Хтось ще використовує OpenBSD як маршрутизатор на підприємстві? На якому апараті ви працюєте? [зачинено]


26

У кожному з наших місць у нас є маршрутизатор OpenBSD, який зараз працює на загальному комп'ютерному апаратному забезпеченні в домашньому середовищі 4U сервера. Зважаючи на питання щодо надійності та міркувань щодо простору, ми хочемо модернізувати їх до належного обладнання серверного рівня з підтримкою тощо.

Ці вікна служать маршрутизаторами, шлюзами та брандмауерами на кожній ділянці. На даний момент ми досить добре знайомі з OpenBSD та Pf, тому не вагаємось у відході від системи до чогось іншого, наприклад, спеціалізованого обладнання Cisco.

На даний момент я думаю про перенесення систем на деякі машини HP DL серії 1U (модель ще не визначилася). Мені цікаво дізнатись, чи користуються подібні налаштування у своєму бізнесі чи перейшли на іншу сторону чи від неї.


1
Я знайшов відповіді, які допомогли нам, оскільки ми працювали з відкритим bsd протягом 9 років і почали думати про перехід на jos через проблеми з живленням в центрі обробки даних. Тепер я подумаю ще раз, як думаю, що ми занижили переваги роботи на відкритій платформі.

Відповіді:


43

Ми працюємо виключно маршрутизаторами / брандмауерами OpenBSD для обслуговування FogBugz On Demand. Якщо ви не працюєте в транзитній ролі і не потребуєте надзвичайно високої пропускної здатності в секунду, яку може забезпечити цільове обладнання та інтегроване програмне забезпечення, OpenBSD на твердому апараті стане більш зручним, масштабованим та економічним рішенням.

Порівнюючи OpenBSD з IOS або JUNOS (на мій досвід):

Переваги

  • Брандмауер pf є неперевершеним з точки зору гнучкості, керованої конфігурації та інтеграції в інші сервіси (легко працює зі спамом, ftp-проксі тощо). Приклади конфігурації не справедливі.
  • Ви отримуєте всі інструменти * nix на своєму шлюзі: syslog, grep, netcat, tcpdump, systat, top, cron тощо.
  • Ви можете додати інструменти за необхідності: iperf та iftop, які я вважаю дуже корисними
  • tcpdump. Достатньо сказав.
  • Інтуїтивна конфігурація для ветеранів Unix
  • Безпроблемна інтеграція з існуючим керуванням конфігурацією (cfengine, маріонеткою, сценаріями тощо).
  • Особливості наступного жанру безкоштовні і не потребують додаткових модулів.
  • Додавання продуктивності дешево
  • Ніяких контрактів на підтримку

Недоліки

  • IOS / JUNOS спрощує скидання / завантаження всієї конфігурації. Відсутні будь-які інструменти керування конфігурацією, їх буде легше розгортати, коли буде записаний ваш конфігурація.
  • Деякі інтерфейси просто недоступні або стабільні на OpenBSD (наприклад, я не знаю добре підтримуваних карт ATM DS3).
  • Виробничі пристрої типу Cisco / Juniper високого класу будуть працювати з вищою швидкістю Pps, ніж апаратне забезпечення сервера
  • Ніяких контрактів на підтримку

Поки ви не говорите про опорні маршрутизатори в середовищі, подібному до ISP, або крайові маршрутизатори, що взаємодіють із спеціалізованими мережевими підключеннями, OpenBSD повинен бути просто чудовим.

Обладнання

Найголовніше для продуктивності маршрутизатора - це Ваші сетеві сімейні телефони. Швидкий процесор швидко завалиться при помірному навантаженні, якщо у вас є лайно NIC, які переривають кожен пакет, який вони отримують. Шукайте гігабітні NIC, які підтримують принаймні пом’якшення / злиття. Мені пощастило з драйверами Broadcom (bge, bnx) та Intel (em).

Швидкість процесора важливіша, ніж у спеціальному обладнанні, але не те, що слід хвилювати. Будь-який сучасний процесор серверного класу буде обробляти тонну трафіку, перш ніж проявити будь-яку напругу.

Захопіть собі пристойний процесор (кілька ядер ще не дуже допомагають, тому подивіться на сирий ГГц) хорошу оперативну пам’ять ECC, надійний жорсткий диск і надійне шасі. Потім подвоїти все і запустити два вузли як активний / пасивний кластер CARP. З оновленням pfsync 4.5 можна запускати активні / активні, але я цього не перевіряв.

Мої маршрутизатори працюють поруч з нашими балансирами навантаження в конфігураціях з двома вузлами 1U. Кожен вузол має:

  • Шасі Supermicro SYS-1025TC-TB (вбудовані Intel Gigabit NIC)
  • Процесор Xeon Harpertown Quad Core 2 ГГц (мої балансири навантаження використовують декілька ядер)
  • Зареєстрована оперативна пам'ять Kingston ECC об'ємом 4 Гб
  • Двопортовий додаток Intel Gigabit NIC

Вони були твердими з моменту розгортання. Все, що стосується цього, є надмірним для навантаження на трафік, але я протестував пропускну здатність до 800 Мбіт / с (NIC-обмежений, процесор здебільшого простоював). Ми широко використовуємо VLAN, тому ці маршрутизатори також мають обробляти багато внутрішнього трафіку.

Ефективність використання енергії є фантастичною, оскільки в кожному шасі 1U є один блок живлення потужністю 700 Вт, що живить два вузли. Ми розподілили маршрутизатори та балансири за допомогою декількох шасі, щоб ми могли втратити ціле шасі і мати майже бездоганну відмову (спасибі pfsync та CARP).

Операційні системи

Деякі інші згадали про використання Linux або FreeBSD замість OpenBSD. Більшість моїх серверів є FreeBSD, але я віддаю перевагу маршрутизаторам OpenBSD з кількох причин:

  • Більш чіткий фокус на безпеці та стабільності, ніж Linux та FreeBSD
  • Найкраща документація будь-якої ОС з відкритим кодом
  • Їх інновація зосереджена навколо цього типу реалізації (див. Pfsync, ftp-proxy, carp, vlan management, ipsec, sasync, ifstated, pflogd тощо), які входять до бази)
  • FreeBSD - це багаторазові випуски позаду на їхньому порту PF
  • pf є більш елегантним та керованим, ніж iptables, ipchains, ipfw або ipf
  • Процес налаштування / встановлення пісні

Це означає, що якщо ви добре знайомі з Linux або FreeBSD і не маєте часу на вкладення коштів, можливо, краще за все поговорити з одним із них.


Дякую за надзвичайно детальну відповідь. Те, що ви описуєте, є в основному саме типом системи, яку ми розглядаємо, будучи парою серверів з вбудованим подвійним GigE та двома надбудовами NIC-додатків GigE в конфігурації відмови CARP. Дуже заспокоєне бачити, що хтось інший працює з таким налаштуванням у великій виробничій системі.
Каміль Кісієль

1
Особисто я віддаю перевагу iptables, думаю, що PF занадто обмежений. Мій досвід роботи з CARP на OpenBSD полягає в тому, що це чудово, коли ви хочете виконувати заплановані роботи (планові відмовки), але відмова найчастіше не спрацює, коли є фактична несправність. У мене було саме одне успішне вимкнення аварії на ПК, і це було з OpenBSD 4.5. Крім того, ситуація підтримки OpenBSD є похмурою. Якщо ви не маєте знань у себе вдома або платите комусь, то відповідь на всі запитання чи підтримку, коли вона виходить з ладу, - це: "ви мати товста".
Томас

1
Я запускаю pf / pfsync / CARP два брандмауери у конфігурації відмови. Я пережив дві аварійні ситуації, і в обох випадках я дізнався про це лише зі своєї системи моніторингу, яка повідомила мені, що один із брандмауерів не працює. Послуги кластеру тривали без помітних перерв.
Insyte

8

pfsense - це чудовий брандмауер на базі FreeBSD, його дуже багато можливостей, простий у налаштуванні та має активне співтовариство, а також варіанти підтримки. На форумі є кілька людей, які використовують його в комерційних / виробничих ситуаціях. Я використовую його вдома і підштовхую його на роботі, це справді добре поєднана альтернатива. У них навіть є зображення VM для завантаження, щоб перевірити його!


я подивився на це посилання. той варіант MonoWall виглядає чудово. :-)
djangofan

Я вважаю, що моно зосереджується на вбудованому апаратному забезпеченні, тоді як pfsense зосереджується на системах на ПК. Я вважаю, що він мав на меті запропонувати більш вдосконалені / класові особливості підприємства, ніж ті, які знайдені в m0n0wall або інших базових дистрибуторах брандмауера.
Шанс

2

Де я працюю, ми використовуємо RHEL5 + quagga & zebra над 4 коробками для запуску транзиту на 450 Мбіт / с. Так що так, ви можете це зробити на підприємстві і заощадити багато грошей.

Ми обмежуємо швидкість за допомогою TC та використовуємо правила iptables та notrack.


2

Я використовував OpenBSD 3.9 як брандмауер і перейшов на Juniper SSG5.

Як говорив sh-beta OpenBSD як багато хороших функцій: pf дивовижний, tcpdump, багато хороших інструментів ...

У мене були деякі причини перейти на ялівець. Зокрема, конфігурація швидка і проста. У OpenBSD все "трохи складніше".

Наприклад: управління пропускною здатністю - на мій погляд, - набагато простіше налаштувати на SSG.

Версія OpenBSD, яку я використовував, була досить старою; Можливо, в цьому питанні краща нова версія.


З боку обладнання, в моєму вікні OpenBSD був старий Dell GX280.
Матьє

1

Для малого бізнесу мого батька з одним відділенням я використовую OpenBSD як маршрутизатор / шлюз / брандмауер як для головного, так і для відділення. Це ніколи не підводило нас. Ми використовуємо сервер Dell Tower у кожному місці. Кожен сервер оснащений карткою Dual GiGE, 8 ГБ оперативної пам’яті (незначні перенавантаження, я знаю) і працює добре. Відділення налаштовано для підключення до основного за допомогою IPSEC, а реалізація IPSEC OpenBSD - це приємно простий у користуванні.


1

Шлюзи OpenBSD використовуються в багатьох установках підприємства. У наших мережах є два шлюзи OpenBSD.

Я все ще згадую один кумедний епізод з OpenBSD: жорсткий диск загинув, але шлюз просто переніс трафік маршрутизації, начебто нічого не сталося, слугуючи лише з пам'яті. Це дало мені трохи часу, щоб налаштувати інший екземпляр.

Дуже низькі вимоги до обладнання, Dual Opteron 248 - чудові. Я рідко бачу, як процесор перевищує 5%. Вони дуже стійкі. Я використовую його трохи більше 7 років, без проблем.


1

Я працюю OpenBSD (4.9) у виробництві на нашій головній брандмауері вже досить давно. Це досить старий ASUS MB з 2 ГБ оперативної пам'яті (1) оперативної пам’яті та двоядерним (2 ГГц) Athlon. Я купив інтелект-карту для чотирьохпортових портів (pci-express) та використовував у графічному порту x16. НЕ викидайте свої відеокарти PCI, якщо у вас є якісь прокладки. Він вам знадобиться як відеокарта, якщо ви плануєте використовувати 16-кратний PCI-експрес-порт для NIC (в моєму випадку на борту gfx не працювало).

Я знаю, що це не "Enterprise class" обладнання. але це явні переваги цієї установки:

  • У мене дуже багато цих МБ, які лежать навколо, і тому ніколи не закінчуватиметься запасних частин (готуюся також до CARP).

  • Більшість дешевих бортів AMD підтримують оперативну пам’ять ECC !.

  • Вся фурнітура / запчастини "на полиці" дешеві та стабільні

  • Продуктивність цих установок велика (4х Гбіт / с), навіть для нашого досить важкого хостингу!


0

Я мав у минулому. Я встановив його спочатку на деяких "білих" ПК, потім модернізував до Dell Power Edge 2950. Надмірні джерела живлення, жорсткі диски - велике поліпшення з точки зору надійності. Не спостерігається поліпшення, звичайно, нам пощастило, і біла коробка ніколи не зазнала аварійних ситуацій, але теоретично ми були в кращій формі з більшою надмірністю.

Ми використовували його лише для фільтрації пакетів T1, тому не помітного поліпшення продуктивності.


0

Чи розглядали ви перехід на FreeBSD? OpenBSD не може повністю використовувати сучасні системи SMP (тобто Core2Quad). FreeBSD має pf та ipfw, які ви можете використовувати одночасно, а також мережевий шар, який не є GIANT.

Ми багато років використовуємо програмні маршрутизатори FreeBSD як шлюзи провайдерів, це заощадило нам багато $$


0

Я не можу говорити за * BSD (все-таки ... дайте мені час ...), але ми працювали Linux роутери вже 10 років і любимо їх. Дешевше, жодних клопотів з ліцензією, і якщо ви подивитеся на документи, ви знайдете, що у вас є більшість інструментів, необхідних для того, щоб виконати справи. Я б підозрював, що BSD дуже сильно знаходиться в одному човні.

У нас працює DL365 G1 з одним процесорним гніздом і 6 Гбіт, хоча оперативна пам'ять в основному призначена для обслуговування поштових скриньок ...


0

Використовуйте Intel (em) гігабітні NIC-сервери.

Одна карта, яка добре працює - це HP NC360T. Це подвійний порт і pci-express.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.