Хтось ще використовує OpenBSD як маршрутизатор на підприємстві? На якому апараті ви працюєте? [зачинено]

У кожному з наших місць у нас є маршрутизатор OpenBSD, який зараз працює на загальному комп'ютерному апаратному забезпеченні в домашньому середовищі 4U сервера. Зважаючи на питання щодо надійності та міркувань щодо простору, ми хочемо модернізувати їх до належного обладнання серверного рівня з підтримкою тощо.

Ці вікна служать маршрутизаторами, шлюзами та брандмауерами на кожній ділянці. На даний момент ми досить добре знайомі з OpenBSD та Pf, тому не вагаємось у відході від системи до чогось іншого, наприклад, спеціалізованого обладнання Cisco.

На даний момент я думаю про перенесення систем на деякі машини HP DL серії 1U (модель ще не визначилася). Мені цікаво дізнатись, чи користуються подібні налаштування у своєму бізнесі чи перейшли на іншу сторону чи від неї.

Ми працюємо виключно маршрутизаторами / брандмауерами OpenBSD для обслуговування FogBugz On Demand. Якщо ви не працюєте в транзитній ролі і не потребуєте надзвичайно високої пропускної здатності в секунду, яку може забезпечити цільове обладнання та інтегроване програмне забезпечення, OpenBSD на твердому апараті стане більш зручним, масштабованим та економічним рішенням.

Порівнюючи OpenBSD з IOS або JUNOS (на мій досвід):

Переваги

• Брандмауер pf є неперевершеним з точки зору гнучкості, керованої конфігурації та інтеграції в інші сервіси (легко працює зі спамом, ftp-проксі тощо). Приклади конфігурації не справедливі.
• Ви отримуєте всі інструменти * nix на своєму шлюзі: syslog, grep, netcat, tcpdump, systat, top, cron тощо.
• Ви можете додати інструменти за необхідності: iperf та iftop, які я вважаю дуже корисними
• tcpdump. Достатньо сказав.
• Інтуїтивна конфігурація для ветеранів Unix
• Безпроблемна інтеграція з існуючим керуванням конфігурацією (cfengine, маріонеткою, сценаріями тощо).
• Особливості наступного жанру безкоштовні і не потребують додаткових модулів.
• Додавання продуктивності дешево
• Ніяких контрактів на підтримку

Недоліки

• IOS / JUNOS спрощує скидання / завантаження всієї конфігурації. Відсутні будь-які інструменти керування конфігурацією, їх буде легше розгортати, коли буде записаний ваш конфігурація.
• Деякі інтерфейси просто недоступні або стабільні на OpenBSD (наприклад, я не знаю добре підтримуваних карт ATM DS3).
• Виробничі пристрої типу Cisco / Juniper високого класу будуть працювати з вищою швидкістю Pps, ніж апаратне забезпечення сервера
• Ніяких контрактів на підтримку

Поки ви не говорите про опорні маршрутизатори в середовищі, подібному до ISP, або крайові маршрутизатори, що взаємодіють із спеціалізованими мережевими підключеннями, OpenBSD повинен бути просто чудовим.

Обладнання

Найголовніше для продуктивності маршрутизатора - це Ваші сетеві сімейні телефони. Швидкий процесор швидко завалиться при помірному навантаженні, якщо у вас є лайно NIC, які переривають кожен пакет, який вони отримують. Шукайте гігабітні NIC, які підтримують принаймні пом’якшення / злиття. Мені пощастило з драйверами Broadcom (bge, bnx) та Intel (em).

Швидкість процесора важливіша, ніж у спеціальному обладнанні, але не те, що слід хвилювати. Будь-який сучасний процесор серверного класу буде обробляти тонну трафіку, перш ніж проявити будь-яку напругу.

Захопіть собі пристойний процесор (кілька ядер ще не дуже допомагають, тому подивіться на сирий ГГц) хорошу оперативну пам’ять ECC, надійний жорсткий диск і надійне шасі. Потім подвоїти все і запустити два вузли як активний / пасивний кластер CARP. З оновленням pfsync 4.5 можна запускати активні / активні, але я цього не перевіряв.

Мої маршрутизатори працюють поруч з нашими балансирами навантаження в конфігураціях з двома вузлами 1U. Кожен вузол має:

• Шасі Supermicro SYS-1025TC-TB (вбудовані Intel Gigabit NIC)
• Процесор Xeon Harpertown Quad Core 2 ГГц (мої балансири навантаження використовують декілька ядер)
• Зареєстрована оперативна пам'ять Kingston ECC об'ємом 4 Гб
• Двопортовий додаток Intel Gigabit NIC

Вони були твердими з моменту розгортання. Все, що стосується цього, є надмірним для навантаження на трафік, але я протестував пропускну здатність до 800 Мбіт / с (NIC-обмежений, процесор здебільшого простоював). Ми широко використовуємо VLAN, тому ці маршрутизатори також мають обробляти багато внутрішнього трафіку.

Ефективність використання енергії є фантастичною, оскільки в кожному шасі 1U є один блок живлення потужністю 700 Вт, що живить два вузли. Ми розподілили маршрутизатори та балансири за допомогою декількох шасі, щоб ми могли втратити ціле шасі і мати майже бездоганну відмову (спасибі pfsync та CARP).

Операційні системи

Деякі інші згадали про використання Linux або FreeBSD замість OpenBSD. Більшість моїх серверів є FreeBSD, але я віддаю перевагу маршрутизаторам OpenBSD з кількох причин:

• Більш чіткий фокус на безпеці та стабільності, ніж Linux та FreeBSD
• Найкраща документація будь-якої ОС з відкритим кодом
• Їх інновація зосереджена навколо цього типу реалізації (див. Pfsync, ftp-proxy, carp, vlan management, ipsec, sasync, ifstated, pflogd тощо), які входять до бази)
• FreeBSD - це багаторазові випуски позаду на їхньому порту PF
• pf є більш елегантним та керованим, ніж iptables, ipchains, ipfw або ipf
• Процес налаштування / встановлення пісні

Це означає, що якщо ви добре знайомі з Linux або FreeBSD і не маєте часу на вкладення коштів, можливо, краще за все поговорити з одним із них.

pfsense - це чудовий брандмауер на базі FreeBSD, його дуже багато можливостей, простий у налаштуванні та має активне співтовариство, а також варіанти підтримки. На форумі є кілька людей, які використовують його в комерційних / виробничих ситуаціях. Я використовую його вдома і підштовхую його на роботі, це справді добре поєднана альтернатива. У них навіть є зображення VM для завантаження, щоб перевірити його!

Де я працюю, ми використовуємо RHEL5 + quagga & zebra над 4 коробками для запуску транзиту на 450 Мбіт / с. Так що так, ви можете це зробити на підприємстві і заощадити багато грошей.

Ми обмежуємо швидкість за допомогою TC та використовуємо правила iptables та notrack.

Я використовував OpenBSD 3.9 як брандмауер і перейшов на Juniper SSG5.

Як говорив sh-beta OpenBSD як багато хороших функцій: pf дивовижний, tcpdump, багато хороших інструментів ...

У мене були деякі причини перейти на ялівець. Зокрема, конфігурація швидка і проста. У OpenBSD все "трохи складніше".

Наприклад: управління пропускною здатністю - на мій погляд, - набагато простіше налаштувати на SSG.

Версія OpenBSD, яку я використовував, була досить старою; Можливо, в цьому питанні краща нова версія.

Для малого бізнесу мого батька з одним відділенням я використовую OpenBSD як маршрутизатор / шлюз / брандмауер як для головного, так і для відділення. Це ніколи не підводило нас. Ми використовуємо сервер Dell Tower у кожному місці. Кожен сервер оснащений карткою Dual GiGE, 8 ГБ оперативної пам’яті (незначні перенавантаження, я знаю) і працює добре. Відділення налаштовано для підключення до основного за допомогою IPSEC, а реалізація IPSEC OpenBSD - це приємно простий у користуванні.

Шлюзи OpenBSD використовуються в багатьох установках підприємства. У наших мережах є два шлюзи OpenBSD.

Я все ще згадую один кумедний епізод з OpenBSD: жорсткий диск загинув, але шлюз просто переніс трафік маршрутизації, начебто нічого не сталося, слугуючи лише з пам'яті. Це дало мені трохи часу, щоб налаштувати інший екземпляр.

Дуже низькі вимоги до обладнання, Dual Opteron 248 - чудові. Я рідко бачу, як процесор перевищує 5%. Вони дуже стійкі. Я використовую його трохи більше 7 років, без проблем.

Я працюю OpenBSD (4.9) у виробництві на нашій головній брандмауері вже досить давно. Це досить старий ASUS MB з 2 ГБ оперативної пам'яті (1) оперативної пам’яті та двоядерним (2 ГГц) Athlon. Я купив інтелект-карту для чотирьохпортових портів (pci-express) та використовував у графічному порту x16. НЕ викидайте свої відеокарти PCI, якщо у вас є якісь прокладки. Він вам знадобиться як відеокарта, якщо ви плануєте використовувати 16-кратний PCI-експрес-порт для NIC (в моєму випадку на борту gfx не працювало).

Я знаю, що це не "Enterprise class" обладнання. але це явні переваги цієї установки:

• У мене дуже багато цих МБ, які лежать навколо, і тому ніколи не закінчуватиметься запасних частин (готуюся також до CARP).

• Більшість дешевих бортів AMD підтримують оперативну пам’ять ECC !.

• Вся фурнітура / запчастини "на полиці" дешеві та стабільні

• Продуктивність цих установок велика (4х Гбіт / с), навіть для нашого досить важкого хостингу!

Я мав у минулому. Я встановив його спочатку на деяких "білих" ПК, потім модернізував до Dell Power Edge 2950. Надмірні джерела живлення, жорсткі диски - велике поліпшення з точки зору надійності. Не спостерігається поліпшення, звичайно, нам пощастило, і біла коробка ніколи не зазнала аварійних ситуацій, але теоретично ми були в кращій формі з більшою надмірністю.

Ми використовували його лише для фільтрації пакетів T1, тому не помітного поліпшення продуктивності.

Чи розглядали ви перехід на FreeBSD? OpenBSD не може повністю використовувати сучасні системи SMP (тобто Core2Quad). FreeBSD має pf та ipfw, які ви можете використовувати одночасно, а також мережевий шар, який не є GIANT.

Ми багато років використовуємо програмні маршрутизатори FreeBSD як шлюзи провайдерів, це заощадило нам багато $$

Я не можу говорити за * BSD (все-таки ... дайте мені час ...), але ми працювали Linux роутери вже 10 років і любимо їх. Дешевше, жодних клопотів з ліцензією, і якщо ви подивитеся на документи, ви знайдете, що у вас є більшість інструментів, необхідних для того, щоб виконати справи. Я б підозрював, що BSD дуже сильно знаходиться в одному човні.

У нас працює DL365 G1 з одним процесорним гніздом і 6 Гбіт, хоча оперативна пам'ять в основному призначена для обслуговування поштових скриньок ...

Використовуйте Intel (em) гігабітні NIC-сервери.

Одна карта, яка добре працює - це HP NC360T. Це подвійний порт і pci-express.