各場所にOpenBSDルーターがあり、現在は4Uサーバーケースの汎用「自作」PCハードウェアで実行されています。信頼性の問題とスペースの問題から、サポート付きの適切なサーバーグレードのハードウェアにアップグレードすることを検討しています。
これらのボックスは、各サイトのルーター、ゲートウェイ、およびファイアウォールとして機能します。この時点では、OpenBSDとPfに精通しているため、システムから離れて専用のCiscoハードウェアなどに移行することをためらっています。
現在、システムを一部のHP DLシリーズ1Uマシン(モデルは未定)に移動することを考えています。他の人がこのような設定をビジネスで使用しているのか、または別の設定に移行したのか知りたいです。
FogBugz On Demandに対応するために、OpenBSDルーター/ファイアウォールのみを実行しています。トランジットの役割で運用していて、専用ハードウェアと統合ソフトウェアが提供できる非常に高いppsスループットが必要でない限り、ソリッドハードウェア上のOpenBSDは、より管理しやすく、スケーラブルで、経済的なソリューションになります。
OpenBSDとIOSまたはJUNOS(私の経験では))の比較:
利点
短所
ISPのような環境のバックボーンルーターや、特殊なネットワーク接続と接続するエッジルーターについて話していない限り、OpenBSDで十分です。
ハードウェア
ルーターのパフォーマンスで最も重要なのはNICです。高速なCPUは、受信する1つのパケットごとに割り込みを行う不安定なNICを使用している場合、中程度の負荷ですぐに圧倒されます。少なくとも、割り込みの軽減/統合をサポートするギガビットNICを探します。 Broadcom(bge、bnx)とIntel(em)のドライバーでうまくいきました。
CPU速度は専用ハードウェアよりも重要ですが、心配することはありません。最新のサーバークラスのCPUは、負荷をかける前に大量のトラフィックを処理します。
まともなCPU(複数のコアはまだあまり役に立たないので、生のGHzを見てください)、優れたECC RAM、信頼性の高いハードドライブ、および堅牢なシャーシを入手してください。次に、すべてを2倍にし、2つのノードをアクティブ/パッシブCARPクラスターとして実行します。 4.5のpfsyncアップグレード以降、アクティブ/アクティブで実行できますが、これはテストしていません。
私のルーターは、1Uツインノード構成のロードバランサーと並んで動作しています。各ノードには次のものがあります。
導入以来、非常に安定しています。これに関するすべてはトラフィック負荷に対して過剰ですが、800Mbps以上のスループットをテストしました(NIC制限、CPUはほとんどアイドル状態でした)。 VLANを頻繁に使用するため、これらのルーターは大量の内部トラフィックも処理する必要があります。
各1Uシャーシには2つのノードに電力を供給する単一の700W PSUがあるため、電力効率は素晴らしいです。ルータとバランサを複数のシャーシに分散させたので、シャーシ全体を失う可能性があり、シームレスなフェイルオーバーがかなり可能です(pfsyncとCARPに感謝します)。
オペレーティングシステム
OpenBSDの代わりにLinuxまたはFreeBSDを使用することについて言及している人もいます。私のサーバーのほとんどはFreeBSDですが、いくつかの理由でOpenBSDルーターを好みます。
そうは言っても、LinuxやFreeBSDに精通していて、投資する時間がない場合は、おそらくそのうちの1つを使う方が良いでしょう。
pfsense はFreeBSDベースの優れたファイアウォールで、非常に機能が豊富で、セットアップが簡単で、アクティブなコミュニティとサポートオプションがあります。フォーラムでアクティブな商業/生産状況でそれを使用するいくつかの人々があります。私は家でそれを使用していて、仕事でそれを推進しています。また、ダウンロード用のVMイメージをダウンロードしてテストできます!
私が作業している場所では、RHEL5 +クアッガ&ゼブラを4つのボックスで使用して、450 Mbpsのトランジットを実行しています。だから、はい、あなたは企業でそれを行うことができ、たくさんのお金を節約できます。
TCを使用してレート制限を行い、iptablesとnotrackルールを使用します。
私はファイアウォールとしてOpenBSD 3.9を使用し、Juniper SSG5に切り替えました。
Sh-beta OpenBSDがたくさんの優れた機能として言ったように:pfは素晴らしいです、tcpdump、たくさんの優れたツール...
ジュニパーに切り替える理由がいくつかありました。特に、設定は高速で簡単です。 OpenBSDでは、すべてが「少し複雑」です。
例:帯域幅管理は-私の意見では-SSGで構成する方がはるかに簡単です。
私が使用したOpenBSDのバージョンはかなり古いものでした。たぶん、この点では新しいバージョンの方が良いでしょう。
OpenBSDゲートウェイは、多くのエンタープライズセットアップで使用されています。ネットワーク上に2つのOpenBSDゲートウェイがあります。
OpenBSDの面白いエピソードの1つを今でも覚えています。ハードディスクが停止しましたが、ゲートウェイは何も起こらなかったようにルーティングトラフィックをそのまま実行し、メモリのみからサービスを提供していました。別のインスタンスをセットアップする時間はありました。
ハードウェア要件が非常に低く、Dual Opteron 248は優れています。 CPUが5%を超えることはめったにありません。彼らは非常に安定しています。私は問題なく7年以上使用しています。
ブランチオフィスが1つある父のスモールビジネスでは、OpenBSDをメインオフィスとブランチオフィスの両方のルーター/ゲートウェイ/ファイアウォールとして使用しています。それは私たちを失望させたことはありません。各場所でDell Tower Serverを使用しています。各サーバーには、Dual GiGEカード、8 GBのRAM(少々やりすぎ)が搭載されており、正常に動作します。ブランチオフィスはIPSECを介してメインオフィスに接続するように構成されており、OpenBSDのIPSEC実装は非常に使いやすくなっています。
私はかなり長い間、メインファイアウォールでOpenBSD(4.9)を運用しています。 2 GB DDRを備えたかなり古いASUS MB(1)RAMおよびデュアルコア(2 GHz)Athlon。クアッドポートインテルカード(pci-express)を購入し、x16で使用グラフィックポート。周りに何かある場合はPCIグラフィックカードを捨てないでください。NIC(に16x PCI-expressポートを使用する場合は、グラフィックカードとして必要です。オンボードgfxは私の場合は機能しませんでした)。
「エンタープライズクラス」のハードウェアではないことは知っています。しかし、これらはこのセットアップの明らかな利点です:
私はこれらのMBをたくさん使用しているため、スペアパーツが不足することはありません(CARPの準備もしています)。
最も安価なAMDボードはECC RAMをサポートしています!。
すべてのハードウェア/スペアパーツは「既製」で安価で安定しています
これらのリグのパフォーマンスは素晴らしい(4x Gbps)で、かなり重いホスティングセットアップであっても!
Intel(em)Gigabit Server NICを使用します。
うまく機能するカードの1つはHP NC360Tです。デュアルポートであり、pci-expressです。
私は過去に持っています。一部の「ホワイトボックス」PCに最初にインストールしてから、Dell Power Edge 2950にアップグレードしました。冗長電源、ハードドライブ-信頼性の観点から大幅に改善されました。もちろん、観察された改善ではなく、ラッキーになり、ホワイトボックスがクラッシュすることはありませんでしたが、理論的には、より多くの冗長性でより良い状態にありました。
T1のパケットフィルターにのみ使用していたため、顕著なパフォーマンスの向上はありませんでした。
* BSDについて話すことはできません(まだ...時間をかけてください...)が、10年以上Linuxルーターを実行しており、愛用しています。より安価で、ライセンスの面倒はありません。ドキュメントを見ると、物事を成し遂げるために必要なほとんどのツールが揃っています。 BSDは非常に同じボートにいると思います。
RAMは主にメールボックスのサービス用ですが...)、シングルプロセッサソケットと6GbでDL365 G1を実行しています...
FreeBSDへの切り替えを検討しましたか? OpenBSDは、最新のSMPシステム(つまり、Core2Quad)を完全には利用できません。 FreeBSDには、同時に使用できるpfとipfwがあり、GIANT以外のネットワーキングレイヤーもあります。
私たちは何年もの間、ISPゲートウェイとしてソフトウェアFreeBSDルーターを実行してきました。これにより、$$を大幅に節約できました