлению этой ситуации.  

Надеюсь, одним из улучшений станет более мощный процессор, чтобы можно было одновременно включать QOS и DPI без снижения производительности системы.

В основном любой вид QoS отключает аппаратное ускорение, см. чек-листы в этой теме на Beta форуме: https://community.ui.com/questions/1b4f72b0-75fc-43e1-a120-b54d451a1aba

Это был бы отличный файервол для малого бизнеса или продвинутой домашней сети — если бы только существовал нормальный графический интерфейс для функций файервола. Полагаю, этот вопрос задавали миллион раз, но почему Ubiquiti отделили линейку Edge от UniFi, если обе линии используют практически одинаковое железо и почти одинаковую операционную систему? Может, причина в красивой подсветке на продукции UniFi для маршрутизаторов и свичей, которой не хватает в Edge? Было бы логично продавать сейчас линейку Edge с возможностью переключать железо из автономного режима в режим управления через контроллер, как только UniFi софт достигнет зрелости. Думаю, многие сейчас в раздумьях, потому что хотят управлять всем из одного интерфейса, а UniFi софт пока не дорос до их запросов.

Мой USG-PRO-4 выдает полную гигабитную скорость загрузки и отдачи с 2 симметричными 1 Гбит/с линиями. DPI включен, но QoS нет, поэтому всё аппаратно разгружается. Ограничение у меня возникает на соединении со свитчем, которое всего 1 Гбит/с. Похоже, можно сделать LACP, но это программное решение... так что... возвращаюсь к чертежной доске. 😀

@UBNT-cmb

Очень хорошо настроенный ADI Netgate 4860 (без pfSense, просто FreeBSD 10.3 с ручной настройкой) выдает около 500Kpps. 😉 Конечно, без ограничения скорости 😀

Как уже отметили другие, да, я говорил о pps, а не о bps. Ограничения по производительности у файрволлов и роутеров измеряются именно в pps, а не в bps. Поэтому утверждать, что они работают на X Gbps, может быть очень вводящим в заблуждение. Эти цифры обычно приводятся для пакетов размером 1500 байт — то есть лучший из возможных сценариев (без джамбо-фреймов). Так что pps * 1500 примерно соответствует числу в bps.

Так ты тот самый парень, который ушёл с pfSense и перешёл на Ubiquiti? Я читал о тебе на форумах pfSense и Ubiquiti. Правильно я понял, что ты был основателем pfSense?

Да, именно так. 😀 Scott Ullrich и я основали pfSense в июле-августе 2004 года. Скотт полностью отошёл от проекта в 2012 году, хотя уже 2-3 года до этого был относительно неактивен. А я был руководителем проекта с 2004 года и до прошлого месяца.

То, над чем я сейчас работаю, долгое время менялось и колебалось. 😀 Сейчас я в основном занимаюсь маршрутизацией и коммутированием в UniFi. Мой ближайший приоритет — USG. В определённой степени я также буду участвовать в EdgeMAX и, конечно, в EdgeOS, ведь это основа USG, и задача — держать её как можно ближе к ER.

Мне это очень нравится, и я воодушевлён тем, чего нам предстоит достичь.

Могли бы вы, пожалуйста, проверить пропускную способность LAN-to-WAN с включёнными NAT и Firewall, используя iPerf или iPerf3, и сообщить нам результаты? Я купил бесшумный ПК для работы с pfSense и надеялся, что он будет поддерживать близкие к 1 Гбит/с LAN-to-WAN с включёнными NAT и Firewall, но максимум, что я смог выжать из этого устройства, — 620 Мбит/с в LAN-to-WAN и 650 Мбит/с в WAN-to-LAN. Думаю, пора попробовать маршрутизаторы Ubiquiti UniFi, но хотелось бы знать, смогу ли я приблизиться к 1 Гбит/с LAN-to-WAN.

Если не включать функции, которые отключают аппаратное ускорение, то при типичном интернет-трафике вы получите полный 1 Гбит/с с запасом. USG обрабатывает 1 Mpps на аппаратно-ускоренном трафике, USG Pro — 2,4 Mpps. Сложно добиться 1 Mpps на XG-1540, самом топовом устройстве, которое продаётся сегодня на store.pfsense.org (2500 долларов США). Благодаря аппаратному ускорению USG значительно превосходит pfSense по соотношению цена-качество, а USG Pro достигает показателей, недоступных для любого «железа» с pfSense.

Если же включить функции, которые отключают аппаратное ускорение, тогда всё непредсказуемо. Основной процессор USG заметно слабее современных x86, но при этом всё равно способен справляться с нагрузкой в несколько сотен мегабит в секунду.

По функционалу USG сегодня не дотягивает до pfSense. Но есть причина, по которой я теперь здесь, а не там (я основал pfSense, руководил проектом с 2004 года до прошлого месяца) — сейчас я возглавляю усилия по исправлению этой ситуации.

UBNT-cmb, когда вы говорите, что USG делает 1 Mpps на аппаратно-ускоренном трафике, а USG Pro — 2,4 Mpps, вы, наверное, имели в виду Gbps, а не Mbps, да? Исходя из всех негативных отзывов о USG, это важное уточнение. 😀

Так вы тот самый парень, который ушёл из pfSense и перешёл в Ubiquiti? Я читал о вас на форумах pfSense и Ubiquiti. Верно ли я понял, что вы основали pfSense?

Если да, то я очень рад будущему линии маршрутизаторов и межсетевых экранов Ubiquiti. Вы собираетесь работать исключительно с линейкой USG или и с Edge?

Спасибо.

Sirozha,

UBNT-cmb написал: «USG делает 1 Mpps на аппаратно-ускоренном трафике, USG Pro — 2,4 Mpps», но вы думаете, что это соответствует 1 Mbps и 2,4 Mbps соответственно. Это не так.

1 Mpps — это 1 миллион пакетов в секунду, а 1 Mbps, как вы, наверное, знаете, — 1 мегабит в секунду... Биты в секунду и пакеты в секунду — это как яблоки и апельсины.

Вот короткое объяснение, которое я скопировал с этого источника:

bps — количество бит данных в секунду, которые можно обработать без потерь. bps почти всегда измеряется с использованием Ethernet-пакетов размером 1500 байт (или больше). bps часто используется при измерении пропускной способности компонентов, которые соединяют несколько linecard или портов внутри шасси (например, fabric коммутатора). Иногда центральный процессор может ограничивать пропускную способность в битах в секунду.

pps — количество пакетов данных в секунду, которые можно обработать без потерь; pps всегда измеряется с использованием минимальных размеров пакетов. pps часто применяется при измерении компонентов, которые анализируют заголовки пакетов (IP-адрес, MAC-адрес, DSCP и т. д.). Например, пропускная способность маршрутизаторов и коммутаторов измеряется в pps.

Не могли бы вы протестировать пропускную способность LAN-to-WAN с включёнными NAT и брандмауэром с помощью iPerf или iPerf3 и сообщить нам результаты? Я купил бесшумный ПК для запуска pfSense и надеялся, что он будет поддерживать около 1 Гбит/с при LAN-to-WAN с включёнными NAT и брандмауэром, но максимум, что я выжимаю из этого устройства — это 620 Мбит/с LAN-to-WAN и 650 Мбит/с WAN-to-LAN. Думаю, пора попробовать роутеры Ubiquiti UniFi, но хотелось бы знать, можно ли реально получить около 1 Гбит/с LAN-to-WAN.

Если не включать функции, которые отключают аппаратное ускорение, вы получите полноценный 1 Гбит/с с запасом по мощности при обычном интернет-трафике. USG показывает 1 Mpps при аппаратном ускорении, USG Pro — 2,4 Mpps. Пробиться к 1 Mpps через XG-1540 — самый дорогой девайс из магазина pfsense.org ($2500) — будет сложно. Благодаря аппаратному ускорению, USG по соотношению цена-производительность значительно лучше pfSense, а USG Pro может выдавать скорости, которые pfSense с железом не потянет.

Если же включить функции, отключающие аппаратное ускорение, тогда всё непредсказуемо. Основной процессор USG заметно медленнее любого современного x86, но тем не менее будет сносно работать на скорости в несколько сотен мегабит в секунду.

По возможностям функционала USG сегодня не идёт ни в какое сравнение с pfSense. Но именно поэтому я здесь, а не там (я основал pfSense и руководил проектом с 2004-го по прошлый месяц), — я веду усилия, чтобы это исправить.

UBNT-cmb, когда вы говорили, что USG делает 1 Mbps на аппаратно ускоренном трафике, а USG Pro — 2,4 Mbps, вы, наверное, имели в виду Gbps, а не Mbps, правда? С учётом всех негативных отзывов о USG это важное уточнение. 😀

Так вы тот самый человек, который ушёл из pfSense и перешёл в Ubiquiti? Я читал о вас на форумах pfSense и Ubiquiti. Верно ли я понял, что вы ОСНОВАЛИ pfSense?

Если да, то я действительно воодушевлён будущим линии маршрутизаторов и брандмауэров Ubiquiti. Вы планируете работать исключительно над линейкой USG и не трогать Edge?

Спасибо.