มีคนอื่นที่ใช้ OpenBSD เป็นเราเตอร์ในองค์กรหรือไม่ คุณใช้ฮาร์ดแวร์อะไรอยู่ [ปิด]


26

เรามีเราเตอร์ OpenBSD ในแต่ละตำแหน่งของเราซึ่งทำงานบนฮาร์ดแวร์พีซี "homebrew" ทั่วไปในกรณีเซิร์ฟเวอร์ 4U เนื่องจากข้อกังวลด้านความน่าเชื่อถือและข้อควรพิจารณาด้านพื้นที่เรากำลังมองหาการอัปเกรดเป็นฮาร์ดแวร์ระดับเซิร์ฟเวอร์ที่เหมาะสมพร้อมการสนับสนุนเป็นต้น

กล่องเหล่านี้ทำหน้าที่เป็นเราเตอร์เกตเวย์และไฟร์วอลล์ในแต่ละไซต์ ณ จุดนี้เราค่อนข้างคุ้นเคยกับ OpenBSD และ Pf ดังนั้นลังเลที่จะย้ายออกจากระบบไปยังสิ่งอื่นเช่นฮาร์ดแวร์ของ Cisco โดยเฉพาะ

ฉันกำลังคิดที่จะย้ายระบบไปยังเครื่อง HP DL-series 1U บางรุ่น (ยังไม่ได้กำหนดรุ่น) ฉันอยากรู้ว่าคนอื่นใช้การตั้งค่าเช่นนี้ในธุรกิจของพวกเขาหรือย้ายไปหรือออกจากที่หนึ่ง


1
ฉันพบคำตอบที่ช่วยเราได้เนื่องจากเราเปิด bsd เป็นเวลา 9 ปีและเริ่มคิดที่จะย้ายไปที่ jos เนื่องจากปัญหาพลังงานในศูนย์ข้อมูล ตอนนี้ฉันจะคิดอีกครั้งเพราะฉันคิดว่าเราได้ประเมินประโยชน์ของการทำงานบนแพลตฟอร์มแบบเปิด

คำตอบ:


43

เราเรียกใช้เราเตอร์ / ไฟร์วอลล์ OpenBSD เฉพาะเพื่อรองรับ FogBugz On Demand หากคุณไม่ได้ทำงานในบทบาทการขนส่งและต้องการปริมาณข้อมูล pps ที่สูงมากซึ่งฮาร์ดแวร์และซอฟต์แวร์แบบรวมสามารถให้ได้ OpenBSD บนฮาร์ดแวร์ที่เป็นของแข็งจะเป็นโซลูชันที่จัดการจัดการปรับขนาดได้และประหยัดมากขึ้น

เปรียบเทียบ OpenBSD กับ IOS หรือ JUNOS (จากประสบการณ์ของฉัน):

ข้อดี

  • ไฟร์วอลล์ pf ไม่ตรงกันในแง่ของความยืดหยุ่นการกำหนดค่าที่จัดการได้และการรวมเข้ากับบริการอื่น ๆ (ทำงานร่วมกับ spamd, ftp-proxy, etc) ได้อย่างราบรื่น ตัวอย่างการกำหนดค่าไม่ยุติธรรม
  • คุณได้รับเครื่องมือทั้งหมดของ * ระวังบนเกตเวย์ของคุณ: syslog, grep, netcat, tcpdump, systat, top, cron เป็นต้น
  • คุณสามารถเพิ่มเครื่องมือตามความจำเป็น: iperf และ iftop ฉันพบว่ามีประโยชน์มาก
  • tcpdump พูดพอแล้ว.
  • การกำหนดค่าที่ใช้งานง่ายสำหรับทหารผ่านศึก Unix
  • การรวมอย่างราบรื่นกับการจัดการการกำหนดค่าที่มีอยู่ (cfengine, หุ่นกระบอก, สคริปต์, อะไรก็ตาม)
  • คุณสมบัติของ gen ถัดไปนั้นฟรีและไม่ต้องใช้โมดูลเสริม
  • การเพิ่มประสิทธิภาพมีราคาถูก
  • ไม่มีสัญญาการสนับสนุน

ข้อเสีย

  • IOS / JUNOS ทำให้การถ่ายโอน / โหลดการกำหนดค่าทั้งหมดง่ายขึ้น ขาดเครื่องมือการจัดการการกำหนดค่าใด ๆ พวกเขาจะง่ายต่อการปรับใช้เมื่อการกำหนดค่าของคุณถูกเขียน
  • อินเทอร์เฟซบางตัวไม่พร้อมใช้งานหรือเสถียรใน OpenBSD (เช่นฉันรู้ว่าไม่มีการ์ด ATM DS3 ที่รองรับอย่างดี)
  • อุปกรณ์ประเภท Cisco / Juniper ระดับสูงจะรองรับ pps ที่สูงกว่าฮาร์ดแวร์เซิร์ฟเวอร์
  • ไม่มีสัญญาการสนับสนุน

ตราบใดที่คุณไม่ได้พูดถึงเราเตอร์แบ็คโบนในสภาพแวดล้อมที่เหมือน ISP หรือเราเตอร์ขอบที่เชื่อมต่อกับการเชื่อมต่อเครือข่ายแบบพิเศษ OpenBSD น่าจะใช้ได้

ฮาร์ดแวร์

สิ่งที่สำคัญที่สุดสำหรับประสิทธิภาพเราเตอร์ของคุณคือ NIC ของคุณ ซีพียูที่รวดเร็วจะได้รับภาระอย่างรวดเร็วภายใต้การโหลดปานกลางหากคุณมี NIC ที่น่ารังเกียจซึ่งขัดจังหวะสำหรับทุก ๆ แพ็กเก็ตที่ได้รับ ค้นหา gigabit NICs ที่รองรับการลดการขัดจังหวะ / การรวมตัวกันอย่างน้อย ฉันโชคดีกับไดร์เวอร์ Broadcom (bge, bnx) และ Intel (em)

ความเร็วของ CPU มีความสำคัญมากกว่าในฮาร์ดแวร์เฉพาะ แต่ไม่ใช่เรื่องที่น่ากังวล ซีพียูระดับเซิร์ฟเวอร์ที่ทันสมัยใด ๆ จะจัดการปริมาณการใช้งานจำนวนมากก่อนที่จะแสดงความตึงเครียดใด ๆ

คว้าซีพียูที่เหมาะสม (หลายคอร์ยังไม่ได้ช่วยอะไรมากมายดูที่ GHz แบบดิบ) ECC RAM ที่ดีฮาร์ดไดรฟ์ที่เชื่อถือได้และแชสซีที่มั่นคง จากนั้นเพิ่มทุกอย่างเป็นสองเท่าและรันสองโหนดเป็นคลัสเตอร์ CARP ที่ใช้งาน / ไม่ทำงาน ตั้งแต่การอัปเกรด pfsync 4.5 ของคุณสามารถใช้งาน / ใช้งานได้ แต่ฉันยังไม่ได้ทดสอบ

เราเตอร์ของฉันกำลังทำงานเคียงข้างกันกับ load-balancer ของเราในการกำหนดค่า 1U twin-node แต่ละโหนดมี:

  • แชสซี Supermicro SYS-1025TC-TB (ในตัว Intel Gigabit NICs)
  • Xeon Harpertown Quad Core 2GHz CPU (ตัวปรับสมดุลโหลดของฉันใช้หลายคอร์)
  • RAM ที่ลงทะเบียน 4GB ของ ECC จาก Kingston
  • Add-in ของ Intel Gigabit สองพอร์ต

พวกมันแข็งกระด้างตั้งแต่เริ่มใช้งาน ทุกอย่างเกี่ยวกับเรื่องนี้เกินความจริงสำหรับปริมาณการใช้งานของเรา แต่ฉันได้ทดสอบปริมาณงานสูงกว่า 800Mbps (จำกัด NIC, CPU ไม่ได้ใช้งานเป็นส่วนใหญ่) เราใช้ประโยชน์จาก VLAN อย่างหนักดังนั้นเราเตอร์เหล่านี้จึงต้องจัดการกับปริมาณการใช้ข้อมูลภายในจำนวนมากเช่นกัน

ประสิทธิภาพการใช้พลังงานนั้นยอดเยี่ยมเนื่องจากแชสซี 1U แต่ละตัวมี 700W PSU เดียวที่จ่ายไฟให้สองโหนด เราได้กระจายเราเตอร์และ balancer ผ่านหลายแชสซีเพื่อให้เราสามารถสูญเสียแชสซีทั้งหมดและมีความล้มเหลวได้อย่างราบรื่นมาก (ขอบคุณ pfsync และ CARP)

ระบบปฏิบัติการ

บางคนกล่าวถึงการใช้ Linux หรือ FreeBSD แทน OpenBSD เซิร์ฟเวอร์ของฉันส่วนใหญ่เป็น FreeBSD แต่ฉันชอบเราเตอร์ OpenBSD ด้วยเหตุผลบางประการ:

  • เน้นความปลอดภัยและความมั่นคงให้เข้มงวดกว่า Linux และ FreeBSD
  • เอกสารที่ดีที่สุดของระบบโอเพ่นซอร์สใด ๆ
  • นวัตกรรมของพวกเขามีศูนย์กลางอยู่ที่การใช้งานประเภทนี้ (ดู pfsync, ftp-proxy, carp, การจัดการ vlan, ipsec, sasync, ifstated, pflogd, ฯลฯ - ทั้งหมดนี้รวมอยู่ในฐาน)
  • FreeBSD มีการเผยแพร่หลายครั้งในพอร์ตของ pf
  • pf มีความสง่างามและจัดการได้มากกว่า iptables, ipchains, ipfw หรือ ipf
  • กระบวนการติดตั้ง / ติดตั้ง Leaner

ที่กล่าวว่าหากคุณคุ้นเคยกับ Linux หรือ FreeBSD อย่างสนิทสนมและไม่มีเวลาลงทุน


ขอบคุณสำหรับคำตอบที่มีรายละเอียดมาก สิ่งที่คุณอธิบายคือประเภทของระบบที่เรากำลังสร้างอยู่คู่ของเซิร์ฟเวอร์ที่มี dual GigE และออนบอร์ดรวมถึง dual GigE add-in NIC ในการกำหนดค่า failover ของ CARP เป็นเรื่องที่น่ายินดีมากที่เห็นว่ามีบุคคลอื่นกำลังใช้งานการติดตั้งในระบบการผลิตที่สำคัญ
Kamil Kisiel

1
ส่วนตัวฉันชอบ iptables ฉันคิดว่า pf ถูก จำกัด เกินไป ประสบการณ์ของฉันกับ CARP บน OpenBSD คือมันยอดเยี่ยมเมื่อคุณต้องการทำงานตามแผน (failover ตามแผน) แต่ failover มักจะไม่ทำงานเมื่อมีข้อผิดพลาดเกิดขึ้นจริง ฉันมี pf crash crash ที่ประสบความสำเร็จเพียงจุดเดียวและนี่คือ OpenBSD 4.5 นอกจากนี้สถานการณ์การสนับสนุนสำหรับ OpenBSD ก็กลุ้มใจ หากคุณไม่มีความรู้ในบ้านหรือจ่ายเงินให้ใครสักคนคำตอบของทุกคำถามหรือการสนับสนุนเมื่อเกิดปัญหาคือ: "คุณแม่อ้วน"
โทมัส

1
ฉันรัน pf / pfsync / CARP สองไฟร์วอลล์ในการตั้งค่าการเฟลโอเวอร์ ฉันเคยประสบกับสถานการณ์ล้มเหลวสองครั้งและในทั้งสองกรณีฉันเรียนรู้จากระบบการตรวจสอบของฉันโดยบอกว่าไฟร์วอลล์ตัวใดตัวหนึ่งไม่ทำงาน บริการของคลัสเตอร์ดำเนินต่อไปโดยไม่มีการหยุดชะงักที่เห็นได้ชัด
Insyte

8

pfsenseเป็นไฟร์วอลล์ที่ใช้ FreeBSD ที่ยอดเยี่ยมมีคุณสมบัติที่หลากหลายติดตั้งง่ายและมีชุมชนที่ใช้งานรวมถึงตัวเลือกการสนับสนุน มีหลายคนที่ใช้มันในสถานการณ์ทางการค้า / การผลิต ฉันใช้ที่บ้านและฉันผลักมันในที่ทำงานมันเป็นทางเลือกที่เข้ากันได้ดีจริงๆ พวกเขายังมีอิมเมจ VM สำหรับดาวน์โหลดเพื่อทดสอบด้วย!


ฉันมองไปที่ลิงค์นั้น MonoWall นั้นดูดีมาก :-)
djangofan

ฉันเชื่อว่าโมโนมุ่งเน้นไปที่ฮาร์ดแวร์ฝังตัวในขณะที่ pfsense มุ่งเน้นไปที่ระบบที่ใช้พีซี ฉันเชื่อว่ามันตั้งใจจะเสนอคุณสมบัติขั้นสูง / ระดับองค์กรมากกว่าที่พบใน m0n0wall หรือ distro ไฟร์วอลล์พื้นฐานอื่น ๆ
โอกาส

2

ฉันทำงานที่ไหนเราใช้ RHEL5 + quagga & zebra มากกว่า 4 ช่องเพื่อให้บริการต่อเครื่องสำหรับ 450mbps ใช่คุณสามารถทำได้ในองค์กรและประหยัดเงินเป็นจำนวนมาก

เรา จำกัด อัตราการใช้ TC และใช้ประโยชน์จากกฎ iptables และ notrack


2

ฉันใช้ OpenBSD 3.9 เป็นไฟร์วอลล์และเปลี่ยนเป็น Juniper SSG5

ตามที่กล่าวโดย sh-beta OpenBSD เป็นคุณสมบัติที่ดีมากมาย: pf นั้นยอดเยี่ยม, tcpdump, เครื่องมือที่ดีมากมาย ...

ฉันมีเหตุผลบางอย่างที่จะเปลี่ยนเป็นจูนิเปอร์ โดยเฉพาะอย่างยิ่งการกำหนดค่าเป็นไปอย่างรวดเร็วและง่ายดาย ใน OpenBSD ทุกอย่างมีความซับซ้อนเล็กน้อย

สำหรับอดีต: การจัดการแบนด์วิดท์นั้น - ในความเห็นของฉัน - ง่ายกว่ามากในการกำหนดค่าบน SSG

รุ่น OpenBSD ที่ฉันใช้นั้นค่อนข้างเก่า บางทีเวอร์ชั่นใหม่อาจดีกว่าในจุดนี้


ในด้านฮาร์ดแวร์กล่อง OpenBSD ของฉันคือ Dell GX280 รุ่นเก่า
Matthieu

1

สำหรับธุรกิจขนาดเล็กของพ่อที่มีสำนักงานสาขาเดียวฉันใช้ OpenBSD เป็นเราเตอร์ / เกตเวย์ / ไฟร์วอลล์สำหรับทั้งสำนักงานใหญ่และสำนักงานสาขา มันไม่เคยทำให้เราผิดหวัง เราใช้เซิร์ฟเวอร์ Dell Tower ในแต่ละตำแหน่ง เซิร์ฟเวอร์แต่ละเครื่องมีการ์ดแบบ Dual GiGE, RAM 8GB (เกินความจำเป็นเล็กน้อย, ฉันรู้) และทำงานได้ดี สำนักงานสาขาได้รับการกำหนดค่าให้เชื่อมต่อกับสำนักงานใหญ่ผ่านการใช้งาน IPSEC และการใช้งาน IPSEC ของ OpenBSD นั้นใช้งานง่ายอย่างน่ายินดี


1

เกตเวย์ OpenBSD ถูกใช้ในการตั้งค่าระดับองค์กรจำนวนมาก เรามีสอง OpenBSD เกตเวย์บนเครือข่ายของเรา

ฉันยังจำได้ว่าตอนหนึ่งตลกกับ OpenBSD: ฮาร์ดดิสก์เสียชีวิต แต่เกตเวย์เพิ่งดำเนินการตามทราฟฟิกในการรับส่งข้อมูลเหมือนไม่มีอะไรเกิดขึ้นให้บริการจากหน่วยความจำเพียงอย่างเดียว มันให้เวลาฉันในการตั้งค่าอินสแตนซ์อื่น

ความต้องการฮาร์ดแวร์ต่ำมาก Dual Opteron 248 นั้นยอดเยี่ยม ฉันไม่ค่อยเห็นซีพียูไปมากกว่า 5% พวกมันเสถียรมาก ฉันใช้มันมาแล้วกว่า 7 ปีแล้วโดยไม่มีปัญหา


1

ฉันใช้ OpenBSD (4.9) ในการผลิตบนไฟร์วอลล์หลักของเรามาระยะหนึ่งแล้ว เป็น ASUS MB รุ่นเก่าที่มี RAM ขนาด 2 GB DDR (1) และ Athlon แบบดูอัลคอร์ (2 GHz) ฉันซื้อการ์ด intel quad พอร์ต (pci-express) และใช้ในพอร์ตกราฟิก x16 อย่าทิ้งการ์ดกราฟิก PCI ของคุณหากคุณมีวางใด ๆ คุณจะต้องใช้มันเป็นการ์ดกราฟิกหากคุณวางแผนที่จะใช้พอร์ต 16x PCI-express สำหรับ NIC (onboard gfx ไม่ทำงานในกรณีของฉัน)

ฉันรู้ว่ามันไม่ใช่ฮาร์ดแวร์ "ระดับองค์กร" แต่สิ่งเหล่านี้เป็นประโยชน์ที่ชัดเจนของการตั้งค่านี้:

  • ฉันมี MB จำนวนมากอยู่รอบตัวและดังนั้นจะไม่หมดอะไหล่ (เตรียมความพร้อมสำหรับ CARP ด้วย)

  • สาย AMD ราคาถูกส่วนใหญ่รองรับ ECC RAM!

  • ฮาร์ดแวร์ / อะไหล่ทั้งหมดเป็น "ของชั้นวาง" ราคาถูกและมีเสถียรภาพ

  • ประสิทธิภาพของแท่นขุดเจาะเหล่านี้ยอดเยี่ยม (4x Gbps) แม้สำหรับการติดตั้งโฮสต์ที่หนักหน่วงของเรา!


0

ฉันมีในอดีต ฉันติดตั้งไว้ในพีซี "ไวท์บ็อกซ์" แล้วอัพเกรดเป็น Dell Power Edge 2950 อุปกรณ์จ่ายไฟสำรองฮาร์ดไดรฟ์ - การปรับปรุงครั้งใหญ่จากจุดยืนที่เชื่อถือได้ ไม่ใช่การปรับปรุงที่สังเกตได้อย่างแน่นอนเราโชคดีและกล่องขาวไม่เคยชน แต่ในทางทฤษฎีเราอยู่ในสภาพที่ดีขึ้นพร้อมความซ้ำซ้อนมากขึ้น

เราใช้มันเพื่อกรองแพ็กเก็ต T1 เท่านั้นไม่ใช่การปรับปรุงประสิทธิภาพที่สังเกตได้


0

คุณคิดว่าจะเปลี่ยนเป็น FreeBSD หรือไม่? OpenBSD ไม่สามารถใช้ประโยชน์จากระบบ SMP ที่ทันสมัยอย่างเต็มที่ (เช่น Core2Quad) FreeBSD มี pf และ ipfw ที่คุณสามารถใช้พร้อมกันและยังมีเลเยอร์เครือข่ายที่ไม่ใช่ GIANT

เราใช้ซอฟต์แวร์ FreeBSD เราเตอร์ในฐานะผู้ให้บริการอินเทอร์เน็ตเกตเวย์มาเป็นเวลาหลายปีแล้วซึ่งช่วยเราประหยัดได้มาก


0

ฉันไม่สามารถพูดได้ * BSD (ยัง ... ให้เวลาฉันด้วย ... ) แต่เราใช้ Linux เราเตอร์มานานกว่า 10 ปีและรักพวกเขา ราคาถูกลงไม่ยุ่งยากกับใบขับขี่และหากคุณดูเอกสารคุณจะพบว่าคุณมีเครื่องมือส่วนใหญ่ที่คุณต้องทำให้เสร็จ ฉันสงสัยว่า BSD อยู่ในเรือลำเดียวกันเป็นอย่างมาก

เรากำลังเรียกใช้ DL365 G1 ที่เต็มไปด้วยซ็อกเก็ตโปรเซสเซอร์เดียวและ 6Gb แม้ว่า RAM ส่วนใหญ่จะให้บริการกล่องจดหมาย ...


0

ใช้ Intel (em) Gigabit Server NICs

การ์ดหนึ่งใบที่ใช้งานได้ดีคือ HP NC360T มันเป็นพอร์ตคู่และ pci-express

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.