Wo gibt es 10GBase-T Router/Firewalls?

[burnersk]

Ich habe zu hause ein 10GBase-T (Cat.6A RJ-45) Netzwerk mit unterschiedlichen Netzbereichen (z.B. Gastnetzwerk, Internes Netzwerk, Smart-Home-Netzwerk).

Aufgebaut ist das ganze mit einem Netgear ProSAFE M4300-48X (XSM4348CS-100NES). Der leistet auch excellent seinen Dienst. Jedoch gibt es ein massives Leistungsproblem, wenn z.B. von Netz 1 jemand auf Netz 2 zugreifen möchte und das geroutet werden muss und das nicht über VLAN "Smart Routing" innerhalb des Switches passieren kann; also über die/den Firewall/Router (Fritzbox) geht.
Hier steht sich der 20-30 GBit/s Traffic dann die Beine in den Bauch. Müssen die Pakete nämlich alle samt durch eine 1 GBit/s Leitung zur Fritte hin und zurück, also 500 MBit/s Maximalleistung im absoluten (nie eintretenden) Glücksfall.

Nun habe ich ein wenig zu 10GBase-T fähigen Routern resp. Firewalls gesucht, aber nur ein nicht-erschwingliches (>= 10.000 €) Cisco Firewall-Modell gefunden.

Gibt es da was?
Der Router/Firewall müsste DHCP(v4/v6) und DPI können und wenn er App-Fingerprinting kann, wäre das super.

OT: Ich habe so einen hohen (internen) Traffic, da ich Bild/Videobearbeitung über Netzwerk auf mehren Arbeitsplätzen mache. Nur falls sich jemand wundert, wie ich denn mit (hypothetisch) nur ein wenig HTTP und Netflix auf auch nur über 1 GBit/s komme.

 

[koyaanisqatsi]

Moins


So eine Linuxkiste mit Webfrontend und alle Steckplätze mit Netzwerkkarten belegt wäre billiger.
...als "Betriebssystem" empfehle ich: IPCop << Dass deckt so ungefähr deine Anwendungskriterien ab

 

[burnersk]

Moin,

hmmm; nach meiner Kenntnis werden die NIC Interrupts, egal wie viele NICs vorhanden, alle über einen einzigen/den selben CPU Core und Thread abgewickelt.

Wird das nicht von der IOPS Last her zu viel für eine Softwarelösung? Oder kann der Kernel heutzutage auch NIC Interrupt Load Balancing über alle Kerne?

Edit: Können schon gerne mal 30 GBits routing traffic werden. Und das ohne Jumbo frames.

 

[elo22]

So eine Linuxkiste mit Webfrontend und alle Steckplätze mit Netzwerkkarten belegt wäre billiger.
...als "Betriebssystem" empfehle ich: IPCop

IPCop ist tot, es lebe IPFire.

Lutz

 

[petertosh]

Ohne Erfahrungen in dieser Geschwindigkeitsklasse zu haben, aber Mikrotik an sich ist schon ziemlich fein. Billig ist dieser nicht, aber vielleicht ja doch sinnvoll: https://mikrotik.com/product/CCR1072-1G-8Splus#fndtn-testresults

In Onlineshops ab ca. 2500 €. Dazu kommen noch die passenden SFP+ Module.

 

[burnersk]

Mikrotik an sich ist schon ziemlich fein. Billig ist dieser nicht, aber vielleicht ja doch sinnvoll: https://mikrotik.com/product/CCR1072-1G-8Splus#fndtn-testresults

Danke

Laut dem Datenblatt macht das Ding auf "IP Filter Basis", was auch immer das heißt (App fingerprinting?), 63 GBits. Wäre gut, wenn diese Zahl wirklich "alle Features aktiviert" beinhaltet. Schließlich ist die Hauptlast in einem Netzwerk und geht nicht über den Router; die Routing läss ist zwischen 20 und 30 GBits.

 

[petertosh]

IP Filter Rules sind Firewall Regeln. D.h. die Geschwindigkeit bei 25 Firewall Regeln. Die Möglichkeit der Firewall ist hier beschrieben: https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

Wenn man bestimmte Protokolle oder Datenströme filtern will, gibt es die Layer7-FW: https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
Diese ist aber ressourcenintensiv.

Leider habe ich nicht mehr Erfahrungen dazu, betreibe nur deutlich kleine Mikrotik-Geräte (CCR1009, hEX) und nutze die L7-Firewall nicht, nur die normalen FW-Filter-Regeln.

Du könntest aber im Mikrotik Forum deine Frage stellen und schnell Antwort bekommen. Es sind viele kompetente User dort. Link: https://forum.mikrotik.com/viewforum.php?f=3

Ansonsten, warum muss der Zugriff vom Gastnetz auf das interne Netz in dieser Geschwindigkeit laufen? Die Arbeitsplätze für die Bild/Video-Bearbeitung können doch alle im internen Netz sein?