У нас есть маршрутизатор OpenBSD в каждом из наших офисов, который в настоящее время работает на обычном "домашнем" ПК в корпусе сервера 4U. Из-за проблем с надежностью и нехватки места мы планируем обновить их до подходящего серверного оборудования с поддержкой и т. Д.
Эти блоки служат маршрутизаторами, шлюзами и межсетевыми экранами на каждом сайте. На данный момент мы хорошо знакомы с OpenBSD и Pf, поэтому не решаемся перейти от системы к чему-то еще, например, к выделенному оборудованию Cisco.
В настоящее время я подумываю о переносе систем на некоторые машины HP серии DL 1U (модель еще не определена). Мне любопытно услышать, используют ли другие люди подобную установку в своем бизнесе или перешли на нее или от нее.
Мы выполняем исключительно маршрутизаторы/брандмауэры OpenBSD для обслуживания FogBugz По требованию. Если Вы не действуете в транзитной роли и нуждаетесь в чрезвычайно высокой pps пропускной способности, которую могут обеспечить специальные аппаратные средства и интегрированное программное обеспечение, OpenBSD на твердых аппаратных средствах будет более управляемым, масштабируемым, и экономичным решением.
Сравнение OpenBSD к IOS или JUNOS (по моему опыту):
Преимущества
Недостатки
Пока Вы не говорите о магистральных маршрутизаторах в подобной ISP среде или граничных маршрутизаторах, взаимодействующих через интерфейс со специализированными сетевыми соединениями, OpenBSD должен быть очень хорошо.
Оборудование
Самой важной вещью к Вашей производительности маршрутизатора является Ваш NICs. Быстрый ЦП будет быстро разбит при умеренной загрузке, если у Вас будут поганые NICs, которые прерывают для каждого пакета, который они получают. Ищите гигабитные NICs, которые поддерживают смягчение/объединение прерывания, по крайней мере. Мне везли с Broadcom (bge, bnx) и Intel (их) драйверы.
Скорость ЦП более важна, чем в выделенном оборудовании, но не чем-то для фреттинга о. Любой современный класс сервера ЦП обработает тонну трафика прежде, чем показать любую деформацию.
Захватите себя достойный ЦП (несколько ядер просто еще не помогают многому, таким образом смотрят на необработанный GHz), хорошая RAM ECC, надежный жесткий диск и твердое шасси. Затем удвойте все и выполните два узла как активный/пассивный кластер CARP. С тех пор 4.5's pfsync обновление можно работать активный/активный, но я не протестировал это.
Мои маршрутизаторы работают бок о бок с нашими подсистемами балансировки нагрузки в 1U конфигурации двойного узла. Каждый узел имеет:
Они были надежны начиная с развертывания. Все об этом - излишество для нашей нагрузки по трафику, но я протестировал пропускную способность вверх 800 Мбит/с (ограниченный NIC, ЦП был главным образом неактивен). Мы делаем интенсивное использование VLAN, таким образом, эти маршрутизаторы должны обработать большой внутренний трафик также.
Эффективность питания является фантастической начиная с каждого 1U, шасси имеет единственный PSU на 700 Вт, приводящий в действие два узла. Мы распределили маршрутизаторы и стабилизаторы через несколько шасси, таким образом, мы можем потерять все шасси и иметь в значительной степени бесшовную обработку отказа (спасибо pfsync и CARP).
Операционные системы
Некоторые другие упомянули, что использовали Linux или FreeBSD вместо OpenBSD. Большинство моих серверов является FreeBSD, но я предпочитаю маршрутизаторы OpenBSD по нескольким причинам:
Тем не менее, если Вы глубоко знакомы с Linux или FreeBSD и не имеете времени для инвестирования, это - вероятно, лучшая идея пойти с одним из них.
Где я работаю, мы используем RHEL5 + quagga и зебра более чем 4 поля для выполнения транзита для 450 Мбит/с. Таким образом да, можно сделать это на предприятии и сэкономить много денег.
Мы действительно оцениваем ограничение с помощью TC и используем правила notrack и iptables.
Вы рассмотренный переключением на FreeBSD? OpenBSD не может полностью использовать современные системы SMP (т.е. Core2Quad). FreeBSD имеет pf и ipfw, который Вы можете использовать одновременно и также имеете НЕГИГАНТСКИЙ сетевой уровень.
Мы выполняли маршрутизаторы программного обеспечения FreeBSD как шлюзы поставщика в течение многих лет, это сохранило нас много $$
Я имею в прошлом. Я установил его первоначально на некотором "whitebox" ПК, затем обновленном до Dell Power Edge 2950. Предоставления резервного питания, жесткие диски - большое улучшение с точки зрения надежности. Не наблюдаемое улучшение, конечно, мы стали удачливыми, и whitebox никогда не отказывал, но теоретически мы были в лучшей форме с большим дублированием.
Мы только использовали его для фильтра пакетов T1, таким образом, не значимое повышение производительности.
Я не могу говорить *BSD (все же... дают мне время...), но мы выполняли маршрутизаторы Linux для 10 + годы и любим их. Более дешевый, никакие стычки лицензии, и если Вы смотрите на документы, Вы найдете, что у Вас есть большинство инструментов, необходимо добиться цели. Я подозревал бы, что BSD находится очень в одной лодке.
Мы выполняем DL365 G1 с единственным заполненным сокетом процессора и 6 ГБ, хотя RAM главным образом для обслуживания почтовых ящиков...
Я использовал OpenBSD 3.9 в качестве брандмауэра и переключился на Juniper SSG5.
Как сказано sh-бетой OpenBSD как МНОГО хороших функций: pf удивителен, tcpdump, партия хороших инструментов...
У меня были некоторые причины переключиться на Juniper. В частности, конфигурация быстра и легка. На OpenBSD все "немного сложно".
поскольку исключая: bandwith управление - по-моему, намного легче настроить на SSG.
Версия OpenBSD, которую я использовал, была довольно стара; Возможно, более новая версия лучше по этому вопросу.
pfsense Является большим основанным на FreeBSD брандмауэром, его очень многофункциональным, легким для установки, и имеет активные общественные, а также варианты поддержки. Существует несколько человек, использующих его в рекламе / производственные ситуации, которые активны на форуме. Я использую его дома, и я продвигаю его на работе, это - действительно хорошо соединенная альтернатива. У них даже есть образ виртуальной машины для загрузки для проверения его с!
Для малого бизнеса моего родительского элемента с одним филиалом я использую OpenBSD в качестве маршрутизатора/шлюза/брандмауэра и для основного и для филиала. Это никогда не подводило нас. Мы используем Сервер Башни Dell в каждом местоположении. Каждый сервер оборудован Двойной картой GiGE, 8 ГБ поршня (небольшие излишества, я знаю), и работает хорошо. Филиал настроен для соединения с основным через IPSEC, и реализация IPsec OpenBSD восхитительно проста в использовании.
Я уже довольно давно использую OpenBSD (4.9) в производстве на нашем основном брандмауэре. Это довольно старый ASUS MB с 2 ГБ оперативной памяти DDR (1) и двухъядерным (2 ГГц) Athlon. Я купил карту Intel с четырьмя портами (pci-express) и использовал в графическом порте x16. НЕ выбрасывайте видеокарты PCI, если они у вас лежат. Он понадобится вам как видеокарта, если вы планируете использовать порт 16x PCI-express для сетевой карты (встроенный gfx в моем случае не работал).
Я знаю, что это оборудование не корпоративного класса. но вот явные преимущества этой установки:
У меня есть много этих МБ, и поэтому у меня никогда не закончатся запасные части (также готовлюсь к CARP).
Самые дешевые платы AMD поддерживают ECC RAM!.
Все оборудование и запасные части находятся "с полки" дешево и стабильно
Производительность на этих станках отличная (4x Гбит / с), даже для нашего довольно тяжелого хостинга!
OpenBSD gateways используются во многих корпоративных установках. У нас есть два шлюза OpenBSD в наших сетях.
Я до сих пор помню один забавный эпизод с OpenBSD: отказал жесткий диск, но шлюз просто продолжал маршрутизировать трафик, как будто ничего не произошло, обслуживая только по памяти. Это дало мне время для установки еще одного экземпляра.
Очень низкие требования к оборудованию, Dual Opteron 248 великолепны. Я редко вижу, чтобы загрузка процессора превышала 5%. Они очень стабильны. Пользуюсь им чуть более 7 лет без проблем.