Có ai khác sử dụng OpenBSD làm bộ định tuyến trong doanh nghiệp không? Bạn đang chạy nó trên phần cứng nào? [đóng cửa]


26

Chúng tôi có bộ định tuyến OpenBSD tại mỗi địa điểm của chúng tôi, hiện đang chạy trên phần cứng PC "homebrew" chung trong trường hợp máy chủ 4U. Do những lo ngại về độ tin cậy và cân nhắc về không gian, chúng tôi đang xem xét nâng cấp chúng lên một số phần cứng cấp máy chủ phù hợp với sự hỗ trợ, v.v.

Các hộp này phục vụ như các bộ định tuyến, cổng và tường lửa tại mỗi trang web. Tại thời điểm này, chúng tôi khá quen thuộc với OpenBSD và Pf, do đó, do dự khi chuyển từ hệ thống sang một thứ khác như phần cứng chuyên dụng của Cisco.

Tôi hiện đang nghĩ đến việc chuyển các hệ thống sang một số máy 1U HP DL-series (mô hình chưa được xác định). Tôi tò mò muốn biết liệu những người khác sử dụng một thiết lập như thế này trong doanh nghiệp của họ, hoặc đã di chuyển đến hoặc rời khỏi một.


1
Tôi tìm thấy câu trả lời đã giúp chúng tôi vì chúng tôi đã chạy bsd mở trong 9 năm và bắt đầu suy nghĩ để chuyển sang jos vì vấn đề năng lượng trong trung tâm dữ liệu. Bây giờ tôi sẽ suy nghĩ lại khi tôi nghĩ rằng chúng ta đã đánh giá thấp những lợi ích của việc chạy trên một nền tảng mở.

Câu trả lời:


43

Chúng tôi chạy độc quyền các bộ định tuyến / tường lửa OpenBSD để phục vụ FogBugz theo yêu cầu. Trừ khi bạn đang hoạt động trong vai trò vận chuyển và cần thông lượng pps cực cao mà phần cứng tích hợp và phần mềm tích hợp có thể cung cấp, OpenBSD trên phần cứng vững chắc sẽ là một giải pháp kinh tế, dễ mở rộng và dễ quản lý hơn.

So sánh OpenBSD với IOS hoặc JUNOS (theo kinh nghiệm của tôi):

Ưu điểm

  • Tường lửa pf không thể so sánh về tính linh hoạt, cấu hình có thể quản lý và tích hợp vào các dịch vụ khác (hoạt động hoàn hảo với spamd, ftp-proxy, v.v.). Các ví dụ cấu hình không làm điều đó công lý.
  • Bạn nhận được tất cả các công cụ của một * nix trên cổng của bạn: syslog, grep, netcat, tcpdump, systat, top, cron, v.v.
  • Bạn có thể thêm các công cụ khi cần thiết: iperf và iftop Tôi thấy rất hữu ích
  • tcpdump. Đủ nói.
  • Cấu hình trực quan cho các cựu chiến binh Unix
  • Tích hợp liền mạch với quản lý cấu hình hiện có (cengine, con rối, tập lệnh, bất cứ điều gì).
  • Các tính năng gen tiếp theo là miễn phí và không yêu cầu các mô-đun bổ trợ.
  • Thêm hiệu suất là giá rẻ
  • Không có hợp đồng hỗ trợ

Nhược điểm

  • IOS / JUNOS giúp đơn giản hơn để kết xuất / tải toàn bộ cấu hình. Không có bất kỳ công cụ quản lý cấu hình nào, chúng sẽ dễ triển khai hơn khi cấu hình của bạn được viết.
  • Một số giao diện đơn giản là không có sẵn hoặc ổn định trên OpenBSD (ví dụ: tôi biết không có thẻ ATM DS3 được hỗ trợ tốt).
  • Các thiết bị loại Cisco / Juniper chuyên dụng cao cấp sẽ xử lý pps cao hơn phần cứng máy chủ
  • Không có hợp đồng hỗ trợ

Miễn là bạn không nói về các bộ định tuyến đường trục trong môi trường giống như ISP hoặc bộ định tuyến biên giao tiếp với các kết nối mạng chuyên dụng, OpenBSD sẽ ổn.

Phần cứng

Điều quan trọng nhất đối với hiệu suất bộ định tuyến của bạn là các NIC của bạn. Một CPU nhanh sẽ nhanh chóng bị quá tải dưới mức tải vừa phải nếu bạn có các NIC thông minh làm gián đoạn cho mọi gói tin chúng nhận được. Tìm kiếm các gigabit NIC hỗ trợ giảm thiểu gián đoạn / liên kết ít nhất. Tôi đã có may mắn với trình điều khiển Broadcom (bge, bnx) và Intel (em).

Tốc độ CPU quan trọng hơn trong phần cứng chuyên dụng, nhưng không có gì phải băn khoăn. Bất kỳ CPU lớp máy chủ hiện đại nào cũng sẽ xử lý một tấn lưu lượng trước khi hiển thị bất kỳ biến dạng nào.

Lấy cho mình một CPU tốt (nhiều lõi chưa giúp được nhiều, vì vậy hãy nhìn vào GHz thô) RAM ECC tốt, ổ cứng đáng tin cậy và khung máy chắc chắn. Sau đó nhân đôi mọi thứ và chạy hai nút như một cụm CARP chủ động / thụ động. Vì nâng cấp pfsync của 4.5, bạn có thể chạy active / active, nhưng tôi chưa thử nghiệm điều này.

Các bộ định tuyến của tôi đang chạy song song với bộ cân bằng tải của chúng tôi trong cấu hình nút đôi 1U. Mỗi nút có:

  • Khung gầm Supermicro SYS-1025TC-TB (tích hợp Intel Gigabit NIC)
  • CPU Xeon Harpertown Quad Core 2GHz (bộ cân bằng tải của tôi sử dụng nhiều lõi)
  • 4GB RAM ECC đã đăng ký
  • Bổ trợ Intel Gigabit cổng kép

Họ đã vững chắc kể từ khi triển khai. Tất cả mọi thứ về điều này là quá mức cần thiết cho tải lưu lượng của chúng tôi, nhưng tôi đã kiểm tra thông lượng lên tới 800Mb / giây (giới hạn NIC, CPU chủ yếu là không hoạt động). Chúng tôi sử dụng rất nhiều Vlan, vì vậy các bộ định tuyến này cũng phải xử lý rất nhiều lưu lượng truy cập nội bộ.

Hiệu quả năng lượng là tuyệt vời vì mỗi khung máy 1U có một PSU 700W duy nhất cung cấp năng lượng cho hai nút. Chúng tôi đã phân phối các bộ định tuyến và bộ cân bằng thông qua nhiều khung để chúng tôi có thể mất toàn bộ khung và có nhiều chuyển đổi dự phòng liền mạch (cảm ơn pfsync và CARP).

Các hệ điều hành

Một số người khác đã đề cập đến việc sử dụng Linux hoặc FreeBSD thay vì OpenBSD. Hầu hết các máy chủ của tôi là FreeBSD, nhưng tôi thích các bộ định tuyến OpenBSD vì một vài lý do:

  • Tập trung vào bảo mật và ổn định chặt chẽ hơn Linux và FreeBSD
  • Tài liệu tốt nhất về mọi hệ điều hành nguồn mở
  • Sự đổi mới của họ tập trung vào loại triển khai này (xem pfsync, ftp-proxy, cá chép, quản lý vlan, ipsec, sasync, ifstated, pflogd, v.v. - tất cả đều được bao gồm trong cơ sở)
  • FreeBSD là nhiều bản phát hành phía sau trên cổng pf của họ
  • pf thanh lịch và dễ quản lý hơn iptables, ipchains, ipfw hoặc ipf
  • Quá trình thiết lập / cài đặt Leaner

Điều đó nói rằng, nếu bạn quen thuộc với Linux hoặc FreeBSD và không có thời gian để đầu tư, có lẽ nên đi cùng với một trong số họ.


Cảm ơn đã trả lời cực kỳ chi tiết. Những gì bạn mô tả gần như chính xác là loại hệ thống mà chúng tôi đang xây dựng, một cặp máy chủ có GigE kép trên bo mạch và một NIC bổ trợ GigE kép trong cấu hình chuyển đổi dự phòng CARP. Thật yên tâm khi thấy ai đó đang chạy một thiết lập như vậy trong một hệ thống sản xuất chính.
Kamil Kisiel

1
Cá nhân tôi thích iptables, tôi nghĩ pf quá hạn chế. Kinh nghiệm của tôi với CARP trên OpenBSD là thật tuyệt vời khi bạn muốn thực hiện các công việc được lên kế hoạch (chuyển đổi dự phòng), nhưng chuyển đổi dự phòng thường sẽ không hoạt động khi có lỗi thực sự. Tôi đã có chính xác một lần chuyển đổi sự cố pf thành công và điều này là với OpenBSD 4.5. Ngoài ra, tình hình hỗ trợ cho OpenBSD là ảm đạm. Nếu bạn không có kiến ​​thức trong nhà hoặc trả tiền cho ai đó thì câu trả lời cho tất cả các câu hỏi hoặc hỗ trợ khi nó gặp sự cố là: "mẹ bạn béo".
Thomas

1
Tôi chạy pf / pfsync / CARP hai tường lửa trong cấu hình failover. Tôi đã trải qua hai tình huống chuyển đổi dự phòng và trong cả hai trường hợp tôi chỉ biết về nó từ hệ thống giám sát của mình cho tôi biết một trong những tường lửa đã bị sập. Các dịch vụ của cụm tiếp tục mà không có sự gián đoạn đáng chú ý.
Insyte

8

pfsense Là một tường lửa dựa trên FreeBSD tuyệt vời, rất giàu tính năng, dễ cài đặt và có một cộng đồng tích cực cũng như các tùy chọn hỗ trợ. Có một số người sử dụng nó trong các tình huống thương mại / sản xuất đang hoạt động trong diễn đàn. Tôi sử dụng nó ở nhà và tôi đang đẩy nó tại nơi làm việc, nó là một lựa chọn thực sự tốt. Họ thậm chí có một hình ảnh VM để tải xuống để kiểm tra!


Tôi đã nhìn vào liên kết đó. biến thể đó của MonoWall trông rất tuyệt. :-)
djangofan

Tôi tin rằng mono tập trung vào phần cứng nhúng, trong khi pfsense tập trung vào các hệ thống dựa trên máy tính. Tôi tin rằng nó được dự định cung cấp các tính năng nâng cao / cấp doanh nghiệp hơn các tính năng được tìm thấy trong m0n0wall hoặc các bản phân phối tường lửa cơ bản khác.
Cơ hội

2

Nơi tôi làm việc, chúng tôi đang sử dụng RHEL5 + quagga & ngựa vằn trên 4 hộp để chạy quá cảnh với tốc độ 450mbps. Vì vậy, có, bạn có thể làm điều đó trong doanh nghiệp và tiết kiệm rất nhiều tiền.

Chúng tôi giới hạn tỷ lệ sử dụng TC và sử dụng các quy tắc iptables và notrack.


2

Tôi đã sử dụng OpenBSD 3.9 làm tường lửa và chuyển sang Juniper SSG5.

Như đã nói bởi sh-beta OpenBSD với rất nhiều tính năng hay: pf thật tuyệt vời, tcpdump, rất nhiều công cụ tốt ...

Tôi có một số lý do để chuyển sang Juniper. Đặc biệt, cấu hình nhanh và dễ dàng. Trên OpenBSD, mọi thứ đều "hơi phức tạp".

ví dụ: quản lý băng thông là - theo ý kiến ​​của tôi - dễ dàng hơn rất nhiều để định cấu hình trên SSG.

Phiên bản OpenBSD tôi đã sử dụng khá cũ; Có lẽ phiên bản mới hơn là tốt hơn về điểm này.


Về mặt phần cứng, hộp OpenBSD của tôi là một chiếc Dell GX280 cũ.
Matthieu

1

Đối với doanh nghiệp nhỏ của cha tôi có một văn phòng chi nhánh, tôi sử dụng OpenBSD làm bộ định tuyến / cổng / tường lửa cho cả văn phòng chính và chi nhánh. Nó chưa bao giờ làm chúng tôi thất vọng. Chúng tôi sử dụng Máy chủ Dell Tower tại mỗi địa điểm. Mỗi máy chủ được trang bị thẻ Dual GiGE, 8GB ram (tôi hơi quá mức, tôi biết) và hoạt động tốt. Văn phòng chi nhánh được cấu hình để kết nối với văn phòng chính thông qua IPSEC và triển khai IPSEC của OpenBSD rất dễ sử dụng.


1

Cổng OpenBSD được sử dụng trong nhiều thiết lập doanh nghiệp. Chúng tôi có hai cổng OpenBSD trên mạng của chúng tôi.

Tôi vẫn nhớ một tập phim vui nhộn với OpenBSD: đĩa cứng đã chết, nhưng cổng chỉ mang theo lưu lượng định tuyến, giống như không có gì xảy ra, chỉ phục vụ từ bộ nhớ. Nó đã cho tôi một chút thời gian để thiết lập một thể hiện khác.

Yêu cầu phần cứng rất thấp, Dual Opteron 248 là tuyệt vời. Tôi hiếm khi thấy cpu đi hơn 5%. Họ rất ổn định. Tôi đã sử dụng nó chỉ hơn 7 năm nay mà không có vấn đề gì.


1

Tôi đã chạy OpenBSD (4.9) trong sản xuất trên tường lửa chính của chúng tôi khá lâu. Đây là một ASUS MB khá cũ với RAM 2 GB DDR (1) và Athlon lõi kép (2 GHz). Tôi đã mua một thẻ intel quad port (pci-express) và được sử dụng trong cổng đồ họa x16. KHÔNG vứt bỏ card đồ họa PCI của bạn nếu bạn có bất kỳ đặt xung quanh. Bạn sẽ cần nó như một card đồ họa nếu bạn dự định sử dụng cổng PCI-express 16x cho NIC (trên bo mạch gfx không hoạt động trong trường hợp của tôi).

Tôi biết phần cứng không phải là "lớp doanh nghiệp". nhưng đây là những lợi ích rõ ràng của thiết lập này:

  • Tôi có rất nhiều MB nằm xung quanh, và do đó sẽ không bao giờ hết phụ tùng (cũng sẵn sàng cho CARP).

  • Hầu hết các dây AMD giá rẻ đều hỗ trợ RAM ECC!.

  • Tất cả các phần cứng / phụ tùng là "của kệ" giá rẻ và ổn định

  • Hiệu suất trên các giàn khoan này rất tuyệt vời (4x Gbps), ngay cả đối với thiết lập lưu trữ khá nặng của chúng tôi!


0

Tôi có trong quá khứ. Tôi đã cài đặt nó ban đầu trên một số PC "whitebox", sau đó nâng cấp lên Dell Power Edge 2950. Bộ nguồn dự phòng, ổ cứng - cải tiến lớn từ quan điểm độ tin cậy. Tất nhiên không phải là một sự cải thiện quan sát được, chúng tôi đã gặp may mắn và whitebox không bao giờ gặp sự cố, nhưng về mặt lý thuyết, chúng tôi đã ở trong tình trạng tốt hơn với sự dư thừa nhiều hơn.

Chúng tôi chỉ sử dụng nó để lọc gói T1, vì vậy không phải là một cải tiến hiệu suất đáng chú ý.


0

Bạn đã cân nhắc chuyển sang FreeBSD chưa? OpenBSD không thể sử dụng đầy đủ các hệ thống SMP hiện đại (ví dụ Core2Quad). FreeBSD có pf và ipfw mà bạn có thể sử dụng đồng thời và cũng có lớp mạng không GIANT.

Chúng tôi đã chạy phần mềm bộ định tuyến FreeBSD như cổng ISP trong nhiều năm, điều này đã giúp chúng tôi tiết kiệm rất nhiều $$


0

Tôi không thể nói cho * BSD (chưa ... cho tôi thời gian ...) nhưng chúng tôi đã chạy các bộ định tuyến Linux hơn 10 năm và yêu thích chúng. Rẻ hơn, không phức tạp về giấy phép và nếu bạn nhìn vào các tài liệu bạn sẽ thấy bạn có hầu hết các công cụ bạn cần để hoàn thành công việc. Tôi sẽ nghi ngờ rằng BSD rất nhiều trong cùng một chiếc thuyền.

Chúng tôi đang chạy DL365 G1 với một ổ cắm bộ xử lý duy nhất và 6Gb, mặc dù RAM chủ yếu để phục vụ các hộp thư ...


0

Sử dụng các máy chủ Gigabit của Intel (em).

Một thẻ hoạt động tốt là HP NC360T. Đó là cổng kép và pci-express.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.