Quelqu'un d'autre utilise-t-il OpenBSD comme routeur dans l'entreprise? Sur quel matériel dirigez-vous?
Nous avons un routeur OpenBSD dans chacun de nos emplacements, en cours d'exécution sur le matériel PC "homebrew" générique dans un cas de serveur 4U. En raison de préoccupations de fiabilité et de considérations spatiales, nous envisagons de les mettre à niveau sur un matériel de qualité serveur approprié avec support, etc.
Ces cases servent de routeurs, de passerelles et de pare-feu sur chaque site. À ce stade, nous connaissons bien les openbsd et le PF, alors hésitant à quitter le système à quelque chose d'autre tel que le matériel Cisco dédié.
Je pense actuellement à déplacer les systèmes sur certaines machines HP DL-Series 1U (modèle à déterminer à déterminer). Je suis curieux d'entendre si d'autres personnes utilisent une configuration comme celle-ci dans leur entreprise ou ont migré vers ou loin d'un.
Nous courons des routeurs/pare-feu exclusivement openbsd pour servir Fogbugz à la demande. À moins que vous n'oubliez pas dans un rôle de transit et que vous avez besoin du débit de PPS extrêmement élevé que le matériel et le logiciel intégré intégré peuvent fournir, OpenBSD sur le matériel solide sera une solution plus gérable, évolutive et plus économique.
Comparer OpenBSD à IOS ou Junos (dans mon expérience):
Avantages
- Le pare-feu PF est inégalé en termes de flexibilité, de configuration gérable et d'intégration dans d'autres services (fonctionne de manière transparente avec SPAMD, FTP-Proxy, etc.). Les exemples de configuration ne le font pas justice.
- Vous obtenez tous les outils d'A * Nix sur votre passerelle: Syslog, Grep, Netcat, TCPDump, Systat, Haut, Cron, etc.
- Vous pouvez ajouter des outils si nécessaire: iperf et iftop que j'ai trouvé très utile
- tcpdump. Assez dit.
- Configuration intuitive pour les anciens combattants UNIX
- Intégration transparente avec la gestion de la configuration existante (cfengine, marionnette, scripts, quoi que ce soit).
- Les fonctionnalités générales suivantes sont gratuites et ne nécessitent aucun modules supplémentaires.
- Ajouter des performances est bon marché
- Aucun contrat de soutien
Inconvénients
- IOS/Junos rend plus simple de vider/charger une configuration complète. Absent tous les outils de gestion de la configuration, ils seront plus faciles à déployer une fois votre configuration écrite.
- Certaines interfaces ne sont tout simplement pas disponibles pour ou stables sur OpenBSD (par exemple, je ne connais aucune carte ATM DS3 bien prise en charge).
- Les appareils Cisco/Juniper-Type de type haut de gamme géreront des PPS plus élevés que le matériel du serveur.
- Aucun contrat de soutien
Tant que vous ne parlez pas de routeurs d'épine dorsale dans un environnement de type ISP ou des routeurs de bord interface avec des connexions réseau spécialisées, OpenBSD devrait être tout simplement bien.
matériel
La chose la plus importante pour votre performance de routeur est votre NICS. Un processeur rapide sera rapidement submergé sous une charge modérée si vous avez des niques de merde qui interrompent pour chaque paquet qu'ils reçoivent. Recherchez des NICS Gigabit qui soutiennent au moins l'atténuation/la coalescence. J'ai eu de la chance avec les pilotes Broadcom (Bge, BNX) et Intel (EM).
La vitesse du processeur est plus importante que dans du matériel dédié, mais pas quelque chose à craquer. Toute processeur moderne de classe de serveurs gérera une tonne de trafic avant de montrer n'importe quelle souche.
Prenez-vous un processeur décent (plusieurs cœurs n'en aident pas encore tout simplement, alors regardez le GHz brut) Bon RAM ECC, un disque dur fiable et un châssis solide. Ensuite, doublez tout et exécutez deux nœuds en tant que grappe de carpe active/passive. Depuis la mise à niveau PFSYNC de 4.5, vous pouvez exécuter Active/Active, mais je n'ai pas testé cela.
Mes routeurs fonctionnent côte à côte avec nos équilibreurs de charge dans des configurations de jumelage 1U. Chaque nœud a:
- Châssis SuperMicro Sys-1025TC-TB (Nics Intel Gigabit intégré)
- Xeon Harpertown Quad Core Core 2GHz CPU (mes équilibreurs de charge utilisent les multiples cœurs)
- 4GB Kingston ECC enregistré RAM
- Dual-Port Intel Gigabit Nic
Ils ont été solides de rock depuis le déploiement. Tout ce qui concerne cela est surchargé pour notre charge de trafic, mais j'ai testé un débit de 800 Mbps (Nic-Limited, la CPU était surtout inactif). Nous utilisons une forte utilisation de VLAN, de sorte que ces routeurs doivent également gérer beaucoup de trafic interne.
L'efficacité de la puissance est fantastique car chaque châssis 1U a un seul PSU de 700W alimentant deux nœuds. Nous avons distribué les routeurs et les équilibreurs à travers plusieurs châssis afin que nous puissions perdre tout un châssis et avoir un basculement sans soudure sans soudure (merci pfsync et carpe).
Systèmes d'exploitation
Certains autres ont mentionné à l'aide de Linux ou FreeBSD au lieu d'OpenBSD. La plupart de mes serveurs sont FreeBSD, mais je préfère les routeurs openbsd pour quelques raisons:
- Une concentration plus stricte sur la sécurité et la stabilité que Linux et FreeBSD
- La meilleure documentation de tout système d'exploitation open source
- Leur innovation est centrée sur ce type de mise en œuvre (voir PFSYNC, FTP-PROXY, CARP, VLAN GESTION, IPSEC, SASYNC, ISTATED, PFLOGD, etc. - Toutes sont incluses dans la base)
- FreeBSD est plusieurs versions sur leur port de PF
- pF est plus élégant et gérable que les iptables, ipchains, IPFW ou IPF
- Processus de configuration/installation plus maigre
Cela dit, si vous connaissez bien Linux ou FreeBSD et que vous n'avez pas le temps d'investir, c'est probablement une meilleure idée d'y aller avec l'un d'entre eux.
pfsense est un pare-feu basé sur FreeBSD, sa caractéristique très riche, facile à configurer, et possède une communauté active ainsi que des options de support. Il y a plusieurs personnes qui l'utilisent dans des situations commerciales/de production actives dans le forum. Je l'utilise à la maison et je le pousse au travail, c'est une alternative très bien placée. Ils ont même un VM image à télécharger pour le tester avec!
Lorsque je travaille, nous utilisons Rhel5 + Quagga & Zebra sur 4 cases pour exécuter le transit pour 450 Mbps. Donc oui, vous pouvez le faire dans l'entreprise et économiser beaucoup d'argent.
Nous faisons de la limitation de la limitation de l'utilisation de TC et utilisons des règles IPTABLES et NOTRACK.
J'ai utilisé OpenBSD 3.9 en tant que pare-feu et est passé à un SSG5 Juniper5.
Comme indiqué par Sh-beta Openbsd comme beaucoup de bonnes caractéristiques: PF est incroyable, TCPDump, beaucoup de bons outils ...
J'ai eu des raisons de passer à genévrier. En particulier, la configuration est rapide et facile. Sur OpenBSD, tout est "un peu compliqué".
pour l'ex: la bande passante est-ce que mon avis est beaucoup plus facile à configurer sur le SSG.
La version openbsd que j'ai utilisée était assez ancienne; Peut-être que la version plus récente est meilleure sur ce point.
Pour la petite entreprise de mon père avec une succursale, j'utilise OpenBSD comme routeur/portefeuille/pare-feu pour le bureau principal et pour la succursale. Il nous a jamais laissé tomber. Nous utilisons un serveur de tour Dell à chaque emplacement. Chaque serveur est équipé d'une carte double gigue, de 8 Go de RAM (de légères surkillées, je sais) et fonctionne bien. La succursale est configurée pour se connecter à la principale de la mise en œuvre IPsec de IPsec et OpenBSD est agréablement facile à utiliser.
J'ai couru OpenBSD (4.9) en production sur notre pare-feu principal pendant un certain temps. C'est un autre vieux ASUS MB avec 2 Go de DDR (1) RAM et un athlon à double noyau (2 GHz). J'ai acheté une carte Intel quadruple (PCI-Express) et utilisée dans le X16 Port graphique. Ne jetez pas vos cartes graphiques PCI si vous vous posez. Vous en aurez besoin sous forme de carte graphique si vous envisagez d'utiliser le port PCI-Express 16x pour le NIC ( à bord de GFX n'a pas fonctionné dans mon cas).
Je sais que ce n'est pas un matériel de classe d'entreprise. Mais ce sont les avantages clairs de cette configuration:
J'ai beaucoup de ces mb couchés et ne manqueront donc jamais de pièces de rechange (se préparez-vous aussi pour la carpe).
La plupart des Bords AMD de plus bon marché prennent en charge la RAM ECC !.
Toutes les pièces du matériel/de rechange sont "de l'étagère" pas cher et stable
Les performances sur ces plates-formes sont excellentes (4x Gbps), même pour notre configuration d'hébergement plutôt lourd!
Utilisez Intel (EM) Gigabit Server Nics.
Une carte qui fonctionne bien est le HP NC360T. C'est Dual Port et PCI-Express.
J'ai dans le passé. Je l'ai installé à l'origine sur certains PC "Whitebox", puis mis à niveau vers un Dell Power Edge 2950. Fournitures de puissance redondantes, disques durs - une amélioration importante du point de vue de la fiabilité. Pas une amélioration observée du cours, nous avons eu de la chance et la Blanche-Boîte ne s'est jamais écrasée, mais théoriquement, nous étions en meilleure forme avec plus de redondance.
Nous ne l'utilisions que pour le filtre à paquets A T1, donc pas une amélioration de la performance notable.
Je ne peux pas parler pour * bsd (encore ... Donnez-moi le temps ...) Mais nous avons exécuté des routeurs Linux depuis plus de 10 ans et les aime. Moins cher, pas de tracas de licence, et si vous regardez les documents, vous trouverez que vous avez la plupart des outils dont vous avez besoin pour faire avancer les choses. Je soupçonnerais que BSD est vraiment dans le même bateau.
Nous exécutons un DL365 G1 avec une prise de processeur unique remplie et 6 Go, bien que le RAM soit principalement destiné à entretenir des boîtes aux lettres ...
Avez-vous envisagé de passer à FreeBSD? OpenBSD ne peut pas utiliser pleinement les systèmes SMP modernes (I.E Core2quad). FreeBSD a PF et IPFW que vous pouvez utiliser simultanément et possède également une couche de réseau non géante.
Nous exécutons des routeurs de logiciels FreeBSD en tant que GATEAUTS WASP pendant des années, cela nous a sauvé beaucoup de $$