Кто-нибудь еще использует OpenBSD в качестве маршрутизатора на предприятии? На каком оборудовании вы его используете? [закрыто]
У нас есть маршрутизатор OpenBSD в каждом из наших офисов, который в настоящее время работает на обычном "домашнем" ПК в корпусе сервера 4U. Из-за проблем с надежностью и нехватки места мы планируем обновить их до подходящего серверного оборудования с поддержкой и т. Д.
Эти блоки служат маршрутизаторами, шлюзами и межсетевыми экранами на каждом сайте. На данный момент мы хорошо знакомы с OpenBSD и Pf, поэтому не решаемся перейти от системы к чему-то еще, например, к выделенному оборудованию Cisco.
В настоящее время я подумываю о переносе систем на некоторые машины HP серии DL 1U (модель еще не определена). Мне любопытно услышать, используют ли другие люди подобную установку в своем бизнесе или перешли на нее или от нее.
Мы выполняем исключительно маршрутизаторы/брандмауэры OpenBSD для обслуживания FogBugz По требованию. Если Вы не действуете в транзитной роли и нуждаетесь в чрезвычайно высокой pps пропускной способности, которую могут обеспечить специальные аппаратные средства и интегрированное программное обеспечение, OpenBSD на твердых аппаратных средствах будет более управляемым, масштабируемым, и экономичным решением.
Сравнение OpenBSD к IOS или JUNOS (по моему опыту):
Преимущества
- pf брандмауэр несопоставлен с точки зрения гибкости, управляемой конфигурации и интеграции на другие службы (работы беспрепятственно с spamd, прокси ftp, и т.д.). Примеры конфигурации не воздают ему должное.
- Вы добираетесь, все инструменты *отклоняют на Вашем шлюзе: системный журнал, grep, netcat, tcpdump, systat, вершина, крон, и т.д.
- Можно добавить инструменты по мере необходимости: iperf и iftop я нашел очень полезными
- tcpdump.Сказанного достаточно.
- Интуитивная конфигурация для ветеранов Unix
- Бесшовная интеграция с существующим управлением конфигурацией (cfengine, марионетка, сценарии, безотносительно).
- Функции следующего поколения свободны и не требуют никаких дополнительных модулей.
- Добавление производительности является дешевым
- Никакие контракты на поддержку
Недостатки
- IOS/JUNOS делает более простым вывести/загрузить всю конфигурацию. Отсутствующий любые инструменты управления конфигурацией, их будет легче развернуть, после того как Ваша конфигурация записана.
- Некоторые интерфейсы просто не доступны для или стабильны на OpenBSD (например, я не знаю никакого хорошо поддерживаемого ATM карты DS3).
- Высокопроизводительный выделил устройства Cisco/Juniper-type, обработает выше pps, чем серверное оборудование
- Никакие контракты на поддержку
Пока Вы не говорите о магистральных маршрутизаторах в подобной ISP среде или граничных маршрутизаторах, взаимодействующих через интерфейс со специализированными сетевыми соединениями, OpenBSD должен быть очень хорошо.
Оборудование
Самой важной вещью к Вашей производительности маршрутизатора является Ваш NICs. Быстрый ЦП будет быстро разбит при умеренной загрузке, если у Вас будут поганые NICs, которые прерывают для каждого пакета, который они получают. Ищите гигабитные NICs, которые поддерживают смягчение/объединение прерывания, по крайней мере. Мне везли с Broadcom (bge, bnx) и Intel (их) драйверы.
Скорость ЦП более важна, чем в выделенном оборудовании, но не чем-то для фреттинга о. Любой современный класс сервера ЦП обработает тонну трафика прежде, чем показать любую деформацию.
Захватите себя достойный ЦП (несколько ядер просто еще не помогают многому, таким образом смотрят на необработанный GHz), хорошая RAM ECC, надежный жесткий диск и твердое шасси. Затем удвойте все и выполните два узла как активный/пассивный кластер CARP. С тех пор 4.5's pfsync обновление можно работать активный/активный, но я не протестировал это.
Мои маршрутизаторы работают бок о бок с нашими подсистемами балансировки нагрузки в 1U конфигурации двойного узла. Каждый узел имеет:
- Супермикро SYS-1025TC-TB шасси (встроенный Intel Gigabit NICs)
- Xeon Harpertown Quad Core 2GHz CPU (мои подсистемы балансировки нагрузки используют несколько ядер),
- Kingston на 4 ГБ ECC зарегистрированная RAM
- Двухпортовое дополнение Intel Gigabit NIC
Они были надежны начиная с развертывания. Все об этом - излишество для нашей нагрузки по трафику, но я протестировал пропускную способность вверх 800 Мбит/с (ограниченный NIC, ЦП был главным образом неактивен). Мы делаем интенсивное использование VLAN, таким образом, эти маршрутизаторы должны обработать большой внутренний трафик также.
Эффективность питания является фантастической начиная с каждого 1U, шасси имеет единственный PSU на 700 Вт, приводящий в действие два узла. Мы распределили маршрутизаторы и стабилизаторы через несколько шасси, таким образом, мы можем потерять все шасси и иметь в значительной степени бесшовную обработку отказа (спасибо pfsync и CARP).
Операционные системы
Некоторые другие упомянули, что использовали Linux или FreeBSD вместо OpenBSD. Большинство моих серверов является FreeBSD, но я предпочитаю маршрутизаторы OpenBSD по нескольким причинам:
- Более трудное внимание на безопасность и устойчивость, чем Linux и FreeBSD
- Лучшая документация любого Открытого исходного кода ОС
- Их инновации центрируются вокруг этого типа реализации (см. pfsync, прокси ftp, карпа, управление VLAN, ipsec, sasync, ifstated, pflogd, и т.д. - все из которых включены в основу),
- FreeBSD является несколькими выпусками позади на их порте pf
- pf более изящен и управляем, чем iptables, ipchains, ipfw, или ipf
- Более минимизированный процесс установки/установки
Тем не менее, если Вы глубоко знакомы с Linux или FreeBSD и не имеете времени для инвестирования, это - вероятно, лучшая идея пойти с одним из них.
-
1Спасибо за чрезвычайно подробный ответ. То, что Вы описываете, является в значительной степени точно типом системы we' рассмотрение ре здания, пары серверов со встроенным двойным GigE и и двойным дополнением GigE NIC в конфигурации обработки отказа CARP. It' s очень заверяющий, чтобы видеть, что кто-то еще выполняет такую установку в главной производственной системе. – Kamil Kisiel 30 June 2009 в 01:28
-
2Лично я предпочитаю iptables, я думаю, что pf слишком ограничивается. Мой опыт с CARP на OpenBSD - это it' s большой, когда Вы хотите делать запланированные работы (запланированная обработка отказа), но обработка отказа будет чаще всего не работа, когда будет фактический отказ. I' ve имел точно одну успешную обработку отказа катастрофического отказа pf, и это было с OpenBSD 4.5. Кроме того, ситуация с поддержкой для OpenBSD мрачна. Если Вы don' t имеют внутреннее знание или платят кому-то затем ответ на все вопросы или поддержку, когда это отказывает: " Вы относитесь как родитель, fat". – Thomas 30 June 2009 в 09:32
-
3Я выполняю pf/pfsync/CARP два брандмауэра в конфигурации обработки отказа. I' ve испытал две ситуации с обработкой отказа, и в обоих случаях я только узнал об этом от своей системы контроля, говоря мне, один из брандмауэров снизился. cluster' s сервисы, продолженные без значимого прерывания. – Insyte 12 August 2009 в 18:08
Где я работаю, мы используем RHEL5 + quagga и зебра более чем 4 поля для выполнения транзита для 450 Мбит/с. Таким образом да, можно сделать это на предприятии и сэкономить много денег.
Мы действительно оцениваем ограничение с помощью TC и используем правила notrack и iptables.
Вы рассмотренный переключением на FreeBSD? OpenBSD не может полностью использовать современные системы SMP (т.е. Core2Quad). FreeBSD имеет pf и ipfw, который Вы можете использовать одновременно и также имеете НЕГИГАНТСКИЙ сетевой уровень.
Мы выполняли маршрутизаторы программного обеспечения FreeBSD как шлюзы поставщика в течение многих лет, это сохранило нас много $$
Я имею в прошлом. Я установил его первоначально на некотором "whitebox" ПК, затем обновленном до Dell Power Edge 2950. Предоставления резервного питания, жесткие диски - большое улучшение с точки зрения надежности. Не наблюдаемое улучшение, конечно, мы стали удачливыми, и whitebox никогда не отказывал, но теоретически мы были в лучшей форме с большим дублированием.
Мы только использовали его для фильтра пакетов T1, таким образом, не значимое повышение производительности.
Я не могу говорить *BSD (все же... дают мне время...), но мы выполняли маршрутизаторы Linux для 10 + годы и любим их. Более дешевый, никакие стычки лицензии, и если Вы смотрите на документы, Вы найдете, что у Вас есть большинство инструментов, необходимо добиться цели. Я подозревал бы, что BSD находится очень в одной лодке.
Мы выполняем DL365 G1 с единственным заполненным сокетом процессора и 6 ГБ, хотя RAM главным образом для обслуживания почтовых ящиков...
Я использовал OpenBSD 3.9 в качестве брандмауэра и переключился на Juniper SSG5.
Как сказано sh-бетой OpenBSD как МНОГО хороших функций: pf удивителен, tcpdump, партия хороших инструментов...
У меня были некоторые причины переключиться на Juniper. В частности, конфигурация быстра и легка. На OpenBSD все "немного сложно".
поскольку исключая: bandwith управление - по-моему, намного легче настроить на SSG.
Версия OpenBSD, которую я использовал, была довольно стара; Возможно, более новая версия лучше по этому вопросу.
-
1
pfsense Является большим основанным на FreeBSD брандмауэром, его очень многофункциональным, легким для установки, и имеет активные общественные, а также варианты поддержки. Существует несколько человек, использующих его в рекламе / производственные ситуации, которые активны на форуме. Я использую его дома, и я продвигаю его на работе, это - действительно хорошо соединенная альтернатива. У них даже есть образ виртуальной машины для загрузки для проверения его с!
-
1я посмотрел на ту ссылку. тот вариант MonoWall выглядит большим.:-) – djangofan 12 August 2009 в 18:22
-
2я верю моно вниманию на встроенные аппаратные средства, тогда как pfsense фокусируется на основанных на ПК системах. Я полагаю, что это было предназначено для предложения большего количества усовершенствованных/промышленного класса функций, чем найденные в m0n0wall или другом основном дистрибутиве брандмауэра. решение – Chance 24 September 2010 в 18:02
Для малого бизнеса моего родительского элемента с одним филиалом я использую OpenBSD в качестве маршрутизатора/шлюза/брандмауэра и для основного и для филиала. Это никогда не подводило нас. Мы используем Сервер Башни Dell в каждом местоположении. Каждый сервер оборудован Двойной картой GiGE, 8 ГБ поршня (небольшие излишества, я знаю), и работает хорошо. Филиал настроен для соединения с основным через IPSEC, и реализация IPsec OpenBSD восхитительно проста в использовании.
Я уже довольно давно использую OpenBSD (4.9) в производстве на нашем основном брандмауэре. Это довольно старый ASUS MB с 2 ГБ оперативной памяти DDR (1) и двухъядерным (2 ГГц) Athlon. Я купил карту Intel с четырьмя портами (pci-express) и использовал в графическом порте x16. НЕ выбрасывайте видеокарты PCI, если они у вас лежат. Он понадобится вам как видеокарта, если вы планируете использовать порт 16x PCI-express для сетевой карты (встроенный gfx в моем случае не работал).
Я знаю, что это оборудование не корпоративного класса. но вот явные преимущества этой установки:
У меня есть много этих МБ, и поэтому у меня никогда не закончатся запасные части (также готовлюсь к CARP).
Самые дешевые платы AMD поддерживают ECC RAM!.
Все оборудование и запасные части находятся "с полки" дешево и стабильно
Производительность на этих станках отличная (4x Гбит / с), даже для нашего довольно тяжелого хостинга!
OpenBSD gateways используются во многих корпоративных установках. У нас есть два шлюза OpenBSD в наших сетях.
Я до сих пор помню один забавный эпизод с OpenBSD: отказал жесткий диск, но шлюз просто продолжал маршрутизировать трафик, как будто ничего не произошло, обслуживая только по памяти. Это дало мне время для установки еще одного экземпляра.
Очень низкие требования к оборудованию, Dual Opteron 248 великолепны. Я редко вижу, чтобы загрузка процессора превышала 5%. Они очень стабильны. Пользуюсь им чуть более 7 лет без проблем.