web-dev-qa-db-ja.com

企業のルーターとしてOpenBSDを使用している人はいますか?どのハードウェアで実行していますか?

各場所にOpenBSDルーターがあり、現在は4Uサーバーケースの汎用「自作」PCハードウェアで実行されています。信頼性の問題とスペースの問題から、サポート付きの適切なサーバーグレードのハードウェアにアップグレードすることを検討しています。

これらのボックスは、各サイトのルーター、ゲートウェイ、およびファイアウォールとして機能します。この時点では、OpenBSDとPfに精通しているため、システムから離れて専用のCiscoハードウェアなどに移行することをためらっています。

現在、システムを一部のHP DLシリーズ1Uマシン(モデルは未定)に移動することを考えています。他の人がこのような設定をビジネスで使用しているのか、または別の設定に移行したのか知りたいです。

26
Kamil Kisiel

FogBugz On Demandに対応するために、OpenBSDルーター/ファイアウォールのみを実行しています。トランジットの役割で運用していて、専用ハードウェアと統合ソフトウェアが提供できる非常に高いppsスループットが必要でない限り、ソリッドハードウェア上のOpenBSDは、より管理しやすく、スケーラブルで、経済的なソリューションになります。

OpenBSDとIOSまたはJUNOS(私の経験では))の比較:

利点

  • Pfファイアウォールは、柔軟性、管理しやすい構成、および他のサービスへの統合(spamd、ftp-proxyなどとシームレスに連携)の点で比類のないものです。設定例は、それを正しく行いません。
  • ゲートウェイで* nixのすべてのツールを取得します:syslog、grep、netcat、tcpdump、systat、top、cronなど。
  • 必要に応じてツールを追加できます。iperfとiftopが非常に便利です。
  • tcpdump。十分に言った。
  • Unix退役軍人向けの直感的な設定
  • 既存の構成管理(cfengine、puppet、スクリプトなど)とのシームレスな統合。
  • 次世代の機能は無料で、アドオンモジュールは必要ありません。
  • パフォーマンスの追加は安価です
  • サポート契約なし

短所

  • IOS/JUNOSにより、構成全体のダンプ/ロードがより簡単になります。構成管理ツールがない場合は、構成が作成されると展開が容易になります。
  • 一部のインターフェイスは、OpenBSDで使用できない、または安定していない(たとえば、十分にサポートされているATM DS3カードがないことを知っている)。
  • ハイエンドの専用Cisco/Juniperタイプのデバイスは、サーバーハードウェアよりも高いppsを処理します
  • サポート契約なし

ISPのような環境のバックボーンルーターや、特殊なネットワーク接続と接続するエッジルーターについて話していない限り、OpenBSDで十分です。

ハードウェア

ルーターのパフォーマンスで最も重要なのはNICです。高速なCPUは、受信する1つのパケットごとに割り込みを行う不安定なNICを使用している場合、中程度の負荷ですぐに圧倒されます。少なくとも、割り込みの軽減/統合をサポートするギガビットNICを探します。 Broadcom(bge、bnx)とIntel(em)のドライバーでうまくいきました。

CPU速度は専用ハードウェアよりも重要ですが、心配することはありません。最新のサーバークラスのCPUは、負荷をかける前に大量のトラフィックを処理します。

まともなCPU(複数のコアはまだあまり役に立たないので、生のGHzを見てください)、優れたECC RAM、信頼性の高いハードドライブ、および堅牢なシャーシを入手してください。次に、すべてを2倍にし、2つのノードをアクティブ/パッシブCARPクラスターとして実行します。 4.5のpfsyncアップグレード以降、アクティブ/アクティブで実行できますが、これはテストしていません。

私のルーターは、1Uツインノード構成のロードバランサーと並んで動作しています。各ノードには次のものがあります。

  • Supermicro SYS-1025TC-TBシャーシ(内蔵IntelギガビットNIC)
  • Xeon Harpertown Quad Core 2GHz CPU(私のロードバランサーは複数のコアを使用しています)
  • 4GB Kingston ECC Registered RAM
  • デュアルポートIntel GigabitアドインNIC

導入以来、非常に安定しています。これに関するすべてはトラフィック負荷に対して過剰ですが、800Mbps以上のスループットをテストしました(NIC制限、CPUはほとんどアイドル状態でした)。 VLANを頻繁に使用するため、これらのルーターは大量の内部トラフィックも処理する必要があります。

各1Uシャーシには2つのノードに電力を供給する単一の700W PSUがあるため、電力効率は素晴らしいです。ルータとバランサを複数のシャーシに分散させたので、シャーシ全体を失う可能性があり、シームレスなフェイルオーバーがかなり可能です(pfsyncとCARPに感謝します)。

オペレーティングシステム

OpenBSDの代わりにLinuxまたはFreeBSDを使用することについて言及している人もいます。私のサーバーのほとんどはFreeBSDですが、いくつかの理由でOpenBSDルーターを好みます。

  • LinuxやFreeBSDよりもセキュリティと安定性に重点を置く
  • あらゆるオープンソースOSの最高のドキュメント
  • 彼らのイノベーションは、このタイプの実装を中心にしています(pfsync、ftp-proxy、carp、vlan管理、ipsec、sasync、ifstated、pflogdなどを参照してください-これらはすべてベースに含まれています)。
  • FreeBSDは、pfの移植で複数のリリースが遅れています
  • pfは、iptables、ipchains、ipfw、またはipfよりもエレガントで管理しやすい
  • 無駄のないセットアップ/インストールプロセス

そうは言っても、LinuxやFreeBSDに精通していて、投資する時間がない場合は、おそらくそのうちの1つを使う方が良いでしょう。

43
sh-beta

pfsense はFreeBSDベースの優れたファイアウォールで、非常に機能が豊富で、セットアップが簡単で、アクティブなコミュニティとサポートオプションがあります。フォーラムでアクティブな商業/生産状況でそれを使用するいくつかの人々があります。私は家でそれを使用していて、仕事でそれを推進しています。また、ダウンロード用のVMイメージをダウンロードしてテストできます!

8
Chance

私が作業している場所では、RHEL5 +クアッガ&ゼブラを4つのボックスで使用して、450 Mbpsのトランジットを実行しています。だから、はい、あなたは企業でそれを行うことができ、たくさんのお金を節約できます。

TCを使用してレート制限を行い、iptablesとnotrackルールを使用します。

2
pjd

私はファイアウォールとしてOpenBSD 3.9を使用し、Juniper SSG5に切り替えました。

Sh-beta OpenBSDがたくさんの優れた機能として言ったように:pfは素晴らしいです、tcpdump、たくさんの優れたツール...

ジュニパーに切り替える理由がいくつかありました。特に、設定は高速で簡単です。 OpenBSDでは、すべてが「少し複雑」です。

例:帯域幅管理は-私の意見では-SSGで構成する方がはるかに簡単です。

私が使用したOpenBSDのバージョンはかなり古いものでした。たぶん、この点では新しいバージョンの方が良いでしょう。

2
Matthieu

OpenBSDゲートウェイは、多くのエンタープライズセットアップで使用されています。ネットワーク上に2つのOpenBSDゲートウェイがあります。

OpenBSDの面白いエピソードの1つを今でも覚えています。ハードディスクが停止しましたが、ゲートウェイは何も起こらなかったようにルーティングトラフィックをそのまま実行し、メモリのみからサービスを提供していました。別のインスタンスをセットアップする時間はありました。

ハードウェア要件が非常に低く、Dual Opteron 248は優れています。 CPUが5%を超えることはめったにありません。彼らは非常に安定しています。私は問題なく7年以上使用しています。

1
Adrian Thompson

ブランチオフィスが1つある父のスモールビジネスでは、OpenBSDをメインオフィスとブランチオフィスの両方のルーター/ゲートウェイ/ファイアウォールとして使用しています。それは私たちを失望させたことはありません。各場所でDell Tower Serverを使用しています。各サーバーには、Dual GiGEカード、8 GBのRAM(少々やりすぎ)が搭載されており、正常に動作します。ブランチオフィスはIPSECを介してメインオフィスに接続するように構成されており、OpenBSDのIPSEC実装は非常に使いやすくなっています。

1
Matt

私はかなり長い間、メインファイアウォールでOpenBSD(4.9)を運用しています。 2 GB DDRを備えたかなり古いASUS MB(1)RAMおよびデュアルコア(2 GHz)Athlon。クアッドポートインテルカード(pci-express)を購入し、x16で使用グラフィックポート。周りに何かある場合はPCIグラフィックカードを捨てないでください。NIC(に16x PCI-expressポートを使用する場合は、グラフィックカードとして必要です。オンボードgfxは私の場合は機能しませんでした)。

「エンタープライズクラス」のハードウェアではないことは知っています。しかし、これらはこのセットアップの明らかな利点です:

  • 私はこれらのMBをたくさん使用しているため、スペアパーツが不足することはありません(CARPの準備もしています)。

  • 最も安価なAMDボードはECC RAMをサポートしています!。

  • すべてのハードウェア/スペアパーツは「既製」で安価で安定しています

  • これらのリグのパフォーマンスは素晴らしい(4x Gbps)で、かなり重いホスティングセットアップであっても!

1
Brian Simonsen

Intel(em)Gigabit Server NICを使用します。

うまく機能するカードの1つはHP NC360Tです。デュアルポートであり、pci-expressです。

0
BDP

私は過去に持っています。一部の「ホワイトボックス」PCに最初にインストールしてから、Dell Power Edge 2950にアップグレードしました。冗長電源、ハードドライブ-信頼性の観点から大幅に改善されました。もちろん、観察された改善ではなく、ラッキーになり、ホワイトボックスがクラッシュすることはありませんでしたが、理論的には、より多くの冗長性でより良い状態にありました。

T1のパケットフィルターにのみ使用していたため、顕著なパフォーマンスの向上はありませんでした。

0
Kyle Hodgson

* BSDについて話すことはできません(まだ...時間をかけてください...)が、10年以上Linuxルーターを実行しており、愛用しています。より安価で、ライセンスの面倒はありません。ドキュメントを見ると、物事を成し遂げるために必要なほとんどのツールが揃っています。 BSDは非常に同じボートにいると思います。

RAMは主にメールボックスのサービス用ですが...)、シングルプロセッサソケットと6GbでDL365 G1を実行しています...

0
Avery Payne

FreeBSDへの切り替えを検討しましたか? OpenBSDは、最新のSMPシステム(つまり、Core2Quad)を完全には利用できません。 FreeBSDには、同時に使用できるpfとipfwがあり、GIANT以外のネットワーキングレイヤーもあります。

私たちは何年もの間、ISPゲートウェイとしてソフトウェアFreeBSDルーターを実行してきました。これにより、$$を大幅に節約できました

0
SaveTheRbtz