企业中还有其他人使用 OpenBSD 作为路由器吗？您在什么硬件上运行它？

Question 1

我们专门运行 OpenBSD 路由器/防火墙来为 FogBugz On Demand 提供服务。除非您处于中转角色并且需要专用硬件和集成软件可以提供的极高 pps 吞吐量，否则在坚固硬件上运行 OpenBSD 将是一种更易于管理、可扩展且经济的解决方案。

将 OpenBSD 与 IOS 或 JUNOS 进行比较（以我的经验而言）：

优点

pf 防火墙在灵活性、可管理配置和与其他服务的集成方面无与伦比（与 spamd、ftp-proxy 等无缝协作）。配置示例并未充分体现其优势。
您可以在网关上获得 *nix 的所有工具：syslog、grep、netcat、tcpdump、systat、top、cron 等。
您可以根据需要添加工具：我发现 iperf 和 iftop 非常有用
tcpdump。说得够多了。
为 Unix 老手提供直观的配置
与现有配置管理（cfengine、puppet、脚本等）无缝集成。
下一代功能是免费的，不需要附加模块。
增加性能并不昂贵
无支持合同

缺点

IOS/JUNOS 使转储/加载整个配置变得更简单。没有任何配置管理工具，一旦配置写好，它们将更容易部署。
有些接口在 OpenBSD 上根本不可用或者不稳定（例如，我知道没有得到良好支持的 ATM DS3 卡）。
高端专用 Cisco/Juniper 类型的设备将比服务器硬件处理更高的 pps
无支持合同

只要您谈论的不是 ISP 类环境中的骨干路由器或与专用网络连接的边缘路由器，OpenBSD 就应该没问题。

硬件

对路由器性能来说，最重要的是网卡。如果网卡质量很差，收到每个数据包都会中断，那么即使速度很快的 CPU 在中等负载下也会很快不堪重负。至少要寻找支持中断缓解/合并的千兆网卡。我使用 Broadcom (bge、bnx) 和 Intel (em) 驱动程序时运气不错。

CPU 速度比专用硬件更重要，但不必为此担心。任何现代服务器级 CPU 都能处理大量流量，而不会出现任何压力。

为自己准备一个不错的 CPU（多核目前没有多大帮助，所以看看原始 GHz）、好的 ECC RAM、可靠的硬盘和坚固的机箱。然后将所有东西翻倍，并将两个节点作为主动/被动 CARP 集群运行。自 4.5 的 pfsync 升级以来，您可以运行主动/主动，但我还没有测试过这一点。

我的路由器与我们的负载均衡器在 1U 双节点配置中并排运行。每个节点都有：

Supermicro SYS-1025TC-TB 机箱（内置英特尔千兆网卡）
Xeon Harpertown 四核 2GHz CPU（我的负载均衡器使用多个核心）
4GB 金士顿 ECC 寄存 RAM
双端口英特尔千兆附加网卡

自部署以来，它们一直非常稳定。对于我们的流量负载来说，这方面的一切都是过度的，但我测试的吞吐量高达 800Mbps（NIC 受限，CPU 大部分时间处于空闲状态）。我们大量使用 VLAN，因此这些路由器也必须处理大量内部流量。

由于每个 1U 机箱都配有一个 700W PSU 为两个节点供电，因此电源效率非常高。我们已将路由器和平衡器分布在多个机箱中，因此即使丢失整个机箱，我们也能实现几乎无缝的故障转移（感谢 pfsync 和 CARP）。

操作系统

其他人提到使用 Linux 或 FreeBSD 而不是 OpenBSD。我的大多数服务器都是 FreeBSD，但我更喜欢 OpenBSD 路由器，原因如下：

比 Linux 和 FreeBSD 更加注重安全性和稳定性
任何开源操作系统的最佳文档
他们的创新都围绕这种类型的实现（参见 pfsync、ftp-proxy、carp、vlan management、ipsec、sasync、ifstated、pflogd 等 - 所有这些都包含在基础中）
FreeBSD 在 pf 移植方面落后了多个版本
pf 比 iptables、ipchains、ipfw 或 ipf 更优雅、更易于管理
更精简的设置/安装流程

也就是说，如果您非常熟悉 Linux 或 FreeBSD，并且没有时间投入，那么选择其中之一可能是更好的选择。

Answer