企业中还有其他人使用 OpenBSD 作为路由器吗?您在什么硬件上运行它?

企业中还有其他人使用 OpenBSD 作为路由器吗?您在什么硬件上运行它?

我们在每个地点都配备了 OpenBSD 路由器,目前运行在 4U 服务器机箱中的通用“自制”PC 硬件上。出于可靠性问题和空间考虑,我们正在考虑将它们升级到带有支持等功能的适当服务器级硬件。

这些盒子充当每个站点的路由器、网关和防火墙。目前,我们对 OpenBSD 和 Pf 非常熟悉,因此对于从该系统转移到其他系统(例如专用 Cisco 硬件)犹豫不决。

我目前正在考虑将系统迁移到一些 HP DL 系列 1U 机器(型号尚未确定)。我很好奇,其他人是否在他们的业务中使用了类似的设置,或者是否已经迁移到或放弃了这种设置。

答案1

我们专门运行 OpenBSD 路由器/防火墙来为 FogBugz On Demand 提供服务。除非您处于中转角色并且需要专用硬件和集成软件可以提供的极高 pps 吞吐量,否则在坚固硬件上运行 OpenBSD 将是一种更易于管理、可扩展且经济的解决方案。

将 OpenBSD 与 IOS 或 JUNOS 进行比较(以我的经验而言):

优点

  • pf 防火墙在灵活性、可管理配置和与其他服​​务的集成方面无与伦比(与 spamd、ftp-proxy 等无缝协作)。配置示例并未充分体现其优势。
  • 您可以在网关上获得 *nix 的所有工具:syslog、grep、netcat、tcpdump、systat、top、cron 等。
  • 您可以根据需要添加工具:我发现 iperf 和 iftop 非常有用
  • tcpdump。说得够多了。
  • 为 Unix 老手提供直观的配置
  • 与现有配置管理(cfengine、puppet、脚本等)无缝集成。
  • 下一代功能是免费的,不需要附加模块。
  • 增加性能并不昂贵
  • 无支持合同

缺点

  • IOS/JUNOS 使转储/加载整个配置变得更简单。没有任何配置管理工具,一旦配置写好,它们将更容易部署。
  • 有些接口在 OpenBSD 上根本不可用或者不稳定(例如,我知道没有得到良好支持的 ATM DS3 卡)。
  • 高端专用 Cisco/Juniper 类型的设备将比服务器硬件处理更高的 pps
  • 无支持合同

只要您谈论的不是 ISP 类环境中的骨干路由器或与专用网络连接的边缘路由器,OpenBSD 就应该没问题。

硬件

对路由器性能来说,最重要的是网卡。如果网卡质量很差,收到每个数据包都会中断,那么即使速度很快的 CPU 在中等负载下也会很快不堪重负。至​​少要寻找支持中断缓解/合并的千兆网卡。我使用 Broadcom (bge、bnx) 和 Intel (em) 驱动程序时运气不错。

CPU 速度比专用硬件更重要,但不必为此担心。任何现代服务器级 CPU 都能处理大量流量,而不会出现任何压力。

为自己准备一个不错的 CPU(多核目前没有多大帮助,所以看看原始 GHz)、好的 ECC RAM、可靠的硬盘和坚固的机箱。然后将所有东西翻倍,并将两个节点作为主动/被动 CARP 集群运行。自 4.5 的 pfsync 升级以来,您可以运行主动/主动,但我还没有测试过这一点。

我的路由器与我们的负载均衡器在 1U 双节点配置中并排运行。每个节点都有:

  • Supermicro SYS-1025TC-TB 机箱(内置英特尔千兆网卡)
  • Xeon Harpertown 四核 2GHz CPU(我的负载均衡器使用多个核心)
  • 4GB 金士顿 ECC 寄存 RAM
  • 双端口英特尔千兆附加网卡

自部署以来,它们一直非常稳定。对于我们的流量负载来说,这方面的一切都是过度的,但我测试的吞吐量高达 800Mbps(NIC 受限,CPU 大部分时间处于空闲状态)。我们大量使用 VLAN,因此这些路由器也必须处理大量内部流量。

由于每个 1U 机箱都配有一个 700W PSU 为两个节点供电,因此电源效率非常高。我们已将路由器和平衡器分布在多个机箱中,因此即使丢失整个机箱,我们也能实现几乎无缝的故障转移(感谢 pfsync 和 CARP)。

操作系统

其他人提到使用 Linux 或 FreeBSD 而不是 OpenBSD。我的大多数服务器都是 FreeBSD,但我更喜欢 OpenBSD 路由器,原因如下:

  • 比 Linux 和 FreeBSD 更加注重安全性和稳定性
  • 任何开源操作系统的最佳文档
  • 他们的创新都围绕这种类型的实现(参见 pfsync、ftp-proxy、carp、vlan management、ipsec、sasync、ifstated、pflogd 等 - 所有这些都包含在基础中)
  • FreeBSD 在 pf 移植方面落后了多个版本
  • pf 比 iptables、ipchains、ipfw 或 ipf 更优雅、更易于管理
  • 更精简的设置/安装流程

也就是说,如果您非常熟悉 Linux 或 FreeBSD,并且没有时间投入,那么选择其中之一可能是更好的选择。

答案2

普福斯是一款出色的基于 FreeBSD 的防火墙,功能丰富,易于安装,并且拥有活跃的社区和支持选项。论坛中活跃的许多人在商业/生产环境中使用它。我在家里使用它,在工作中也推广它,它是一款非常出色的替代方案。他们甚至有一个 VM 映像可供下载以进行测试!

答案3

我工作的地方使用 RHEL5 + quagga 和 zebra,通过 4 个盒子运行 450mbps 的传输。所以是的,你可以在企业中做到这一点并节省很多钱。

我们使用 TC 进行速率限制并利用 iptables 和 notrack 规则。

答案4

对于我父亲的小公司,我使用 OpenBSD 作为总部和分支机构的路由器/网关/防火墙。它从未让我们失望过。我们在每个位置都使用戴尔塔式服务器。每台服务器都配备了双 GiGE 卡、8GB 内存(我知道有点过头了),运行良好。分支机构配置为通过 IPSEC 连接到总部,OpenBSD 的 IPSEC 实现非常易于使用。

相关内容