У нас есть маршрутизатор OpenBSD в каждом из наших офисов, который в настоящее время работает на обычном "домашнем" ПК в корпусе сервера 4U. Из-за проблем с надежностью и нехватки места мы планируем обновить их до подходящего серверного оборудования с поддержкой и т. Д.
Эти блоки служат маршрутизаторами, шлюзами и межсетевыми экранами на каждом сайте. На данный момент мы хорошо знакомы с OpenBSD и Pf, поэтому не решаемся переходить от системы к чему-то еще, например, к специализированному оборудованию Cisco.
В настоящее время я подумываю о переносе систем на некоторые машины HP серии DL 1U (модель еще не определена). Мне любопытно услышать, используют ли другие люди подобную установку в своем бизнесе или перешли на нее или от нее.
Мы используем только маршрутизаторы / брандмауэры OpenBSD для обслуживания FogBugz On Demand. Если вы не выполняете транзитную роль и не нуждаетесь в чрезвычайно высокой пропускной способности пакетов в секунду, которую может обеспечить специализированное оборудование и интегрированное программное обеспечение, OpenBSD на надежном оборудовании будет более управляемым, масштабируемым и экономичным решением.
Сравнение OpenBSD с IOS или JUNOS (по моему опыту):
Преимущества
Недостатки
Пока вы не говорите о магистральных маршрутизаторах в среде, подобной ISP, или о пограничных маршрутизаторах, взаимодействующих со специализированными сетевыми соединениями, OpenBSD подойдет.
Оборудование
Самым важным для производительности вашего маршрутизатора являются сетевые карты. Быстрый процессор быстро перегрузится при умеренной нагрузке, если у вас плохие сетевые карты, которые прерывают каждый полученный пакет. Поищите гигабитные сетевые адаптеры, которые хотя бы поддерживают подавление / объединение прерываний. Мне повезло с драйверами Broadcom (bge, bnx) и Intel (em).
Скорость процессора важнее, чем у выделенного оборудования, но не о чем беспокоиться. Любой современный ЦП серверного класса будет обрабатывать тонны трафика, прежде чем проявит какую-либо нагрузку.
Возьмите себе приличный процессор (несколько ядер пока мало помогают, так что посмотрите на сырые ГГц), хорошую ОЗУ с ECC, надежный жесткий диск и прочное шасси. Затем удвойте все и запустите два узла как активный / пассивный кластер CARP. Начиная с обновления pfsync 4.5, вы можете запускать активный / активный, но я не тестировал это.
Мои маршрутизаторы работают бок о бок с нашими балансировщиками нагрузки в конфигурациях с двумя узлами 1U. Каждый узел имеет:
Они были как скала с момента развертывания. Все в этом является излишним для нашей нагрузки трафика, но я тестировал пропускную способность выше 800 Мбит / с (с ограничением NIC, ЦП в основном простаивал). Мы активно используем сети VLAN, поэтому этим маршрутизаторам также приходится обрабатывать большой внутренний трафик.
Энергоэффективность фантастическая, поскольку каждое шасси высотой 1U имеет один блок питания мощностью 700 Вт, питающий два узла. Мы распределили маршрутизаторы и балансировщики по нескольким шасси, чтобы мы могли потерять все шасси и иметь практически беспроблемное переключение при отказе (спасибо pfsync и CARP).
Операционные системы
Некоторые другие упомянули об использовании Linux или FreeBSD вместо OpenBSD. Большинство моих серверов - это FreeBSD, но я предпочитаю маршрутизаторы OpenBSD по нескольким причинам:
Тем не менее, если вы хорошо знакомы с Linux или FreeBSD и у вас нет времени на инвестирование, вероятно, лучше выбрать одну из них.
pfsense Это отличный брандмауэр на основе FreeBSD, он очень многофункциональный, простой в настройке и имеет активное сообщество, а также варианты поддержки. Есть несколько человек, использующих его в коммерческих / производственных ситуациях, которые активны на форуме. Я использую его дома и подталкиваю к работе, это действительно хорошая альтернатива. У них даже есть образ виртуальной машины для загрузки, чтобы протестировать его!
Я использовал OpenBSD 3.9 в качестве брандмауэра и перешел на Juniper SSG5.
По словам sh-beta OpenBSD, у OpenBSD МНОЖЕСТВО хороших функций: pf потрясающий, tcpdump, много хороших инструментов ...
У меня было несколько причин перейти на Juniper. В частности, настройка выполняется быстро и легко. В OpenBSD все «немного сложнее».
Например: управление полосой пропускания, на мой взгляд, намного проще настроить на SSG.
Версия OpenBSD, которую я использовал, была довольно старой; Возможно, в этом отношении более новая версия лучше.
Там, где я работаю, мы используем RHEL5 + quagga & zebra на 4 серверах для передачи данных на скорости 450 Мбит / с. Так что да, вы можете сделать это на предприятии и сэкономить много денег.
Мы ограничиваем скорость с помощью TC и используем правила iptables и notrack.
Для малого бизнеса моего отца с одним филиалом я использую OpenBSD в качестве маршрутизатора / шлюза / брандмауэра как для главного офиса, так и для филиала. Он нас никогда не подводил. Мы используем сервер Dell Tower в каждом месте. Каждый сервер оснащен картой Dual GiGE, 8 ГБ оперативной памяти (я знаю, что это небольшие переборы) и работает хорошо. Филиал настроен для подключения к основному через IPSEC, а реализация IPSEC в OpenBSD восхитительно проста в использовании.
Шлюзы OpenBSD используются во многих корпоративных системах. У нас в сети два шлюза OpenBSD.
Я до сих пор помню один забавный эпизод с OpenBSD: жесткий диск умер, но шлюз просто продолжал маршрутизировать трафик, как будто ничего не произошло, обслуживая только по памяти. Это дало мне время для установки еще одного экземпляра.
Очень низкие требования к оборудованию, Dual Opteron 248 великолепны. Я редко вижу, чтобы процессор превышал 5%. Они очень стабильны. Я использую его чуть более 7 лет без проблем.
Я уже довольно давно использую OpenBSD (4.9) в производстве на нашем основном брандмауэре. Это довольно старый ASUS MB с 2 ГБ оперативной памяти DDR (1) и двухъядерным (2 ГГц) Athlon. Я купил карту Intel с четырьмя портами (pci-express) и использовал в графическом порте x16. НЕ выбрасывайте видеокарты PCI, если они у вас лежат. Он понадобится вам как видеокарта, если вы планируете использовать порт PCI-Express 16x для сетевой карты (встроенный gfx в моем случае не работал).
Я знаю, что это оборудование не корпоративного класса. но вот явные преимущества этой установки:
У меня есть много этих МБ, и поэтому запасные части у меня никогда не закончатся (также готовимся к CARP).
Самые дешевые платы AMD поддерживают ОЗУ с ECC !.
Все оборудование / запчасти "с полки" дешево и стабильно.
Производительность на этих установках отличная (4x Гбит / с) даже для нашего довольно тяжелого хостинга!
У меня было в прошлом. Первоначально я устанавливал его на некоторые ПК с «белыми ящиками», а затем обновил его до Dell Power Edge 2950. Резервные блоки питания, жесткие диски - большое улучшение с точки зрения надежности. Улучшения, конечно, не наблюдалось, нам повезло, и whitebox никогда не ломался, но теоретически мы были в лучшей форме с большей избыточностью.
Мы использовали его только для пакетной фильтрации T1, поэтому заметного улучшения производительности не было.
Вы думали о переходе на FreeBSD? OpenBSD не может полностью использовать современные системы SMP (например, Core2Quad). FreeBSD имеет pf и ipfw, которые вы можете использовать одновременно, а также не GIANT сетевой уровень.
Мы годами использовали программные маршрутизаторы FreeBSD в качестве шлюзов ISP, что сэкономило нам много долларов.
Я не могу говорить от имени * BSD (пока ... дайте мне время ...), но мы работаем с маршрутизаторами Linux более 10 лет и любим их. Дешевле, без проблем с лицензией, и если вы посмотрите документацию, вы обнаружите, что у вас есть большинство инструментов, необходимых для выполнения работы. Я подозреваю, что BSD находится в той же лодке.
У нас есть DL365 G1 с заполненным однопроцессорным сокетом и 6 ГБ, хотя оперативная память в основном предназначена для обслуживания почтовых ящиков ...
Используйте сетевые адаптеры Intel (em) Gigabit Server.
Одна карта, которая хорошо работает, - это HP NC360T. Это двойной порт и pci-express.