>>>ЩИТО? вы бы хоть не позорились. вот есть у меня канала до
>>>одного и того же сервиса в инете. Установив 1 SCTP-ассоциацию с
>>>ним я могу пустить одновременно трафик по всем каналам. А с
>>>TCP у вас такой фокус не пройдёт.
>>Только траффик у вас будет идти один и тот же. Проверьте по
>>RFC, если мне не верите.
>
>wtf "один и тот же"? In its current form, SCTP does not do load sharing, that is, multi-
homing is used for redundancy purposes only. A single address is
chosen as the "primary" address and is used as the destination for
all DATA chunks for normal transmission. Retransmitted DATA chunks
use the alternate address(es) to improve the probability of reaching
the remote endpoint, while continued failure to send to the primary
address ultimately results in the decision to transmit all DATA
chunks to the alternate until heartbeats can reestablish the
reachability of the primary.
http://tools.ietf.org/html/rfc3286
> ессно на L3 будет бегать ip, но
>речь шла о ситуации, когда SCTP будет быстрее TCP.
>Чтобы аналогичное сгородить на TCP, надо постараться.
Не будет он быстрее TCP, потому что используется тот же принцип окна. А вот накладные расходы на все эти мультистриминги и мультихоминги в TCP отсутствуют.
>>>о... а неужели в openbsd уже есть IKEv2
>>нет, только IKE
>
>т.е. IKEv1
>А теперь смотрим сюда: http://www.strongswan.org/
>и сюда: http://www.strongswan.org/uml/testresults42/all.html
Ну и? Штаны-то застёгиваются? Разница между ними небольшая, читайте http://www.ietf.org/rfc/rfc4306.txt , Appendix A.
>>Ядро OpenBSD тоже умеет криптоакселераторы - это раз. Во-вторых, PCI не справится
>>с большой скоростью. Ну а при не небольшой скорости, конечно, разницы
>>особой нет.
>
>через pci можно прокачать сотку в обе стороны. куда вам больше?
Вы про такую вещь как latency в курсе?
> это во-1х. во-2х, почему сразу pci? тот же pcie даст гигабит только
>в путь.
Я пока знаю только об одном криптоакселераторе на PCI Express от Sun. Последний раз когда я интересовался, он стоил порядка $1500. Насколько он эффективен и работоспособен вообще не в курсе. Так что единственный толковый акселератор пока что остётся Via C3.
>Использовать роутер на openbsd для более-менее приличных скоростей просто глупо и неэффективно.
Да-а? Может ещё и напишете, почему? И заодно расскажете, почему в D-Link'ах Linux, а у некоторых провов — BSD, а не наоборот? Сказку эти-провы-дураки не рассказывайте только. Я могу так же «авторитетно» сказать, что те, кто строят крупную сеть на Linux — дураки и скопидомы. Но это будет точно такой же глупостью. :)
>>>NAT - это хороший способ скрыть структуру своей сети. как минимум. Тот
>>>же ipv6 с идеей "каждой кофемолке по ip-адресу" - это очень,
>>>очень плохо.
>>
>>А кто мешает поставить фаервол?!
>
>фаервол или пакетный фильтр? или МСЭ?
>А вообще, класс. хорошая идея. расскажите, как вы будете pf'ом блокировать SCTP.
Как блокировать - уже сказали. Называйте как хотите, дело ваше, суть не меняется: между инетом и внутренней сетью стоит НЕЧТО, что фильтрует (при желании — абсолютно прозрачно) траффик. И не пропускает к кофемолке и холодильнику вообще ничего, а только от холодильника на разрешённые сайты. На OpenBSD и FreeBSD это делается не просто, а очень просто. В Linux пока не пробовал, но хаву-ту видел. Таки возвращаемся к теме: чем плох такой вариант?