较新的物理接口是否可以构成更好的 Linux 防火墙?

较新的物理接口是否可以构成更好的 Linux 防火墙?

在工作中,我们使用一台旧的(已有 10 年历史)Linux 机器,该机器有 4 个接口,用作网络的路由器/防火墙。由于它很稳定,可以满足我们的所有需求,所以从未真正需要更换它。

不过,我想知道,用较新的网络接口替换旧接口是否会带来好处?除了明显的带宽增加(例如从 100MBit 到 GBit)之外,延迟是否会减少,还是较新的卡与旧卡的功能基本相同?

答案1

如果您的扩展总线只是一条普通 PCI,那么您可能会达到其 2.1 Gbps 的理论极限(假设您没有进行太多的数据包检查)。

任何延迟都可能是由 CPU 引入的(TCP 校验和卸载已经可用多年),所以我不认为这是一种具有成本效益的升级。

答案2

由于它很稳定并且能够满足我们所有的需求,所以实际上没有必要改变它。

就我个人而言,我会有点担心一台使用了 10 年的机器会成为互联网连接这样重要的服务的单点故障。当然,您的优先事项可能会有所不同,但 PC 的使用寿命通常在 5-7 年后结束。机械(风扇、硬盘)是发生故障的可能原因,尽管电子设备也会显示“磨损”的迹象(设备周围电压转换器中使用的电解电容器可能会随着时间的推移而变干,插入式触点会氧化导致过渡电阻增加,在低质量的焊点上可能会观察到类似的效果)。

更换 NIC 不会在性能或可靠性方面带来太大的改善,尽管理论上路由延迟会因千兆网络的比特时间较短而略有改善。但是,这种影响可以忽略不计,因为 512 字节 FE 帧的接收-发送周期约为 0.01 毫秒,而平均主机延迟则大出一个数量级,约为 0.5 毫秒。

顺便说一句:如果你正在寻找一种具有成本效益的替代品,并且熟悉 Linux,请看看OpenWRT. 它运行在各种嵌入式商品硬件并允许冗余设置。更快的基于 MIPS 或 ARM 的模型(>=500 MHz CPU,>=64 MB RAM)性能相当好,并且能够为 100 Mbps 接口进行线速路由(可能还有过滤,但这取决于您的规则集)。

使用 1 年后,您可能会节省与设备购买价格相等的电费(假设您当前设置的功率为 100 W,嵌入式设置的功率为 10 W,您每天可节省大约 2 kWh,按每 kWh 0.15 美元计算,每年可节省 100 美元)。

相关内容