Freebsd hay Linux? như bộ định tuyến BGP trên 100mbps

10

Tôi đang xây dựng một máy chủ để hoạt động như một bộ định tuyến biên giới BGP cho đường lên 100mbps của mình trong ISP.

Tôi cần những tính năng này:

1) Định tuyến / định tuyến BGP ngăn xếp kép (tối thiểu 100Mb / giây, có thể nhiều hơn). 2) Tiềm năng BGP internet đầy đủ tiềm năng. 3) Một số chức năng ACL cơ bản.

Phần cứng là ram L3426 / 8G. NIC sẽ có cổng kép Broadcom 5716.

Tôi đã làm việc với Linux rất nhiều trước đây và dường như nó có thể xử lý 100mbps, nhưng tôi nghe nói FreeBSD nhanh hơn trên các công cụ mạng. Tôi nên sử dụng cái nào? Và chúng ta có một số điểm chuẩn hiệu suất ngoài kia không?

Chúc mừng.

linux  networking  performance  bgp 
cuống lá
nguồn
1
bất kỳ lý do tại sao bạn không sử dụng bộ định tuyến cisco bgp? Thật không may, hầu hết các isp cho phép khách hàng chạy bgp chỉ định yêu cầu này về 'khả năng tương thích'
The Unix Janitor
9
Em, lần đầu tiên tôi nghe nói về hạn chế đó và tôi làm việc trên một mạng bắt đầu với Quagga / Debian trên Dell PowerEdge, cho đến bộ Juniper và Cisco bây giờ. Cũng giao dịch với rất nhiều nhà cung cấp và trao đổi quá cảnh khác nhau. Nếu một ISP đang đặt ra một hạn chế như vậy, hãy thay thế chúng bằng một người có thẩm quyền.
Niall Donegan
1
Lưu ý bên cạnh, vì đó là một bộ định tuyến, tôi rất khuyên bạn nên đặt một thẻ NIC ở đó để dự phòng. Nếu thiết bị trên bo mạch bị hỏng, bạn sẽ thay thế mobo thay vì đổi thẻ PCIe nhanh.
Chris S
1
Bạn đang lãng phí tiền bạc. Một hộp giá rẻ từ Mikrotik (ví dụ: RougerBoard 1100AH) có thể xử lý việc này với giá thấp hơn và dựa trên linux.
TomTom
Một số người đã đề nghị sử dụng một nic chuyên dụng chứ không phải những chiếc Broadcom trên tàu. Blog Serverfault có một vài bài viết thú vị về điều này.
ollybee

Câu trả lời:

11

Chúng tôi đã thực hiện chính xác điều này cho cơ sở hạ tầng quan trọng trong nhiều năm. Chúng tôi có ba nguồn cấp dữ liệu BGP ngược dòng đầy đủ thông qua Quagga bgpdvà nó sử dụng bộ nhớ RAM 658 MB để chạy toàn bộ hệ thống. Với mục đích này, Debian chắc chắn hơn nhiều so với các HĐH khác theo kinh nghiệm của chúng tôi (và nó cũng cần ít cập nhật bảo mật hơn với số lượng cài đặt tối thiểu, gây ra số lần khởi động lại ít hơn nhiều so với hai HĐH khác mà chúng tôi đã thử). Chúng tôi sử dụng Ksplice vì vậy chúng tôi chỉ khởi động để cập nhật gói quan trọng. Đừng lo lắng về khả năng tương thích với các nhà cung cấp khác tại ISP của bạn ... RIPE RIR sử dụng Quagga!

Đáng ngạc nhiên là phần cứng không quan trọng lắm, đó là tất cả về các NIC. CPU nhanh về cơ bản chỉ có nghĩa là tiền tố tải nhanh hơn nếu bạn làm mới các phiên (giả sử bạn đã có GB RAM và chúng tải vào bộ nhớ), do đó, Quad Core cấp nhập cảnh được quy định quá mức. Chúng tôi đã dành một thời gian dài để thử các NIC khác nhau và theo kinh nghiệm của chúng tôi, tốt nhất là các thẻ Intel sử dụng igbtrình điều khiển (với giá khoảng 100 bảng / NIC, chúng tôi sử dụng: 82576, Bộ điều hợp máy chủ cổng kép ET) vớie1000đến thứ hai Có một vài điều cần cân nhắc như cách các máy chủ xâm nhập và đi ra của bạn nói chuyện với bo mạch chính nhưng với 250Mb / giây phụ có thể bạn sẽ không nhận thấy nếu bạn sử dụng các NIC này. Chúng tôi đã đẩy lùi một cuộc tấn công DDDP UDP tinh vi bằng kiến ​​trúc này (nó đã sử dụng các gói UDP nhỏ nhất mà các bộ định tuyến đấu tranh để xử lý). Lưu ý rằng có thể xử lý số lượng gói cao nhất là điều bạn quan tâm nhất và không nhất thiết là thông lượng, được đo bằng Mbps. Với rất ít tiền, chúng tôi đã chỉ định một bộ định tuyến đa tốc độ Gigabit có thể xử lý các gói kích thước Internet tiêu chuẩn, tức là hoạt động bình thường, lên tới 850Mb / giây!

Tôi đã bắt đầu với Cisco ( bgpdcấu hình của nó gần như giống hệt nhau vì vậy nếu bạn có kinh nghiệm với bộ công cụ của Cisco thì đó là một quá trình chuyển đổi rất nhanh) nhưng vì Linux rất dễ uốn nắn (ví dụ: có thể thêm một vài tập lệnh tài nguyên thấp vào bộ định tuyến của bạn để giúp báo cáo và quản trị viên) IMHO làm cho nó cực kỳ mạnh mẽ (và bị đánh giá thấp) cho loại thiết lập này. Bạn không thể đọc sai một số lưu trữ danh sách Nanog Mailing nếu bạn vẫn còn nghi ngờ hoặc cần trợ giúp thêm.

Điều này sẽ giúp bạn bắt đầu khá nhanh trên Debian: Easy Quagga Tutorial

Jonathan Ross
nguồn
Lợi ích khác của việc chạy Linux là bạn có thể dễ dàng định hình lưu lượng truy cập của mình tcsau đường cong học tập ban đầu của tc. Tuy nhiên, một lời cảnh báo là việc chạy IPtables trên hộp chuyển tiếp của bạn sẽ giảm đáng kể hiệu năng của kernel trong các cuộc tấn công so với những gì chúng ta đã thấy.
Jonathan Ross
Tôi muốn nghe nhiều hơn về vấn đề bo mạch chủ nic <->. Ngoài ra, bạn có thể xử lý bao nhiêu pps?
Joris
Trên kích thước gói trung bình của chúng tôi (chủ yếu là HTTP, SMTP, DNS), chúng tôi nên quản lý 850Mbps song công. DDoS là 120.000 pps của gói UDP 64 byte. Ảnh hưởng không đáng kể đến hiệu suất nhưng chúng tôi không đẩy được lưu lượng truy cập lớn khi nó đạt được.
Jonathan Ross
Chúng tôi đã chọn một bo mạch chủ có hai khe cắm PCIe nhanh không được kết nối để bộ đệm không bị nghẽn cổ chai. Tôi quên thuật ngữ này vì đã lâu rồi chúng tôi mới mua phần cứng. Một cho đi ra, một cho xâm nhập. Tiêu chuẩn khá những ngày này.
Jonathan Ross
5

Cả hai đều là những nền tảng có khả năng. Chạy một cái gì đó vững chắc như Debian hoặc Centos, trên phần cứng loại máy chủ tốt. Hãy chắc chắn rằng bạn chỉ định các máy chủ có NIC của Intel Server, chúng tốt hơn nhiều so với Broadcomm về tính ổn định.

Theo như BSD vs Linux, thật dễ dàng .. Chọn bất cứ ai bạn có năng lực nhất.

Tom O'Connor
nguồn
5
+1, FreeBSD thường có thể vượt qua Linux về điểm chuẩn, nhưng sự khác biệt (nếu có) là quá nhỏ đến mức bạn chỉ cần chọn nền tảng mà bạn thấy thoải mái nhất.
Chris S
3

Tôi đã thấy các Celerons cũ xử lý 80-90Mb / giây lưu lượng truy cập bình thường trên thiết lập Debian / Quagga với 3 nguồn cấp dữ liệu đầy đủ mà không bị đổ mồ hôi. Tuy nhiên, vòng loại có lưu lượng "bình thường", chủ yếu là HTTP / SMTP và DNS. Các máy tương tự đã rơi thẳng trên mặt họ trong các tình huống DDOS trong đó Gói mỗi giây đi đến số lượng lớn các gói UDP chủ yếu.

Thông thường, đó không phải là băng thông mà bạn thường phải lo lắng, mà là PPS bạn sẽ xử lý.

Thật không may, tôi không thể giúp bạn trên Linux VS BSD để định tuyến phần hiệu năng của câu hỏi, nhưng nó không tạo ra bất kỳ sự khác biệt nào trên phần cứng hàng hóa hiện tại cho một vài kết nối 100Mb.

Niall Donegan
nguồn
2
"hiệu suất định tuyến" thì không. Đó là "hiệu suất chuyển tiếp", thực sự.
poige
Cảnh sát công bằng, guv! :)
Niall Donegan
0

Quagga (Zebra) hoạt động cả trên Linux và BSD. Hiệu suất mạng của Linux không tệ hơn BSD. Vì vậy, bạn còn lại để xem xét các tiêu chí bổ sung để chọn nền tảng.

sẵn sàng
nguồn
0

Điểm dữ liệu:

Tôi đang chạy một cặp máy chủ Dell R200 trên Fedora, một trong số đó đã đạt đỉnh 500 Mbps với NAT, iptables, LVS, quagga, bgpd qua liên kết 1GigE. Với tốc độ 100Mb / giây, mọi phần cứng hiện đại đều phải hoạt động tốt. Để xử lý các bảng đầy đủ, bạn sẽ có thể tham khảo các yêu cầu RAM tương ứng từ Cisco hoặc Juniper và đi từ đó. 1 GB RAM là đủ ngay cả khi không có bộ lọc. Các bộ định tuyến của tôi chạy với cấu hình 2 GB nhưng tôi chỉ lấy các tuyến mặc định.

dmourati
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.