Кто-нибудь еще использует OpenBSD в качестве маршрутизатора на предприятии? На каком оборудовании вы его используете?
У нас есть маршрутизатор OpenBSD в каждом из наших местоположений, в настоящее время работающий на обычном "домашнем ПК" оборудовании ПК в корпусе сервера 4U. Из-за проблем с надежностью и нехватки места мы планируем обновить их до некоторого надлежащего серверного оборудования с поддержкой и т. Д.
Эти блоки служат маршрутизаторами, шлюзами и межсетевыми экранами на каждом сайте. На данный момент мы достаточно знакомы с OpenBSD и Pf, поэтому колеблемся при переходе от системы к чему-то другому, например к выделенному оборудованию Cisco.
В настоящее время я думаю о переносе систем на некоторые машины HP серии DL 1U (модель еще не определена). Мне любопытно услышать, используют ли другие люди подобную установку в своем бизнесе или мигрировали к ней или от нее.
11 ответов
Мы используем исключительно OpenBSD роутеры / брандмауэры для обслуживания FogBugz On Demand. Если вы не работаете в роли транзита и не нуждаетесь в чрезвычайно высокой пропускной способности pps, которую может обеспечить специализированное оборудование и интегрированное программное обеспечение, OpenBSD на надежном оборудовании будет более управляемым, масштабируемым и экономичным решением.
Сравнение OpenBSD с IOS или JUNOS (по моему опыту):
преимущества
- Межсетевой экран pf не имеет себе равных в плане гибкости, управляемости конфигурации и интеграции в другие службы (без проблем работает со spamd, ftp-proxy и т. Д.). Примеры конфигурации не делают это справедливо.
- Вы получаете все инструменты *nix на вашем шлюзе: системный журнал, grep, netcat, tcpdump, systat, top, cron и т. Д.
- Вы можете добавлять инструменты по мере необходимости: iperf и iftop я нашел очень полезным
- ТСРйитр. Достаточно сказано.
- Интуитивно понятная конфигурация для ветеранов Unix
- Полная интеграция с существующим управлением конфигурациями (cfengine, puppet, scripts и т. Д.).
- Функции следующего поколения бесплатны и не требуют дополнительных модулей.
- Добавление производительности дешево
- Нет контрактов на поддержку
Недостатки
- IOS/JUNOS упрощают вывод / загрузку всей конфигурации. В отсутствие каких-либо инструментов управления конфигурацией их будет легче развернуть после написания вашей конфигурации.
- Некоторые интерфейсы просто недоступны или не стабильны в OpenBSD (например, я не знаю хорошо поддерживаемых карт ATM DS3).
- Высококачественные выделенные устройства типа Cisco/Juniper будут обрабатывать более высокие pps, чем серверное оборудование
- Нет контрактов на поддержку
Пока вы не говорите о магистральных маршрутизаторах в среде, подобной провайдеру, или о граничных маршрутизаторах, взаимодействующих со специализированными сетевыми подключениями, OpenBSD должен быть в порядке.
аппаратные средства
Самая важная вещь для производительности вашего маршрутизатора - ваши сетевые адаптеры. Быстрый ЦП быстро перегружается при умеренной нагрузке, если у вас есть дерьмовые сетевые карты, которые прерывают каждый отдельный пакет, который они получают. Ищите гигабитные сетевые адаптеры, которые хотя бы поддерживают уменьшение / объединение прерываний. Мне повезло с драйверами Broadcom (bge, bnx) и Intel (em).
Скорость процессора важнее, чем у выделенного оборудования, но не о чем беспокоиться. Любой современный ЦП серверного класса будет обрабатывать тонну трафика, прежде чем продемонстрировать какую-либо нагрузку.
Возьмите себе достойный процессор (многоядерные процессоры пока мало помогают, так что посмотрите на сырой ГГц), хорошую ECC RAM, надежный жесткий диск и надежное шасси. Затем удвойте все и запустите два узла как активный / пассивный кластер CARP. Начиная с версии 4.5 pfsync, вы можете запускать активный / активный, но я не проверял это.
Мои маршрутизаторы работают бок о бок с нашими балансировщиками нагрузки в конфигурации 1U с двумя узлами. Каждый узел имеет:
- Шасси Supermicro SYS-1025TC-TB (встроенные гигабитные сетевые адаптеры Intel)
- Процессор Xeon Harpertown Quad Core 2 ГГц (мои балансировщики нагрузки используют несколько ядер)
- 4 ГБ Kingston ECC зарегистрированной оперативной памяти
- Двухпортовый сетевой адаптер Intel Gigabit
Они были твердыми с момента развертывания. Все в этом является избыточным для нашей нагрузки трафика, но я протестировал пропускную способность выше 800 Мбит / с (ограниченная NIC, процессор был в основном простаивающим). Мы интенсивно используем VLAN, поэтому этим маршрутизаторам приходится обрабатывать большой объем внутреннего трафика.
Эффективность энергопотребления является фантастической, поскольку каждое шасси 1U имеет один блок питания 700 Вт, питающий два узла. Мы распределили маршрутизаторы и балансировщики по нескольким шасси, чтобы мы могли потерять все шасси и получить практически бесперебойную отработку отказа (спасибо pfsync и CARP).
Операционные системы
Некоторые другие упоминают об использовании Linux или FreeBSD вместо OpenBSD. Большинство моих серверов FreeBSD, но я предпочитаю маршрутизаторы OpenBSD по нескольким причинам:
- Более пристальное внимание к безопасности и стабильности, чем у Linux и FreeBSD
- Лучшая документация любой ОС с открытым исходным кодом
- Их инновации сосредоточены вокруг реализации этого типа (см. Pfsync, ftp-proxy, carp, vlan management, ipsec, sasync, ifstated, pflogd и т. Д. - все они включены в базу)
- FreeBSD имеет несколько выпусков на их порте pf
- pf более элегантен и управляем, чем iptables, ipchains, ipfw или ipf
- Процесс настройки / установки Leaner
Тем не менее, если вы хорошо знакомы с Linux или FreeBSD и не имеете времени для инвестиций, возможно, лучше выбрать одну из них.
pfsense - это отличный межсетевой экран на основе FreeBSD, он очень многофункциональн, прост в настройке, имеет активное сообщество, а также варианты поддержки. Есть несколько человек, которые используют его в коммерческих / производственных ситуациях, которые активны на форуме. Я использую это дома, и я продвигаю это на работе, это действительно хорошо составленная альтернатива. У них даже есть образ виртуальной машины для загрузки, чтобы проверить это с!
Там, где я работаю, мы используем RHEL5 + quagga & zebra для 4-х ящиков, чтобы выполнить транзит на скорости 450 Мбит / с. Так что да, вы можете сделать это на предприятии и сэкономить много денег.
Мы используем ограничение скорости с помощью TC и используем правила iptables и notrack.
Я использовал OpenBSD 3.9 в качестве брандмауэра и переключился на Juniper SSG5.
По словам sh-beta, OpenBSD - МНОГО хороших возможностей: pf потрясающий, tcpdump, множество хороших инструментов...
У меня были некоторые причины перейти на Можжевельник. В частности, конфигурация быстрая и простая. На OpenBSD все "немного сложно".
Например: управление полосой пропускания, по моему мнению, намного проще в настройке SSG.
Версия OpenBSD, которую я использовал, была довольно старой; Возможно, более новая версия лучше в этом вопросе.
Я уже довольно давно запускаю OpenBSD (4.9) на нашем главном брандмауэре. Это довольно старый ASUS MB с 2 ГБ DDR (1) оперативной памяти и двухъядерным (2 ГГц) Athlon. Я купил карту Intel Quad Port (PCI-Express) и использовал в графическом порту x16. НЕ выбрасывайте свои графические карты PCI, если у вас есть какие-либо возложения. Он понадобится вам как графическая карта, если вы планируете использовать 16-кратный порт PCI-Express для сетевого адаптера (в моем случае встроенный gfx не работал).
Я знаю, что это не аппаратное обеспечение класса предприятия. но это явные преимущества этой установки:
У меня есть много этих MB, и поэтому у меня никогда не кончатся запасные части (также готовлюсь к CARP).
Самые дешевые AMD борды поддерживают ECC RAM!.
Все железо / запчасти "с полки" дешево и стабильно
Производительность на этих установках великолепна (4x Гбит / с), даже для нашей довольно сложной настройки хостинга!
Для малого бизнеса моего отца с одним филиалом я использую OpenBSD в качестве маршрутизатора / шлюза / брандмауэра для главного офиса и филиала. Это никогда не подводило нас. Мы используем сервер Dell Tower в каждом месте. Каждый сервер оснащен картой Dual GiGE, 8 ГБ оперативной памяти (я знаю, что это небольшой перегиб) и работает хорошо. Филиал настроен на подключение к главному через IPSEC, а реализация IPSEC в OpenBSD восхитительно проста в использовании.
Шлюзы OpenBSD используются во многих корпоративных установках. У нас есть два шлюза OpenBSD в наших сетях.
Я до сих пор вспоминаю один забавный эпизод с OpenBSD: жесткий диск умер, но шлюз просто продолжил маршрутизацию трафика, как ничего не произошло, обслуживая только из памяти. Это дало мне время настроить другой экземпляр.
Требования к оборудованию Dual Opteron 248 очень низкие. Я редко вижу, чтобы процессор превышал 5%. Они очень стабильны. Я использую его чуть более 7 лет без проблем.
Рассматривали ли вы переход на FreeBSD? OpenBSD не может полностью использовать современные SMP-системы (например, Core2Quad). FreeBSD имеет pf и ipfw, которые вы можете использовать одновременно, а также имеет не-GIANT сетевой уровень.
Мы годами использовали программные маршрутизаторы FreeBSD в качестве шлюзов ISP, что позволило нам сэкономить
Используйте сетевые платы Intel (em) Gigabit Server.
Одна хорошо работающая карта - это HP NC360T. Это двойной порт и pci-express.
Я не могу говорить за *BSD (пока... дай мне время...), но мы работаем с роутерами Linux уже более 10 лет и любим их. Дешевле, никаких проблем с лицензией, и если вы посмотрите на документы, то обнаружите, что у вас есть большинство инструментов, необходимых для достижения цели. Я подозреваю, что BSD очень в одной лодке.
Мы используем DL365 G1 с заполненным сокетом одного процессора и 6 ГБ, хотя оперативная память в основном предназначена для обслуживания почтовых ящиков...
Я в прошлом. Первоначально я установил его на некоторых ПК "белого ящика", а затем обновил до Dell Power Edge 2950. Резервные источники питания, жесткие диски - значительное улучшение с точки зрения надежности. Конечно, улучшения не наблюдалось, нам повезло, и "белый ящик" не сломался, но теоретически мы были в лучшей форме с большей избыточностью.
Мы использовали его только для фильтрации пакетов T1, поэтому заметного улучшения производительности не произошло.