| Sommaire: |
nForce 4 : Réseaux
Parlons maintenant d'une des fonctionnalités les plus intéressante du nForce4 : le contrôleur réseau. En effet, là ou la totalité des fabricants de chipsets se contentent d'un simple contrôleur MAC Ethernet, nVidia intégre dans le nForce4 une gestion des paquets IP particulièrement performante, couplée à un logiciel-firewall qui rivalise sans problème avec ceux des modem-routeurs récents. Cependant, avant de passer en revue la partie firewall, parlons de la partie Ethernet.
- nForce4 : Ethernet
Une fois les drivers installés, la partie réseau ne se configure pas via une application, mais via un simple navigateur web. En effet, le service crée un serveur web sur le port 3476 qui est accessible via l'IP local (ou localhost ou 127.0.0.1). L'accès à l'interface web d'admin est également disponible de l'extérieur (mais bien sûr désactivée par défaut). Jetons un oeil sur l'interface :
Le moins que l'on puisse dire, c'est que l'interface n'a rien à envier (et c'est peu dire) à celle des modems-routeurs qui ne sont d'ailleurs généralement que des mini-PC fonctionnant avec iptables. L'interface se divise en deux grandes parties : Ethernet et Firewall. Commençons par parler de la partie Ethernet :
La partie Ethernet donne l'adresse MAC et permet de spécifier une adresse IP en dur (ou par DHCP si rien n'est indiqué) et de configurer le vitesse de liaison (10-100-1000 Half ou Full Duplex). Vient ensuite l'option "Performance Optimization" qui permet d'optimiser la gestion des paquets pour favoriser l'utilisation CPU ou le débit. Une option "Custom" permet même de configurer à la main tous les paramètres, ce qui est très intéressant, mais reste très technique. On peut ensuite configurer les options de réveil à distance et de Checksum offload. Cette option permet de décharger le CPU du calcul du checksum des datagrammes IP, et donc d'économiser de l'utilisation CPU.
Enfin, le nForce4 supporte le protocole 802.1q permettant de créer des VLAN (groupes d'IPs appartenant à des réseaux privés virtuels) ainsi que le protocole 802.1p, qui permet une priorisation des flux IPs. Cette caractéristique permet une gestion de la QoS (qualité de service) en natif grâce à un support des tags de priorité inclus dans les paquets IP. En fonction de la priorité, le contrôleur place les paquets dans les différentes files d'attente. Pour parler plus clairement, le 802.1p vous permet de ne pas être coupé lorsque vous téléphonez avec skype et que vous lancez un gros download sous eMule. Continuons maintenant avec la partie firewall.
- nForce4 : Firewall
Le firewall intégré au nForce4 est de type statefull (c'est à dire qu'il se base sur l'état des connexions TCP pour établir une table de règles qu'il maintient ensuite) et offre de nombreuses options de configurations très intéressantes. La configuration du firewall se fait toujours via l'interface web et dispose d'un mode de sécurité simple, sans aucune configuration :
En configuration "Basic", l'utilisateur peut ainsi configurer le niveau de firewall qu'il souhaite. Une fois le firewall activé, l'interface dispose d'un mode "Wizard" permettant d'effectuer simplement des opérations de base comme l'autorisation du partage de fichier ou du Remote Desktop. Un module permet aussi de configurer facilement un port à autoriser.
La configuration avancée du firewall est également très puissante et surpasse aisément celle de nombreux modem-routeurs. Le menu "Anti-hacking" permet de bloquer certaines requette-types utilisées par les hackers comme l'ARP spoofing. Le menu Application gère l'IAM, c'est à dire l'Intelligent Application Management, en gros, la liste des applications permises (ou non) à utiliser la connexion IP pour transmettre des informations. Les applications de base comme Internet Explorer sont reconnues et autorisées par défaut.
On peut ensuite configurer le firewall en mode Deny/Allow par domaine, adresse IP et bien sur, par port TCP et UDP. Les différents types de paquet ICMP (v4 et v6) sont gérer de la même manière. Un exemple de la manière dont les ports sont configurés :
Le firewall de nVidia dispose de la technologie "ActiveArmor". Bien que nous ayons consulté les manuels en détail, il est bien compliquè de comprendre à quoi peut bien servir cette technologie qui n'est pas présente sur la version entrée de gamme du nForce4. Visiblement, il semble que l'ActiveArmor soit la partie "Hardware" du firewall, qui permet d'économiser de l'occupation CPU lors des fortes charges.
- nForce4 : Performances
Nous avons maintenant voulu mesurer les performances de ce composant intégré. Pour ce faire, nous avons généré une énorme charge réseau avec NetIQ Chariot. Cette charge consistait en un flux de 300 Mbit/s en download et 300 Mbit/s en upload partagée en 2000 connexions TCP de type peer-2-peer, 100 connexions TCP type VOIP et 50 connexions UDP type jeu en réseau. L'intéressant est de voir la charge CPU entre les chipsets :
Comme on le constate, les trois chips réseau "software" obtiennent la même charge CPU (importante) d'environ 68%. Le firewall made-in nVidia offre ici d'excellent résultat puisque la charge CPU tombe à 34.2% avec le firewall off et 40% avec le firewall en mode moyen et l'Active Armor activé. D'excellentes performances !