![[Inhalt]](toc.gif)
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
ATM Netzwerke besitzen völlig eigene Protokolle, die mit LINUX (noch) nicht zu handeln sind. Auch wenn es bereits ATM Karten (FORE) unter LINUX gibt, so bedeutet dies nur, daß hierüber eine physikalische Verbindung zwischen zwei LINUX Servern hergestellt werden kann, auf welcher TCP/IP übertragen wird. Aufgrund der hohen Nettotransferrate bei ATM (155 MBit) scheitert der Einsatz einer LINUX Firewall an dem Durchsatz des PCI-BUS. Dennoch sind in zahlreichen Firmen bereits SINUS Firewall-1 Cluster im Einsatz, die jeweils an den 100 MBit Ausgängen der ATM Router/Switches aufgebaut sind. Hiermit läßt sich der gesamte Verkehr von Switches überwachen. Eine vergleichbare Lösung wird bisher nur von BAY NETWORKS und CHECKPOINT angeboten. Über deren Performance bei Vollast läßt sich noch keine Aussage machen. Die Performance der SINUS Firewall-1 auf DEC ALPHA oder Pentium 400 mit je 2x 100 MBit Karten reicht jedoch völlig aus, sodaß auch bei komplexen Firewallregeln die Switches nicht gebremst werden. Es liegen Performance Analysen vor, jedoch können hieraus leider keine Schlußfolgerungen auf bereits installierte Netzwerke gezogen werden, da die Unterschiedlichkeit der Protokolle und Pakete stark schwankt. In jedem Falle sollte man pro 100 MBit Port des Switch eine Firewall mit 3 x 100 MBit Karten (+1x 100 MBit für Kommunikationsbackbone) einplanen. Die Kosten pro Port liegen bei ca. 1000 DM. Auf diese Weise lassen sich auch sehr schnelle Netzwerke mit Geschwindigkeiten jenseits der GIGABIT Grenze kontrollieren. LINUX besitzt allerdings einen Fehler im Kernel, der die sogenannten large frames (MTU > 9000) nicht filtert, also Vorsicht. Genauere Hinweise finden sich im Kapitel über Fallstricke bei Kerneloptionen
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |