Apakah ada orang lain yang menggunakan OpenBSD sebagai router di perusahaan? Perangkat keras apa yang Anda jalankan? [Tutup]

26

Kami memiliki router OpenBSD di setiap lokasi kami, saat ini berjalan pada perangkat keras PC "homebrew" generik dalam case server 4U. Karena masalah keandalan dan pertimbangan ruang, kami ingin memutakhirkannya ke beberapa perangkat keras tingkat server yang tepat dengan dukungan, dll.

Kotak-kotak ini berfungsi sebagai router, gateway, dan firewall di setiap situs. Pada titik ini kita cukup akrab dengan OpenBSD dan Pf, jadi ragu untuk pindah dari sistem ke sesuatu yang lain seperti perangkat keras Cisco khusus.

Saat ini saya sedang berpikir untuk memindahkan sistem ke beberapa mesin HP DL-series 1U (model belum ditentukan). Saya ingin tahu apakah orang lain menggunakan pengaturan seperti ini dalam bisnis mereka, atau telah bermigrasi ke atau jauh dari itu.

Kamil Kisiel
sumber
1
Saya menemukan jawaban membantu kami karena kami telah menjalankan bsd terbuka selama 9 tahun dan mulai berpikir untuk pindah ke JOS karena masalah kekuatan di pusat data. Sekarang saya akan berpikir lagi karena saya pikir kita telah meremehkan manfaat berjalan di platform terbuka.

Jawaban:

43

Kami menjalankan router / firewall OpenBSD khusus untuk melayani FogBugz On Demand. Kecuali jika Anda beroperasi dalam peran transit dan membutuhkan throughput pps yang sangat tinggi yang dapat disediakan oleh perangkat keras yang dibangun khusus dan perangkat lunak terintegrasi, OpenBSD pada perangkat keras akan menjadi solusi yang lebih mudah dikelola, dapat diukur, dan ekonomis.

Membandingkan OpenBSD dengan iOS atau JUNOS (menurut pengalaman saya):

Keuntungan

  • Firewall pf tidak tertandingi dalam hal fleksibilitas, konfigurasi yang dapat dikelola, dan integrasi ke dalam layanan lain (berfungsi mulus dengan spam, ftp-proxy, dll.). Contoh konfigurasi tidak melakukannya dengan adil.
  • Anda mendapatkan semua alat * nix di gateway Anda: syslog, grep, netcat, tcpdump, systat, top, cron, dll.
  • Anda dapat menambahkan alat yang diperlukan: iperf dan iftop yang saya temukan sangat berguna
  • tcpdump. Cukup kata.
  • Konfigurasi intuitif untuk veteran Unix
  • Integrasi sempurna dengan manajemen konfigurasi yang ada (cfengine, boneka, skrip, apa pun).
  • Fitur-fitur next gen gratis dan tidak memerlukan modul tambahan.
  • Menambahkan kinerja itu murah
  • Tidak ada kontrak dukungan

Kekurangan

  • IOS / JUNOS membuatnya lebih mudah untuk membuang / memuat seluruh konfigurasi. Tanpa adanya alat manajemen konfigurasi, mereka akan lebih mudah untuk digunakan setelah konfigurasi Anda ditulis.
  • Beberapa antarmuka tidak tersedia untuk atau stabil pada OpenBSD (misalnya, saya tahu tidak ada kartu ATM DS3 yang didukung dengan baik).
  • Perangkat tipe Cisco / Juniper berdedikasi tinggi akan menangani pps lebih tinggi dari perangkat keras server
  • Tidak ada kontrak dukungan

Selama Anda tidak berbicara tentang router backbone di lingkungan mirip ISP atau router tepi yang berinteraksi dengan koneksi jaringan khusus, OpenBSD seharusnya baik-baik saja.

Perangkat keras

Yang paling penting untuk kinerja router Anda adalah NIC Anda. CPU yang cepat akan cepat kewalahan di bawah beban moderat jika Anda memiliki NIC yang menyebalkan yang mengganggu setiap paket yang mereka terima. Cari NIC gigabit yang mendukung mitigasi / penggabungan interupsi setidaknya. Saya beruntung dengan driver Broadcom (bge, bnx) dan Intel (em).

Kecepatan CPU lebih penting daripada di perangkat keras khusus, tetapi bukan sesuatu yang mengkhawatirkan. Setiap CPU kelas server modern akan menangani banyak lalu lintas sebelum menunjukkan ketegangan.

Raih sendiri CPU yang layak (banyak core belum banyak membantu, jadi lihatlah pada GHz mentah) RAM ECC yang baik, hard drive yang andal, dan sasis yang kokoh. Kemudian gandakan semuanya dan jalankan dua node sebagai cluster CARP aktif / pasif. Sejak upgrade pfsync 4,5 Anda dapat menjalankan aktif / aktif, tapi saya belum menguji ini.

Router saya berjalan berdampingan dengan load-balancers kami dalam konfigurasi simpul ganda 1U. Setiap node memiliki:

  • Sasis Supermicro SYS-1025TC-TB (Intel Gigabit NICs bawaan)
  • Xeon Harpertown Quad Core 2GHz CPU (penyeimbang beban saya menggunakan beberapa inti)
  • 4GB Kingston ECC Registered RAM
  • Dual-port Intel Gigabit add-in NIC

Mereka sudah solid sejak penempatan. Segala sesuatu tentang ini berlebihan untuk beban lalu lintas kami, tapi saya sudah menguji throughput di atas 800Mbps (terbatas NIC, CPU kebanyakan menganggur). Kami menggunakan banyak VLAN, jadi router ini juga harus menangani banyak lalu lintas internal.

Efisiensi daya luar biasa karena setiap sasis 1U memiliki 700W PSU tunggal untuk dua node. Kami telah mendistribusikan router dan balancers melalui beberapa sasis sehingga kami dapat kehilangan seluruh sasis dan mengalami kegagalan yang sangat mulus (terima kasih pfsync dan CARP).

Sistem operasi

Beberapa yang lain telah menyebutkan menggunakan Linux atau FreeBSD bukan OpenBSD. Sebagian besar server saya adalah FreeBSD, tetapi saya lebih suka router OpenBSD karena beberapa alasan:

  • Fokus yang lebih ketat pada keamanan dan stabilitas daripada Linux dan FreeBSD
  • Dokumentasi terbaik untuk OS Open Source apa pun
  • Inovasi mereka terpusat pada jenis implementasi ini (lihat pfsync, ftp-proxy, karper, manajemen vlan, ipsec, sasync, ifstated, pflogd, dll - yang semuanya termasuk dalam basis)
  • FreeBSD adalah beberapa rilis di belakang pada port pf mereka
  • pf lebih elegan dan mudah dikelola daripada iptables, ipchains, ipfw, atau ipf
  • Pengaturan leaner / proses instal

Yang mengatakan, jika Anda akrab dengan Linux atau FreeBSD dan tidak punya waktu untuk berinvestasi, mungkin ide yang lebih baik untuk pergi dengan salah satunya.

sh-beta
sumber
Terima kasih atas balasan yang sangat terperinci. Apa yang Anda jelaskan adalah tipe sistem yang sedang kami lihat, sepasang server dengan onboard dual GigE dan dan NIC add-in dual GigE dalam konfigurasi failover CARP. Sangat meyakinkan untuk melihat bahwa orang lain menjalankan pengaturan seperti itu dalam sistem produksi utama.
Kamil Kisiel
1
Secara pribadi saya lebih suka iptables, saya pikir pf terlalu terbatas. Pengalaman saya dengan CARP di OpenBSD adalah bagus ketika Anda ingin melakukan pekerjaan yang direncanakan (failover yang direncanakan), tetapi failover itu paling sering tidak berfungsi ketika ada kesalahan yang sebenarnya. Saya benar-benar memiliki satu kegagalan crash pf yang sukses, dan ini dengan OpenBSD 4.5. Juga, situasi dukungan untuk OpenBSD suram. Jika Anda tidak memiliki pengetahuan di rumah atau membayar seseorang, maka jawaban untuk semua pertanyaan atau dukungan ketika crash adalah: "Anda ibu gemuk".
Thomas
1
Saya menjalankan pf / pfsync / CARP dua firewall dalam konfigurasi failover. Saya telah mengalami dua situasi kegagalan dan dalam kedua kasus saya hanya mempelajarinya dari sistem pemantauan saya mengatakan bahwa salah satu firewall sudah mati. Layanan cluster berlanjut tanpa gangguan nyata.
Insyte
8

pfsense Adalah firewall berbasis FreeBSD yang hebat, fiturnya sangat kaya, mudah diatur, dan memiliki komunitas aktif serta opsi dukungan. Ada beberapa orang yang menggunakannya dalam situasi komersial / produksi yang aktif di forum. Saya menggunakannya di rumah dan saya mendorongnya di tempat kerja, itu adalah alternatif yang disatukan dengan sangat baik. Mereka bahkan memiliki image VM untuk diunduh untuk mengujinya!

Kesempatan
sumber
saya melihat tautan itu. varian MonoWall tampak hebat. :-)
djangofan
Saya percaya mono berfokus pada perangkat keras tertanam, sedangkan pfsense berfokus pada sistem berbasis pc. Saya percaya ini dimaksudkan untuk menawarkan fitur yang lebih maju / kelas perusahaan daripada yang ditemukan di m0n0wall atau distro firewall dasar lainnya.
Peluang
2

Di mana saya bekerja, kami menggunakan RHEL5 + quagga & zebra lebih dari 4 kotak untuk menjalankan transit untuk 450mbps. Jadi ya, Anda bisa melakukannya di perusahaan dan menghemat banyak uang.

Kami melakukan pembatasan tingkat menggunakan TC dan memanfaatkan aturan iptables dan notrack.

pjd
sumber
2

Saya telah menggunakan OpenBSD 3.9 sebagai firewall dan beralih ke Juniper SSG5.

Seperti yang dikatakan oleh sh-beta OpenBSD sebagai BANYAK fitur bagus: pf menakjubkan, tcpdump, banyak alat bagus ...

Saya punya beberapa alasan untuk beralih ke Juniper. Secara khusus, konfigurasinya cepat dan mudah. Pada OpenBSD semuanya "sedikit rumit".

untuk contoh: manajemen bandwidth adalah - menurut pendapat saya - jauh lebih mudah untuk dikonfigurasi pada SSG.

Versi OpenBSD yang saya gunakan sudah cukup lama; Mungkin versi yang lebih baru lebih baik dalam hal ini.

Matthieu
sumber
Di sisi perangkat keras, kotak OpenBSD saya adalah Dell GX280 tua.
Matthieu
1

Untuk bisnis kecil ayah saya dengan satu kantor cabang, saya menggunakan OpenBSD sebagai router / gateway / firewall untuk kantor utama dan kantor cabang. Itu tidak pernah mengecewakan kita. Kami menggunakan Server Dell Tower di setiap lokasi. Setiap server dilengkapi dengan kartu Dual GiGE, ram 8GB (sedikit berlebihan, saya tahu) dan berfungsi dengan baik. Kantor cabang dikonfigurasikan untuk terhubung ke yang utama melalui IPSEC dan implementasi IPSEC OpenBSD sangat mudah digunakan.


sumber
1

Gateway OpenBSD digunakan di banyak pengaturan perusahaan. Kami memiliki dua gateway OpenBSD di jaringan kami.

Saya masih ingat satu episode lucu dengan OpenBSD: hard disknya mati, tetapi gateway hanya meneruskan routing traffic, seperti tidak ada yang terjadi, melayani dari memori saja. Itu memberi saya waktu untuk mengatur contoh lain.

Persyaratan perangkat keras yang sangat rendah, Dual Opteron 248 sangat bagus. Saya jarang melihat cpu lebih dari 5%. Mereka sangat stabil. Saya sudah menggunakannya lebih dari 7 tahun sekarang tanpa masalah.

Adrian Thompson
sumber
1

Saya telah menjalankan OpenBSD (4.9) dalam produksi di firewall utama kami selama beberapa waktu. ASUS MB yang agak lama dengan 2 GB DDR (1) RAM dan dual core (2 GHz) Athlon. Saya membeli kartu intel port quad (pci-express) dan digunakan di port grafis x16. JANGAN membuang kartu grafis PCI Anda jika ada yang bertebaran. Anda akan memerlukannya sebagai kartu grafis jika Anda berencana menggunakan port PCI-express 16x untuk NIC (onboard gfx tidak berfungsi dalam kasus saya).

Saya tahu ini bukan perangkat keras "Kelas perusahaan". tetapi ini adalah manfaat yang jelas dari pengaturan ini:

  • Saya memiliki banyak MB ini tergeletak di sekitar, dan dengan demikian tidak akan pernah kehabisan suku cadang (bersiap-siap untuk CARP juga).

  • AMD AMD yang paling murah mendukung ECC RAM !.

  • Semua perangkat keras / suku cadang "dari rak" murah dan stabil

  • Performa pada rig ini luar biasa (4x Gbps), bahkan untuk pengaturan hosting yang agak berat!

Brian Simonsen
sumber
0

Saya punya di masa lalu. Saya menginstalnya pada PC "papan tulis", kemudian ditingkatkan ke Dell Power Edge 2950. Catu daya yang berlebihan, hard drive - peningkatan besar dari sudut pandang keandalan. Tentu saja bukan peningkatan yang diamati, kami beruntung dan papan tulis tidak pernah jatuh, tetapi secara teoritis kami berada dalam kondisi yang lebih baik dengan lebih banyak redundansi.

Kami hanya menggunakannya untuk memfilter T1, jadi bukan peningkatan kinerja yang nyata.

Kyle Hodgson
sumber
0

Apakah Anda mempertimbangkan beralih ke FreeBSD? OpenBSD tidak dapat sepenuhnya memanfaatkan sistem SMP modern (yaitu Core2Quad). FreeBSD memiliki pf dan ipfw yang dapat Anda gunakan secara bersamaan dan juga memiliki lapisan jaringan non-GIANT.

Kami telah menjalankan peranti lunak router FreeBSD sebagai gateway ISP selama bertahun-tahun, ini menyelamatkan kami dari $$

SaveTheRbtz
sumber
0

Saya tidak dapat berbicara untuk * BSD (belum ... beri saya waktu ...) tetapi kami telah menjalankan router Linux selama 10+ tahun dan menyukainya. Lebih murah, tidak ada kerepotan lisensi, dan jika Anda melihat dokumen Anda akan menemukan Anda memiliki sebagian besar alat yang Anda butuhkan untuk menyelesaikan sesuatu. Saya akan curiga bahwa BSD sangat banyak di kapal yang sama.

Kami menjalankan DL365 G1 dengan soket prosesor tunggal terisi dan 6Gb, meskipun RAM sebagian besar untuk memperbaiki kotak surat ...

Avery Payne
sumber
0

Gunakan Intel (em) Gigabit Server NIC.

Satu kartu yang berfungsi dengan baik adalah HP NC360T. Ini dual port dan pci-express.

BDP
sumber