Jak vybrat vhodn� PC hardware pro v�konn� firewall-aneb �ipsety, sb�rnice, sk��n� a ethernety

Jak vybrat vhodn� PC hardware pro v�konn� firewall-aneb �ipsety, sb�rnice, sk��n� a ethernety

Firma FCC pr�myslov� syst�my s.r.o. se v denn� praxi �asto setk�v� s popt�vkou na "firewallov�" po��ta�. Na tuto popt�vku lze nab�dnout nap��klad hotov� "firewallov� platformy" od Advantechu, nebo vhodn� poskl�dan� "obecn�" server. V tomto �l�nku si d�le uk�eme, ��m se jednotliv� varianty li��.

Mezi po�adavky z�kazn�ka typicky pat�� v�t�� po�et Ethernetov�ch port�, v�konn� procesor a kompatibilita s opera�n�mi syst�my Linux a FreeBSD. �asto opom�jen�m aspektem je ov�em pou�it� struktura syst�mov�ch sb�rnic (PCI a jin�ch), kter� je d�na pou�it�m �ipsetem a kter� se v�raznou m�rou pod�l� na celkov� pr�chodnosti syst�mu.

Ka�d� syst�mov� PC �ipset m� ur�it� charakteristick� uspo��d�n� syst�mov�ch sb�rnic. V d�sledku toho z�kladn� desky od r�zn�ch v�robc� (obecn� i speci�ln� "s�ovac�") s t�mt� �ipsetem vykazuj� velmi podobn� vlastnosti.

N�e nejprve probereme obecn� vlastnosti r�zn�ch podtyp� sb�rnice PCI a d�le podrobn�ji rozebereme cbarakteristick� uspo��d�n� sb�rnic u n�kolika aktu�ln�ch �ipset� firmy Intel, kter� se v t�to oblasti obvykle pou��vaj�.
Nakonec zm�n�me konkr�tn� jedno��elov� po��ta�e dostupn� na trhu, a tak� obl�ben� Ethernetov� �ipy a karty a vhodn� po��ta�ov� sk��n�.

PCI a PCI Express

Historicky existuje n�kolik generac� a variant sb�rnice PCI. V n�e uveden�m v��tu se zam���me hlavn� na pr�chodnost, pomineme m�n� d�le�it� aspekty jako �rovn� nap�jec�ho nap�t� a verze standardu PCI.

PCI 32bit @ 33 MHz = 132 MBps - z�kladn� "modul"
PCI 32bit @ 66 MHz = 266 MBps
PCI 64bit @ 33 MHz = 266 MBps
PCI 64bit @ 66 MHz = 533 MBps
PCI-X 64bit @ 100 MHz = 800 MBps
PCI-X 64bit @ 133 MHz = 1066 MBps

Vedle tradi�n� paraleln� sb�rnice PCI a jej� varianty PCI-X se nov� prosazuje tak� s�riov� resp. s�rio-paraleln� varianta zvan� PCI-Express (zkr�cen� PCI-E).
Z�kladn� modul ("x1") sb�rnice PCI-Express m� v podstat� jedin� s�riov� kan�l, vy��� n�sobky (x4, x8, x16) vznikaj� paraleln�m sp�a�en�m n�kolika t�chto z�kladn�ch kan�l�.

PCI-E x1 = 250 MBps
PCI-E x4 = 1 GBps
PCI-E x8 = 2 GBps
PCI-E x16 = 4 GBps

POZOR, zat�mco tradi�n� paraleln� PCI je polo-duplexn�, PCI Express m� samostatn� symetrick� veden� pro RX a TX a skute�n� b�� v pln� duplexn�m provozu! V��e ud�van� pr�chodnosti PCI-Express jsou jednosm�rn�, v p��pad� ide�ln�ho pln� duplexn�ho vyt�en� je sum�rn� pr�chodnost dvojn�sobn�.

Prakticky je konkr�tn� "n�sobek" a po�et segment� PCI-E charakteristickou vlastnost� konkr�tn�ho PC �ipsetu a v�robce motherboardu nem� mo�nost nap��klad libovoln� "rozpl�st" jeden �irok� port na n�kolik �zk�ch - k tomu je zapot�eb� PCI-to-PCI bridge, resp. spr�vn� v terminologii PCI-E switch.

V�ce se o sb�rnici PCI Express m��ete dozv�d�t v samostatn�m pov�d�n�.

Vr�t�me-li se ke kapacitn�m po�t�m, nutno podotknout, �e sb�rnice PCI nen� stoprocentn� efektivn�.
Obvykle se ud�v�, �e re�ln� aplika�n� pr�chodnost tradi�n� PCI sb�rnice (32@33) je okolo 100 MBps oproti teoretick�m 132 MBps. Je to zp�sobeno re�i� signalizace, droben�m souvisl�ho datov�ho toku do jednotliv�ch transakc� o omezen�m objemu dat apod.
U sb�rnice PCI-Express firma Intel p��mo ve sv�ch reklamn� lad�n�ch "�vodech do problematiky" p�izn�v�, �e re�ln� pr�chodnost PCI-E x1 je zhruba 200 MBps oproti teoretick�m 250 MBps. Sb�rnice PCI-Express pou��v� toti� vysloven� paketov� provoz. Oproti transakc�m sb�rnice PCI m� ka�d� paket PCI-E nav�c sekven�n� ��slo a kontroln� sou�et - re�ie je tedy o n�co v�t��.

D�le je t�eba zv�it n�sleduj�c� aspekty:

  1. sb�rnice PCI je polo-duplexn�. V ka�d�m okam�iku p�en�� data pouze tam nebo pouze zp�tky. Tak�e pokud chceme uva�ovat pln� duplex, symetrick� pln�-duplexn� kapacita je polovi�n� - lze ov�em pracovat s asymetrick�m d�len�m p�sma, kter� je u mnoha s�ov�ch aplikac� realitou.
  2. pokud uva�ujeme o za��zen� typu "firewall" (a ostatn� nap�. i u souborov�ch server�, kter� p�en�ej� data z disku), je t�eba m�t na pam�ti, �e data mus� po sb�rnicov�m syst�mu prot�ci "tam a zp�tky", tj. efektivn� kapacita PCI sb�rnice se op�t p�l�, tentokr�t symetricky (pokud neuva�ujeme cachov�n� dat v syst�mov� RAM).

Tak�e se d� ��ci, �e po��ta� s jedinou sb�rnic� PCI pod pr�choz� full-duplexn� symetrickou z�t�� bude m�t re�lnou pr�chodnost pouze �tvrtinovou oproti jmenovit�m ��sl�m. P��klad pro PCI 32@33: 100 MBps / 4 = 25 MBps = 200 Mbps. Pokud by tent�� po��ta� pouze serv�roval data z pam�ti RAM, m��e vys�lat rychlost� a� 100 MBps = 800 Mbps.

Z v��e uveden�ho je z�ejm�, �e nap�. stroj se 4 porty Gb Eth a jedinou sb�rnic� PCI 32@33 MHz je z hlediska pr�chodnost� pon�kud nevyv�en�.
Na druhou stranu, pokud v�robce takov�ho syst�mu p�izn� ni��� intern� pr�chodnost, je t�eba souhlasit, �e v portfoliu Ethernetov�ch �ip� firmy Intel jsou 100Mbps sou��stky v�razn� na �stupu a �e�en� s Gb Eth porty m��e ve v�sledku vych�zet levn�ji.

�ipsety

Po plan� teoretick�m �vodu budeme ned�vn� v�voj sb�rnic v PC �ipsetech demonstrovat na n�kolika p��kladech od firmy Intel. Jsou to toti� pr�v� praktick� implementace, na kter�ch fin�ln� z�le��.

Obecn�

�ipsety od firmy Intel jsou tradi�n� �e�eny "ve dvou pouzdrech" - �ipset se skl�d� ze dvou sou��stek zvan�ch lidov� North Bridge a South Bridge.

North Bridge tvo�� tradi�n� sty�n� bod mezi procesorem, pam�t�, AGP grafikou (�asto integrovanou) a South Bridgem. South Bridge obvykle koncentruje pomalej�� perifern� funkce.

Spojnice N.B.-S.B. byla p�vodn� tvo�ena segmentem sb�rnice PCI, kter� z�rove� obsluhoval PCI sloty. Tak je tomu u rodiny �ipset� i4xx pro Pentium II / III.

Nov�ji, u �ipset� i8xx a i9xx, je spojnice N.B.-S.B. realizov�na z��enou sb�rnic� HubLink, a sb�rnice PCI se p�est�hovala na SouthBridge. Sb�rnice HubLink nicm�n� na vy���ch vrstv�ch emuluje PCI, tak�e PCI Host Bridge i nad�le z�st�v� sou��st� North Bridge. PCI Host Bridge je ko�enem sb�rnice PCI - je hrdlem �st�c�m do subsyst�mu RAM a procesoru. Sb�rnice AGP je v z�sad� tak� sou��st� PCI stromu - co� je dal��m d�vodem, pro� PCI host bridge z�stal sou��st� North Bridge.

Sb�rnice HubLink je relativn� pomal�. Na�t�st� v�ak nen� �pln� pravda, �e klasick� sb�rnice PCI obsluhuj�c� PCI sloty a onboard s�ov� �ipy je dostupn� v�hradn� prost�ednictv�m South Bridge. Nejv�konn�j�� �ipsety disponuj� jedn�m �i n�kolika rychl�mi segmenty PCI-E vyveden�mi p��mo z North Bridge. V t�to souvislosti se moment�ln� pou��v� jako sou��st �ipsetu je�t� t�et� �ip - PCI-Express to PCI-X bridge. V�t�ina serverov�ch PCI karet m� dnes toti� rozhran� PCI-X, a bridge p�edstavuje efektivn� zp�sob, jak z�skat motherboard s n�kolika sloty PCI-X o maxim�ln�m mo�n�m v�konu.
Pokud tedy budeme hledat stroj s maxim�ln� pr�chodnost� pro s�ov� aplikace, budeme se muset zam��it na �ipsety, kter� maj� n�kterou v�konn�j�� variantu PCI vyvedenu p��mo z North Bridge.

Ethernet

Pouka�me si je�t� na n�kolik d�le�it�ch skute�nost� okolo ethernetov�ch rozhran�.

Ethernetov� porty jsou pln� duplexn�. Tak�e, na paraleln� polo-duplexn� PCI sb�rnici, v sou�tu za oba sm�ry,

  • jeden port 100 Mb Ethernetu generuje a� 20 MBps provozu
  • jeden port Gb Ethernetu generuje a� 200 MBps provozu

Ethernetov� porty se daj� k intelsk�m �ipset�m p�ipojovat n�kolika zp�soby. R�zn� �ipsety podporuj� r�zn� mo�nosti:

  • po r�zn�ch paraleln�ch variant�ch sb�rnice PCI
  • po propriet�rn� intelsk� sb�rnici CSA (= HubLink 1.5 = 266 MBps)
  • lze vyu��t Fast Eth MAC subsyst�m integrovan� v n�kter�ch south bridg�ch, ke kter�mu sta�� p�idat pouze extern� MII transceiver
  • bohu�el Intel v tuto chv�li nedod�v� ethernetov� �ipy s rozhran�m PCI Express. Proto lze PCI Express vyu��t pro s�ov�n� pouze v p��pad�, �e je na motherboardu rozbridgov�na na n�kolik segment� PCI-X (co� se prakticky d�je). Gb Ethernet s nativn�m rozhran�m PCI-E zat�m uvedla firma Agere (d��ve pat�ila pod Lucent, p�edt�m AT&T).
    Teoreticky lze tak� uva�ovat o konstrukci multiportov� karty Gb Eth pro sb�rnici PCI-E s PCI-X/Eth �ipy Intel a bridgem Intel 6700PXH. Prakticky ov�em nen� zcela samoz�ejm�, jak by se na takov� p��davn� kart� za��dilo routov�n� interrupt�. ACPI BIOS by musel podporovat IO(x)APICy na p��davn�ch PCI-E kart�ch, co� u� na prvn� pohled nen� trivi�ln� z�le�itost. Rad�i d�l nep�em��let.

V��e a n�e prezentovan� jednoduch� po�ty se surovou kapacitou je ov�em t�eba br�t s rezervou, nebo p�inejmen��m hodnotit v kontextu aplikace. Pro re�lnou z�t� pravd�podobn� nebude �zk�m hrdlem surov� kapacita sb�rnic, ale dost mo�n� sp� schopnost "v�po�etn�ho j�dra" syst�mu (CPU, RAM, software) routovat provoz dostate�n� rychle. Praktick� zku�enosti dosud ukazuj�, �e zejm�na u v�po�etn� n�ro�n�j��ch aplikac� (stateful firewall, billing velk�ho mno�stv� drobn�ch klient�) je na strop� procesor, sp�e ne� sb�rnice.

i845

P4 Northwood, FSB400/533, jeden kan�l DDR266
S.B. = ICH4: 2x IDE, PCI 32@33, Fast Eth MAC, HubLink 1.5 @ 266MBps

Topologie  �ipsetu Intel 845
Topologie �ipsetu Intel 845

Intel 845 je jednoduch� a sv�ho �asu v�udyp��tomn� stoln� �ipset, kter� je ji� n�jakou dobu na �stupu v souvislosti s ukon�en�m dod�vek P4 Northwood do b�n� obchodn� s�t�.
Pokud se budeme zaj�mat o schopnosti s�ov�n�, zaj�mav� je integrovan� "chytr�" ��st (tzv. MAC) Fast ethernetov�ho portu (pot�ebuje extern� MII transceiver). South bridge d�le nab�z� pouze z�kladn� PCI sb�rnici (132 MBps), kter� v�konov� sta�� na n�kolik extern�ch s�ov�ch �ip� s rozhran�m Fast Ethernet, ale v�c ne� jeden port Gb Ethernetu seri�zn� nevyt��.

i865

P4 Northwood/Prescott, FSB400/533/800, dva kan�ly DDR400, CSA LAN interface
S.B. = ICH5: 2x IDE + 2x SATA, PCI 32@33, Fast Eth MAC, HubLink 1.5 @ 266 MBps

Topologie  �ipsetu Intel 865
Topologie �ipsetu Intel 865

Intel 865 p�inesl do intelsk�ch stoln�ch po��ta�� dvoukan�lovou RAM, podporu procesor� P4 s j�drem Prescott a dva integrovan� SATA kan�ly. Zvedl se tak� maxim�ln� takt FSB a RAM - z�klad syst�mu okolo north bridge si tedy v�konov� polep�il.
Pokud se t��e schopnost� s�ov�n�, zaj�mav� je mo�nost p�ipojit jedno rozhran� gigabitov�ho ethernetu samostatnou sb�rnic� CSA (vlastn� HubLink 1.5) p��mo k north bridgi. Bohu�el odpov�daj�c� south bridge ICH5 nad�le obsahuje pouze z�kladn� PCI sb�rnici (132 MBps), tak�e s p�ehledem obslou�� n�kolik Fast ethernetov�ch rozhran�, ale nen� p��li� pou�iteln� pro rozs�hlej�� sadu rozhran� Gb Eth.

i7210 (Canterwood)

P4 Northwood/Prescott, FSB400/533/800, dva kan�ly DDR400, CSA LAN interface
S.B. = ICH5 : 2x IDE + 2x SATA, PCI 32@33, Fast Eth MAC, HubLink 266 MBps
= 6300ESB : 2x IDE + 2x SATA, PCI 64@66 + PCI 32@33 (dva samostatn� segmenty), HubLink 1.5 @ 266 MBps

Topologie  �ipsetu Intel 7210
Topologie �ipsetu Intel 7210

Intel 7210 je patrn� nejlevn�j�� �ipset, ke kter�mu lze p�ipojit south bridge 6300ESB. Alternativou je ICH5. Na south bridgi 6300ESB je zaj�mav� zejm�na jeho PCI - m� dva kan�ly: jeden PCI-X 64@66 a jeden PCI 32@33.
Pokud se tedy t��e schopnost� s�ov�n�, na prvn� pohled by se cht�lo j�sat. Ov�em pozor, aby se nejednalo o p�ed�asnou radost. Zat�mco PCI-X 64@66 m� pr�chodnost 533 MBps, rychlost pou�it�ho HubLinku z�st�v� na 266 MBps (tj. nem�n� se oproti ICH4 nebo ICH5). I pokud uv��me, �e HubLink je na rozd�l od PCI-X na jmenovit� kapacit� pln� duplexn� (�dajn�, Intel to nikde ve�ejn� nerozv�d�), je z�ejm�, �e HubLink bude �zk�m hrdlem, kter� obslou�� �ekn�me dva a� t�i porty Gb Ethernetu na pln� rychlosti. A pozor, 6300ESB neobsahuje integrovan� FastEth MAC. P��jemn� je, �e alespo� na North Bridgi z�stal samostatn� CSA port pro extern� GbEth rozhran�.

i7520 (Lindenhurst)

dual P4 Xeon (Nocona), FSB800, dva kan�ly DDR2/400
N.B. = 3x PCI-E x8
S.B. = ICH5 : 2x IDE + 2x SATA, PCI 32@33, Fast Eth MAC, HubLink 266 MBps
= 6300ESB : 2x IDE + 2x SATA, PCI 64@66 + PCI 32@33 (dva samostatn� segmenty), HubLink 1.5 @ 266 MBps

Topologie  �ipsetu Intel 7520
Topologie �ipsetu Intel 7520

Intel 7520 je novou generac� serverov�ch �ipset�, podle v�eho jde o n�stupce �ady Intel 7501. Intel 7520 podporuje 64bitov� Xeony (x86 + EMT64) s j�drem Nocona a aktu�ln� rychlosti FSB a RAM, co� u SMP �ipsetu nen� zcela samoz�ejm�.
Pokud se t��e sb�rnicov� a snad i s�ov� pr�chodnosti, zd� se, �e Intel 7520 p�edstavuje dlouho o�ek�van� zem�t�esen�. Nejd�le�it�j��m rozd�lem oproti v��e popisovan�m desktopov�m �ipset�m je, �e p��mo z north bridge vedou t�i segmenty PCI Express x8 - to je 3x 2 GBps. Toto p�edstavuje v�razn� zlep�en� i oproti srovnateln�j��mu �ipsetu i7501, kter� m�l 3x propriet�rn� HubLink 2.0 = 3x 1 GBps (a tak� pomalej�� FSB a pomalej�� pam�ti).
Bohu�el, za sou�asn� situace, kdy na trhu nejsou s�ov� karty s rozhran�m PCI-E, je t�eba se porozhl�dnout po syst�mech s �ipsetem 7520, kter� maj� segmenty PCI-E p�evedeny bridgem 6700PXH na n�kolik slot� PCI-X - a pou��t s�ov� karty s rozhran�m PCI-X.
�ipset Intel 7520 podporuje rozd�len� port� PCI-E x8 v�dy na dva porty PCI-E x4. Jde o vlastnost �ipsetu, o jej�m� p��padn�m vyu�it� se rozhoduje v�voj�� motherboardu. Koncov� u�ivatel nem� mo�nost hotov� motherboard p�ekonfigurovat. Na druhou stranu by m�la fungovat kompatibilita se v�emi "u���mi" PCI-E kartami - pokud zasunete u��� kartu do �ir��ho slotu, prost� p�ijde ��st kapacity slotu nazmar.
Motherboardy s �ipsetem i7520 budou typicky ur�eny pro serverov� pou�it�, a z toho d�vodu budou obsahovat nen�ro�nou integrovanou grafiku na n�jak�m zatoulan�m pomal�m konci sb�rnice PCI - klidn� na 32bitov�m segmentu vedouc�m od 6300ESB.

i7525 (Tumwater)

dual P4 Xeon (Nocona), FSB800, dva kan�ly DDR2/400
N.B. = 1x PCI-E x16 + 1x PCI-E x8
S.B. = ICH5 : 2x IDE + 2x SATA, PCI 32@33, Fast Eth MAC, HubLink 266 MBps
= 6300ESB : 2x IDE + 2x SATA, PCI 64@66 + PCI 32@33 (dva samostatn� segmenty), HubLink 1.5 @ 266 MBps

Topologie  �ipsetu Intel 7525
Topologie �ipsetu Intel 7525

Intel 7525 je bl�zk�m p��buzn�m i7520. Prakticky jedin�m rozd�lem je mno�ina PCI-E port�, kter� tento �ipset p�edur�uje sp�e pro v�konn� grafick� pracovn� stanice, ne� pro servery.
Op�t p��mo z north bridge vedou dva porty PCI-E, ov�em jejich kapacita je rozd�lena nestejnom�rn� mezi port x16 a port x8. Na port o ���ce x8 lze op�t p�ipojit 6700PXH a zkonvertovat ho na n�kolik slot� PCI-X.
Port PCI-E x16 bude na v�t�in� motherboard� osazen slotem pro grafickou kartu - motherboardy s �ipsetem 7525 budou typicky postr�dat integrovanou grafiku.
�ipset Intel 7520 podporuje rozd�len� jednoho nomin�ln�ho x8 portu do funkce dvou port� x4. Jde o vlastnost �ipsetu, o jej�m� p��padn�m vyu�it� se rozhoduje v�voj�� motherboardu. Koncov� u�ivatel nem� mo�nost hotov� motherboard p�ekonfigurovat. Na druhou stranu by m�la fungovat kompatibilita se v�emi "u���mi" PCI-E kartami - pokud zasunete u��� kartu do �ir��ho slotu, prost� p�ijde ��st kapacity slotu nazmar.

i915

P4 Prescott LGA775, FSB533/800, dva kan�ly DDR nebo DDR2 a� 533 MHz
S.B. = ICH6: 1x IDE + 4x SATA, 4x PCI Express x1 + 1x PCI 32@33, DMI @ 1 GBps (full duplex)

Topologie  �ipsetu Intel 915
Topologie �ipsetu Intel 915

Intel 915 je levn� desktopov� �ipset nov� generace. KONE�N� zmizel 266 MBps HubLink - byl nahrazen op�t propriet�rn� sb�rnic� DMI (Direct Media Interface) o kapacit� 1 GBps full duplex, kter� je mimochodem na fyzick� vrstv� patrn� velmi podobn� PCI-E x4 (a velmi NEpodobn� sb�rnici HubLink 2.0 o t�e kapacit�, kter� je pou�ita v i7501). South bridge ICH6 si ponechal 1 kan�l klasick� z�kladn� PCI 32@33, ale p�ibyly �ty�i kan�ly PCI-E x1, co� je velmi p��jemn�.
North Bridge m� v n�kter�ch variant�ch �ipsetu integrov�nu pom�rn� v�konnou grafiku, a k n� navrch je�t� PCI-E x16 slot.

i8500 (Twin Castle) - bl�zk� budoucnost server�?

4x P4 Xeon EMT64 MP (Cranford, Potomac, Tulsa, ...), 2x 64bit 667 MHz FSB, a� 8 kan�l� DDR2/400
N.B.: 3x PCI-E x8 + 1x PCI-E x4 (alternativn� 7x PCI-E x4)
S.B. = ICH5 : 2x IDE + 2x SATA, PCI 32@33, Fast Eth MAC, HubLink 266 MBps

Intel i8500 je nejnov�j�� serverov� �ipset od Intelu. Je ur�en pro �ty�i 64bitov� Xeony MP - prvn� generace kompatibiln�ch procesor� m� 400 MHz FSB a pouze jedno procesorov� j�dro. �ipset je ur�en tak� pro p��t� generaci Xeon� se dv�ma j�dry a rychlej�� FSB, kter� by se m�la objevit na p�elomu let 2005/2006.

Vlastnosti �ipsetu nejl�pe oz�ejm� origin�ln� ilustrace od Intelu.

Topologie  �ipsetu Intel 8500
Topologie �ipsetu Intel 8500
(obr�zek je p�evzat z katalogov�ho listu Intel E8500 N.B.)

Pr�chodnosti kl��ov�ch sb�rnic jsou n�sleduj�c�:

  • FSB = 2x 5.3 GBps (half duplex)
  • IMI (RAM) = 4x (simult�nn� 5.33 GBps �ten� + 2.67 GBps z�pis)
  • DDR2 (RAM) = 8x 3.2 GBps (half duplex)
  • PCI Express = 3x 2 GBps + 1x 1 GBps (full duplex)
  • HubLink 1.5 = 266 MBps (full duplex?)

Samotn� north bridge i8500 neobsahuje kompletn� intern� pam�ov� �adi�, pouze rozhran� IMI pro p�ipojen� a� �ty� extern�ch pam�ov�ch �adi�� (XMB).
Zaj�mav� je, �e rozhran� IMI emuluje PCI p�inejmen��m do t� m�ry, �e jednotliv� XMB �adi�e se tv��� tak� jako PCI za��zen� a lze je konfigurovat prost�ednictv�m jejich PCI config space.

Extern�  pam�ov� �adi� i8500 XMB
Extern� pam�ov� �adi� i8500 XMB
(obr�zek je p�evzat z katalogov�ho listu Intel E8500 XMB)

Osm kan�l� RAM po �ty�ech DIMMech umo��uje vybavit stroj a� 128 GB RAM. T�mto zp�sobem je mo�no jednak dos�hnout extr�mn� pam�ov� vybavenosti serveru, jednak �ipset podporuje r�zn� mechanismy detekce a opravy chyb nad r�mec prost�ho ECC. Intel tyto schopnosti prezentuje jednodu�e jako "RAID nad pam�t� RAM." Krom� toho je cel� �ipset koncipov�n pro hot-plugging jak PCI, tak pam�t�. �ipset si um� za chodu upravovat pam�ovou mapu, tj. um� za provozu p�id�vat a ub�rat pam�.

Pokud srovn�me tento �ipset nap�. s brat���kem i7520, je z�ejm�, �e:

  • E8500 nem� o mnoho v�t�� pr�chodnost sm�rem k periferi�m - ke t�em segment�m PCI-E x8 p�ibyl jedin� segment PCI-E x4.
  • E8500 m� dv� FSB (s dodr�en�m koherence navz�jem mezi ob�ma segmenty), ov�em pouze na 667 MHz, oproti 800 MHz u 7520 - tak�e r�st surov� pr�chodnosti FSB je m�n� ne� dvojn�sobn�.
  • Zato se prakticky ze�ty�n�sobila pr�chodnost RAM.
  • Tak� po�et plnohodnotn�ch procesorov�ch jader v syst�mu je �ty�n�sobn� (s dvoujadern�mi procesory).
Lze tedy shrnout, �e perifern� pr�chodnost syst�mu se v�razn� nezlep�ila, ale zlep�il se procesorov� v�kon a intern� pr�chodnost mezi procesory a pam�t�.

Ohledn� procesorov�ho v�konu je t�eba poznamenat, �e efektivita vyu�it� procesor� v�razn� z�le�� na chov�n� softwaru. Tento stroj bude vykazovat optim�ln� v�kon p�i vysok�m stupni multitaskingu, jak v u�ivatelsk�m prostoru tak nap�. i v obsluze p�eru�en� (proto�e r�zn� procesorov� j�dra mohou r�zn� p�eru�en� obsluhovat paraleln�). D�le�it� je, aby procesy v multitaskingu hlavn� chroupaly data lok�ln�m procesorov�m j�drem p�es jeho vlastn� cache a p��li� nez�visely na vz�jemn� synchronizaci a sd�len� pam�ti mezi j�dry. Opera�n� syst�m by se m�l vyvarovat pou�it� glob�ln�ch spinlock� ("giants").
Obecn� lze t�ko ��ci, jak� charakter z�t�e bude generovat paketov� firewall. Naopak aplika�n� proxy nebo obecn� internetov� server patrn� vlastnosti tohoto �ipsetu rozumn� vyu�ije.

Lze o�ek�vat, �e se �ipset objev� p�edev��m ve zna�kov�ch serverech s propriet�rn�m form�tem motherboardu a velkou sk��n�, nebo v "blade serverech". Jednak proto, �e tato t��da server� se dosud v noname proveden� nevyskytovala, jednak proto, �e na dne�n� standardn� ATX nebo E-ATX desku by se v�echny sou��stky mo�n� t�ko ve�ly, nemluv� o chlazen�, nap�jen� a dal��ch probl�mech.

Praktick� p��klady s�ov�ch po��ta��

S�ov� platformy Advantech

Firma FCC pr�myslov� syst�my dod�v� PC hardware firmy Advantech, specializovan� pro pou�it� v roli s�ov�ch element� (PC router�, firewall�). Spole�n�mi vlastnostmi je mal� form�t (19"/1U nebo mal� stoln� sk���ka), n�kolik integrovan�ch s�ov�ch port� a pouze minim�ln� roz�i�itelnost. Dal��m charakteristick�m rysem hardwaru Advantech je zam��en� na n�zkou spot�ebu a pota�mo tak� p�im��en� omezen� v�kon.

Obvykle lze volit procesor, velikost RAM a podle typu sk���ky 3.5" nebo 2.5" disk, pop�. CompactFlash kartu.
Je pravidlem, �e p��stup zven�� je mo�n� pouze termin�lov�m emul�torem p�es s�riovou konzolu - ov�em i do BIOS SETUPu. P�esto v�echny n�e jmenovan� stroje obsahuj� a norm�ln� pou��vaj� VGA grafiku - sign�ly pro VGA a kl�vesnici (a p��padn� dal�� perifern� porty) jsou vyvedeny na miniaturn�ch konektorech na motherboardu, kabelov� redukce lze objednat jako p��platkov� p��slu�enstv�. (Advantech v jin�ch kategori�ch produkt� vyr�b� i miniaturn� PC hardware zcela bez grafiky.)

N�e n�sleduje ne�pln�, demonstrativn� v��et "firewallov�ch platforem" Advantech.

FWA-660

4x Fast Ethernet, Pentium III/Celeron, �ipset Intel 815E (PC-133 SDRAM), stoln� sk���ka 4x25x18 cm (Vx�xH).

firewall Advantech_FWA-660 firewall Advantech_FWA-660
FWA-660 zep�edu a zezadu

FWA-3680

4x Fast Ethernet, Pentium III/Celeron, �ipset Intel 815E (PC-133 SDRAM), 19"/1U.

firewall Advantech_FWA-3680
FWA-3680

FWA-3140

4x Fast Ethernet (FWA-3140-A) nebo 4x Gb Ethernet (FWA-3140-C), Pentium 4 Northwood, �ipset Intel 845GV, 19"/1U.

firewall Advantech_FWA-3140
FWA-3140

FWA-3180

8x Fast Ethernet (FWA-3180-A) nebo 8x Gb Ethernet (FWA-3180-C), Pentium 4 Northwood, �ipset Intel 845GV, 19"/1U.
8 jednoportov�ch ethernetov�ch �ip� je p�ipojeno k south bridgi ICH4 prost�ednictv�m PCI-to-PCI bridge.
Ve stadiu prototypu je obdobn� model s north bridgem i875 a south bridgem 6300ESB, bez p��davn�ho PCI bridge.

firewall Advantech_FWA-3180
FWA-3180

Obecn� 19" servery SuperMicro

Pokud je z�kladn�m po�adavkem maxim�ln� mo�n� v�kon na platform� PC, lze doporu�it n�kter� univerz�ln� server od firmy SuperMicro, kter� osad�me pot�ebn�m po�tem s�ov�ch karet.

Zna�ka SuperMicro vyr�b� jednak hotov� typizovan� servery (sk��� + motherboard), ale prod�v� i samostatn� sk��n� a motherboardy. Ze samostatn�ch sk��n� a motherboard� lze postavit zaj�mav� syst�my, kter� se v typizovan� mno�in� hotov�ch server� nevyskytuj�. Uvedeme si p�r p��klad�.

Serverov� motherboardy maj� obvykle integrovanou slab�� VGA grafiku (na PCI) a mo�nost zapnout s�riovou konzoli v BIOSu. N�kter� modely maj� mo�nost vyv�st s�riov� port na �eln� panel.

SuperServer 6024 - kompletn� server

2x Xeon EMT64, �ipset i7520, 2x GbEth onboard, 2U, 6 SATA nebo SCSI disk� v hot-swap �upl�c�ch (IDE bez �upl�k�).

SuperServer 6024H-T
SuperServer 6024H-T

Jedn� se o kompletn� server - sta�� p�idat procesory, pam� a disky. Je na v�b�r n�kolik variant serveru pro disky IDE, SATA nebo U320 SCSI, a d�le je mo�no volit jednoduch� �i redundantn� nap�jec� zdroj a motherboard pro pam�ti DDR nebo DDR2. Motherboardy ve variant�ch SCSI a SATA podporuj� ZCR �adi�e. Zaj�mav� je motherboard pou�it� v SATA variant� - obsahuje onboard osmikan�lov� SATA-II �adi� Marvell, kter� pat�� k nejv�konn�j��m dostupn�m sou��stk�m tohoto typu na trhu. Na ZCR je ho mo�n� �koda, zaj�mavou variantou m��e b�t sofwarov� RAID v Linuxu (pokud si dok�ete zkompilovat ovlada�e, kter� jsou zat�m k dispozici pouze samostatn� od v�robce, tj. nejsou ve vanilkov�ch j�drech).

Pozor na n�kolik v�c�:

  1. Server m� dva sloty PCI-E x8 a pouze t�i PCI-X. Karty PCI-E x8 se dosud b�n� nevyskytuj�, v�jimkou jsou snad RAIDy ARECA.
  2. Server m� v�hradn� stojat� low-profile sloty - tak�e t�eba RAIDov� �adi� Intel SRCS16 alias LSI MegaRAID SATA 150-6 (mimochodem pom�rn� pomal�) do n�j nedostanete. Pokud chcete hardwarov� RAID, s ohledem na v�kon a v��ku doporu�ujeme osmidiskov� RAID ARECA ARC-1120 resp ARC-1220 (PCI-X resp. PCI Express).
  3. Pokud budete cht�t pou��t hardwarov� RAID, nevyu�ijete v�cekan�lov� onboard �adi�e SATA nebo SCSI, kter� jsou u tohoto serveru standardn� sou��st� motherboardu. Pokud v tomto p��pad� chcete trochu u�et�it, zkuste se poohl�dnout po motherboardu SuperMicro bez integrovan�ho diskov�ho �adi�e.

Pokud pot�ebujete vysok� surov� procesorov� v�kon bez n�roku na velkou diskovou kapacitu, pod�vejte se na dvouprocesorov� 1U servery �ady 6014 s �ipsetem i7520.

Samostatn� motherboardy

Jako p��klad zaj�mav�ho motherboardu s �ipsetem i7520 lze uv�st model X6DHE-XG2 resp. X6DH8-XG2, s p�ti sloty PCI-X. T�i z nich b�� na 133 MHz a dva na 100 MHz (obsluhov�no dv�ma bridgi 6700PXH a dv�ma intern�mi segmenty PCI-E x8).

Motherboard X6DH8-XG2
Motherboard X6DH8-XG2

Samostatn� sk��n�

Firma SuperMicro vyr�b� tak� zaj�mav� sk��n�, kter� nejsou sou��st� standardn�ch kompletn�ch server�. Za zm�nku stoj� nap��klad:

  • SC833 = 8x hotswap disk ve 3U. D�ky slim pozici pro CD-ROM a samostatn� pozici pro 3.5" disketovou mechaniku m� tato sk��� ve 3U a� o jednu plnou 5.25" pozici v�c ne� SC743 ve 4U.
  • SC933 = 14x SCA SCSI nebo 15x SATA hotswap disk ve 3U
  • SC743 = 8x hotswap disk ve 4U, d�ky voliteln� montovateln�mu dr��ku 5.25" mechanik lze pou��vat do 19" stojanu i nastojato jako tower
SuperMicro_SC833
SC833
SuperMicro_SC933
SC933
SuperMicro_SC743
SC743

Tyto sk��n� lze zkombinovat bu� s motherboardem s p��slu�n�m integrovan�m diskov�m �adi�em (nap�. X6DHT-G) a v�t�� po�et disk� obslou�it softwarov�m RAIDem (RAID5 bude pomal�), nebo lze pou��t obecn� motherboard kombinovan� s kvalitn�m hardwarov�m RAIDem. Mezi pou�iteln� SATA RAIDy pat�� v�robky firmy Areca pro 8 a 16 disk� do sb�rnice PCI-X nebo PCI Express.

Obecn� z�drhele mechanick� kompatibility

Je t�eba pe�liv� zvolit kombinaci chassis a motherboardu tak, aby motherboard, krom� toho �e pasuje do chassis, m�l dostatek PCI-X slot�, a chassis aby umo�nilo mont� p��slu�n�ho po�tu zvolen�ch s�ov�ch karet - pozor na karty pln� v��ky (3U nastojato, 2U nale�ato) vs. low-profile sloty (2U nastojato). Pouze vybran� star�� 2U chassis s �ipsety ServerWorks GC-LE a Intel 7501 pou��vala le�at� PCI sloty pln� v��ky, a to jedin� d�ky pomocn� expanzn� kart� ("strome�ek", anglicky "riser card") - tak�e efektivn� byly t�i PCI-X sloty napojeny na jedin� PCI-X slot v motherboardu, co� je suboptim�ln� jak z hlediska impedanc� na sb�rnici (=>a spolehlivosti), tak z hlediska pr�chodnosti (PCI-X nepob�� na 133 MHz na segmentu se t�emi obsazen�mi sloty). Koncepce se strome�kem a le�at�mi sloty pat�� z�ejm� minulosti. Modern� motherboardy s �ipsetem 7520 a mnoha PCI-X sloty maj� jeden slot na jeden segment sb�rnice, co� umo��uje vyu�it� pln� rychlosti tak�ka ve v�ech PCI-X slotech (s v�jimkou p��padn�ho slotu p�ipojen�ho na 6300ESB, kter� b�� na 66 MHz a je zapojen za pomal�m hublinkem).

Mnoh� 1U sk��n� SuperMicro pou��vaj� atypick� form�t motherboardu - nepasuje do nich ATX ani E-ATX. Podporovan� kombinace sk��n� a motherboard� lze nal�zt v pe�liv� dokumentaci od v�robce.

Pozn�mka k v�ceportov�m gigabit�m Intel

Pozor, �ty�portov� Intely PRO 1000MT obsahuj� PCI bridge, maj� plnou v��ku (pasuj� pouze do 3U) a mo�n� maj� vn�j�� rozhran� pouze PCI 64@66 (soud� podle dostupn�ch v�pis� lspci), jsou drah� a vyskytly se st�nosti na kompatibilitu. Krom� toho Intel na sv�m produktov�m webu tvrd�, �e jsou podporov�ny konfigurace s maxim�ln� dv�ma t�mito kartami v syst�mu - nen� vysv�tleno pro� a na�, ale p�inejmen��m je t�eba m�t se na pozoru, pokud bychom uva�ovali t�eba motherboard na b�zi i7520 se dv�ma PXH a �ty�mi PCI-X sloty.
Zkuste proto zv�it pou�it� dvouportov� varianty s�ov�ch karet Intel Pro 1000: maj� dva GbEth porty v jednom �ipu, maj� low-profile v��ku (na stojato do 2U) atd.

Pozn�mka ohledn� RAID�

Sk��n� SuperMicro pro v�t�� po�et disk� p��mo ponoukaj� k experiment�m s RAIDem. Proto bude vhodn� upozornit na tomto m�st� na n�kter� souvislosti.

Existuje v z�sad� n�kolik mo�nost�, jak ve sk��ni s v�t��m po�tem hot-swapov�ch r�me�k� po��dit RAID:

  • ZCR - v z�sad� hardwarov� RAID, ale z dostupn�ch �e�en� asi nejm�n� v�konn�.
  • RAID s procesorem IOP303, IOP302 a slab��mi - m�n� v�konn� HW RAID, vyrovnan� v�kon p�i �ten� a z�pisu
  • RAID s procesorem IOP321, IOP331, IOP332 - nejv�konn�j�� dostupn� HW RAID, vyrovnan� v�kon p�i �ten� a z�pisu
  • Hardwarov� RAID 3ware �ady 8000 - mal� cache, slab� v�kon p�i z�pisu do RAID5, st�edn� v�kon p�i �ten�
  • Hardwarov� RAID 3ware �ady 9000 - obstojn� cache, slab� procesor. Slab�� v�kon p�i z�pisu do RAID5, solidn� v�kon p�i �ten�.
  • Softwarov� RAID - zrcadlen� dynamick�ch disk� v serverov�ch variant�ch Windows 2003/XP. Neum� RAID5.
  • Softwarov� RAID - v Linuxu. Um� RAID5 a RAID6, v�kon p�i z�pisu nen� �pln� �patn� (z�vis� na v�konu CPU), v�kon p�i �ten� je �asto lep�� ne� u nejv�konn�j��ch hardwarov�ch RAID�.

Pokud kv�li optim�ln�mu vyu�it� dostupn�ho po�tu disk� nechceme pou��vat RAID-1 nebo RAID-10 (mirroring a jeho roz���en� varianta), mus�me se uch�lit k RAID�m s dopo��t�vanou paritou (RAID 3, 5 a 6), kter� jsou n�ro�n� na v�po�etn� v�kon resp. hardwarovou akceleraci. Vy��� n�roky na v�kon RAIDov�ho �adi�e (u softwarov�ch implementac� na v�kon CPU) se projev� p�i z�pisu a p�i provozu v degradovan�m re�imu. Naopak p�i �ten� m��e b�t softwarov� RAID rychlej�� ne� hardwarov� �adi� (pokud procesor a sb�rnice �adi�e p�edstavuj� �zk� hrdlo). Toto je t�eba m�t na pam�ti p�i rozhodov�n�, zda pou��t softwarov� nebo hardwarov� RAID (a p��padn� jak v�konn� hardwarov� �adi�).

Dal��m d�le�it�m rozd�lem mezi SW a HW RAIDy je komfort. Hardwarov� RAIDy maj� v�t�inou dob�e zvl�dnut� hot swap, obnovu za provozu apod. P�edev��m jsou nez�visl� na stavu opera�n�ho syst�mu. (A nap��klad �estn�ctiportov� SATA �adi�e ARECA maj� dokonce autonomn� ethernetov� port s kompletn�m rozhran�m, jako extern� RAID!) Oproti tomu oprava degradovan�ho softwarov�ho RAIDu obvykle p�edstavuje o dost v�c explicitn� pr�ce a v�t�� riziko, �e syst�m skon�� v nebootovateln�m stavu.

SCSI vs. SATA

  • ��k� se, �e SCSI disky vydr�� v�c ne� SATA disky, d�ky koncep�n� vy��� kvalit�. Na�e zku�enost nen� v tomto sm�ru jednozna�n�.
  • Jednotliv� SCSI disk m�v� znateln� vy��� line�rn� pr�chodnost a krat�� vystavovac� dobu ne� jednotliv� SATA disk. To je empiricky ov��en� realita. V syst�mu s v�t��m po�tem disk� kter�hokoli druhu ale pr�chodnost jednotliv�ho disku neb�v� rozhoduj�c�m omezuj�c�m faktorem, kter� ur�uje v�slednou celkovou pr�chodnost.
  • P�i poru�e SCSI disku v poli je "chvilka nap�t�" typicky v des�tk�ch sekund. P�i poru�e SATA disku se �adi� b�hv� pro� zotav� typicky daleko rychleji, �ekn�me b�hem n�kolika m�lo sekund. Mo�n�m vysv�tlen�m je to, �e na SCSI je t�eba resetovat celou priv�tn� sb�rnici RAIDu. Obecn� u SATA RAID �adi�� p�edstavuje v�m�na vadn�ho disku typicky jednodu��� operaci ne� u SCSI RAID �adi��.

V�ce o RAIDech se do�tete v samostatn�m dokumentu.

 
 
 
 
 
 
 
 
 
 
Košík
0 položek
 
0
 
 

 

 
 
 
 
 
 
 
 
 
 
 
 
Přihlášení
 
  Registrace   Nové heslo
 
 
 

 

 
 
 
 

K provozování našeho webu e-shop.fccps.cz využíváme takzvané cookies. Cookies jsou soubory sloužící k přizpůsobení obsahu webu, k měření jeho funkčnosti a obecně k zajištění vaší maximální spokojenosti. Používáním tohoto webu souhlasíte se způsobem, jakým s cookies nakládáme.