企業のルーターとしてOpenBSDを使用している人はいますか?どのハードウェアで実行していますか?
各場所にOpenBSDルーターがあり、現在は4Uサーバーケースの汎用「自作」PCハードウェアで実行されています。信頼性の問題とスペースの問題から、サポート付きの適切なサーバーグレードのハードウェアにアップグレードすることを検討しています。
これらのボックスは、各サイトのルーター、ゲートウェイ、およびファイアウォールとして機能します。この時点では、OpenBSDとPfに精通しているため、システムから離れて専用のCiscoハードウェアなどに移行することをためらっています。
現在、システムを一部のHP DLシリーズ1Uマシン(モデルは未定)に移動することを考えています。他の人がこのような設定をビジネスで使用しているのか、または別の設定に移行したのか知りたいです。
FogBugz On Demandに対応するために、OpenBSDルーター/ファイアウォールのみを実行しています。トランジットの役割で運用していて、専用ハードウェアと統合ソフトウェアが提供できる非常に高いppsスループットが必要でない限り、ソリッドハードウェア上のOpenBSDは、より管理しやすく、スケーラブルで、経済的なソリューションになります。
OpenBSDとIOSまたはJUNOS(私の経験では))の比較:
利点
- Pfファイアウォールは、柔軟性、管理しやすい構成、および他のサービスへの統合(spamd、ftp-proxyなどとシームレスに連携)の点で比類のないものです。設定例は、それを正しく行いません。
- ゲートウェイで* nixのすべてのツールを取得します:syslog、grep、netcat、tcpdump、systat、top、cronなど。
- 必要に応じてツールを追加できます。iperfとiftopが非常に便利です。
- tcpdump。十分に言った。
- Unix退役軍人向けの直感的な設定
- 既存の構成管理(cfengine、puppet、スクリプトなど)とのシームレスな統合。
- 次世代の機能は無料で、アドオンモジュールは必要ありません。
- パフォーマンスの追加は安価です
- サポート契約なし
短所
- IOS/JUNOSにより、構成全体のダンプ/ロードがより簡単になります。構成管理ツールがない場合は、構成が作成されると展開が容易になります。
- 一部のインターフェイスは、OpenBSDで使用できない、または安定していない(たとえば、十分にサポートされているATM DS3カードがないことを知っている)。
- ハイエンドの専用Cisco/Juniperタイプのデバイスは、サーバーハードウェアよりも高いppsを処理します
- サポート契約なし
ISPのような環境のバックボーンルーターや、特殊なネットワーク接続と接続するエッジルーターについて話していない限り、OpenBSDで十分です。
ハードウェア
ルーターのパフォーマンスで最も重要なのはNICです。高速なCPUは、受信する1つのパケットごとに割り込みを行う不安定なNICを使用している場合、中程度の負荷ですぐに圧倒されます。少なくとも、割り込みの軽減/統合をサポートするギガビットNICを探します。 Broadcom(bge、bnx)とIntel(em)のドライバーでうまくいきました。
CPU速度は専用ハードウェアよりも重要ですが、心配することはありません。最新のサーバークラスのCPUは、負荷をかける前に大量のトラフィックを処理します。
まともなCPU(複数のコアはまだあまり役に立たないので、生のGHzを見てください)、優れたECC RAM、信頼性の高いハードドライブ、および堅牢なシャーシを入手してください。次に、すべてを2倍にし、2つのノードをアクティブ/パッシブCARPクラスターとして実行します。 4.5のpfsyncアップグレード以降、アクティブ/アクティブで実行できますが、これはテストしていません。
私のルーターは、1Uツインノード構成のロードバランサーと並んで動作しています。各ノードには次のものがあります。
- Supermicro SYS-1025TC-TBシャーシ(内蔵IntelギガビットNIC)
- Xeon Harpertown Quad Core 2GHz CPU(私のロードバランサーは複数のコアを使用しています)
- 4GB Kingston ECC Registered RAM
- デュアルポートIntel GigabitアドインNIC
導入以来、非常に安定しています。これに関するすべてはトラフィック負荷に対して過剰ですが、800Mbps以上のスループットをテストしました(NIC制限、CPUはほとんどアイドル状態でした)。 VLANを頻繁に使用するため、これらのルーターは大量の内部トラフィックも処理する必要があります。
各1Uシャーシには2つのノードに電力を供給する単一の700W PSUがあるため、電力効率は素晴らしいです。ルータとバランサを複数のシャーシに分散させたので、シャーシ全体を失う可能性があり、シームレスなフェイルオーバーがかなり可能です(pfsyncとCARPに感謝します)。
オペレーティングシステム
OpenBSDの代わりにLinuxまたはFreeBSDを使用することについて言及している人もいます。私のサーバーのほとんどはFreeBSDですが、いくつかの理由でOpenBSDルーターを好みます。
- LinuxやFreeBSDよりもセキュリティと安定性に重点を置く
- あらゆるオープンソースOSの最高のドキュメント
- 彼らのイノベーションは、このタイプの実装を中心にしています(pfsync、ftp-proxy、carp、vlan管理、ipsec、sasync、ifstated、pflogdなどを参照してください-これらはすべてベースに含まれています)。
- FreeBSDは、pfの移植で複数のリリースが遅れています
- pfは、iptables、ipchains、ipfw、またはipfよりもエレガントで管理しやすい
- 無駄のないセットアップ/インストールプロセス
そうは言っても、LinuxやFreeBSDに精通していて、投資する時間がない場合は、おそらくそのうちの1つを使う方が良いでしょう。
pfsense はFreeBSDベースの優れたファイアウォールで、非常に機能が豊富で、セットアップが簡単で、アクティブなコミュニティとサポートオプションがあります。フォーラムでアクティブな商業/生産状況でそれを使用するいくつかの人々があります。私は家でそれを使用していて、仕事でそれを推進しています。また、ダウンロード用のVMイメージをダウンロードしてテストできます!
私が作業している場所では、RHEL5 +クアッガ&ゼブラを4つのボックスで使用して、450 Mbpsのトランジットを実行しています。だから、はい、あなたは企業でそれを行うことができ、たくさんのお金を節約できます。
TCを使用してレート制限を行い、iptablesとnotrackルールを使用します。
私はファイアウォールとしてOpenBSD 3.9を使用し、Juniper SSG5に切り替えました。
Sh-beta OpenBSDがたくさんの優れた機能として言ったように:pfは素晴らしいです、tcpdump、たくさんの優れたツール...
ジュニパーに切り替える理由がいくつかありました。特に、設定は高速で簡単です。 OpenBSDでは、すべてが「少し複雑」です。
例:帯域幅管理は-私の意見では-SSGで構成する方がはるかに簡単です。
私が使用したOpenBSDのバージョンはかなり古いものでした。たぶん、この点では新しいバージョンの方が良いでしょう。
OpenBSDゲートウェイは、多くのエンタープライズセットアップで使用されています。ネットワーク上に2つのOpenBSDゲートウェイがあります。
OpenBSDの面白いエピソードの1つを今でも覚えています。ハードディスクが停止しましたが、ゲートウェイは何も起こらなかったようにルーティングトラフィックをそのまま実行し、メモリのみからサービスを提供していました。別のインスタンスをセットアップする時間はありました。
ハードウェア要件が非常に低く、Dual Opteron 248は優れています。 CPUが5%を超えることはめったにありません。彼らは非常に安定しています。私は問題なく7年以上使用しています。
ブランチオフィスが1つある父のスモールビジネスでは、OpenBSDをメインオフィスとブランチオフィスの両方のルーター/ゲートウェイ/ファイアウォールとして使用しています。それは私たちを失望させたことはありません。各場所でDell Tower Serverを使用しています。各サーバーには、Dual GiGEカード、8 GBのRAM(少々やりすぎ)が搭載されており、正常に動作します。ブランチオフィスはIPSECを介してメインオフィスに接続するように構成されており、OpenBSDのIPSEC実装は非常に使いやすくなっています。
私はかなり長い間、メインファイアウォールでOpenBSD(4.9)を運用しています。 2 GB DDRを備えたかなり古いASUS MB(1)RAMおよびデュアルコア(2 GHz)Athlon。クアッドポートインテルカード(pci-express)を購入し、x16で使用グラフィックポート。周りに何かある場合はPCIグラフィックカードを捨てないでください。NIC(に16x PCI-expressポートを使用する場合は、グラフィックカードとして必要です。オンボードgfxは私の場合は機能しませんでした)。
「エンタープライズクラス」のハードウェアではないことは知っています。しかし、これらはこのセットアップの明らかな利点です:
私はこれらのMBをたくさん使用しているため、スペアパーツが不足することはありません(CARPの準備もしています)。
最も安価なAMDボードはECC RAMをサポートしています!。
すべてのハードウェア/スペアパーツは「既製」で安価で安定しています
これらのリグのパフォーマンスは素晴らしい(4x Gbps)で、かなり重いホスティングセットアップであっても!
Intel(em)Gigabit Server NICを使用します。
うまく機能するカードの1つはHP NC360Tです。デュアルポートであり、pci-expressです。
私は過去に持っています。一部の「ホワイトボックス」PCに最初にインストールしてから、Dell Power Edge 2950にアップグレードしました。冗長電源、ハードドライブ-信頼性の観点から大幅に改善されました。もちろん、観察された改善ではなく、ラッキーになり、ホワイトボックスがクラッシュすることはありませんでしたが、理論的には、より多くの冗長性でより良い状態にありました。
T1のパケットフィルターにのみ使用していたため、顕著なパフォーマンスの向上はありませんでした。
* BSDについて話すことはできません(まだ...時間をかけてください...)が、10年以上Linuxルーターを実行しており、愛用しています。より安価で、ライセンスの面倒はありません。ドキュメントを見ると、物事を成し遂げるために必要なほとんどのツールが揃っています。 BSDは非常に同じボートにいると思います。
RAMは主にメールボックスのサービス用ですが...)、シングルプロセッサソケットと6GbでDL365 G1を実行しています...
FreeBSDへの切り替えを検討しましたか? OpenBSDは、最新のSMPシステム(つまり、Core2Quad)を完全には利用できません。 FreeBSDには、同時に使用できるpfとipfwがあり、GIANT以外のネットワーキングレイヤーもあります。
私たちは何年もの間、ISPゲートウェイとしてソフトウェアFreeBSDルーターを実行してきました。これにより、$$を大幅に節約できました