Czy ktoś jeszcze używa OpenBSD jako routera w przedsiębiorstwie? Na jakim sprzęcie go używasz? [Zamknięte]

26

W każdej z naszych lokalizacji mamy router OpenBSD, działający obecnie na standardowym sprzęcie komputerowym „homebrew” w obudowie serwera 4U. Ze względu na problemy z niezawodnością i względy dotyczące miejsca zajmujemy się aktualizacją do odpowiedniego sprzętu klasy serwerowej z obsługą itp.

Te skrzynki służą jako routery, bramy i zapory ogniowe w każdej lokalizacji. W tym momencie znamy się na OpenBSD i Pf, więc wahamy się odejść od systemu do czegoś innego, jak dedykowany sprzęt Cisco.

Obecnie myślę o przeniesieniu systemów na niektóre urządzenia HP serii 1U serii DL (model do ustalenia). Jestem ciekawy, czy inne osoby używają tego typu konfiguracji w swojej firmie, czy przeprowadziły się do niej.

Kamil Kisiel
źródło
1
Znalazłem odpowiedzi, które nam pomogły, ponieważ prowadzimy otwarty bsd od 9 lat i zacząłem myśleć o przejściu do jos z powodu problemów z zasilaniem w centrum danych. Teraz pomyślę raz jeszcze, ponieważ nie doceniliśmy korzyści płynących z działania na otwartej platformie.

Odpowiedzi:

43

Obsługujemy wyłącznie routery / zapory ogniowe OpenBSD, aby obsługiwać FogBugz na żądanie. O ile nie działasz w roli tranzytowej i nie potrzebujesz bardzo wysokiej przepustowości, jaką może zapewnić specjalnie zaprojektowany sprzęt i zintegrowane oprogramowanie, OpenBSD na solidnym sprzęcie będzie rozwiązaniem łatwiejszym do zarządzania, skalowalnym i ekonomicznym.

Porównywanie OpenBSD z IOS lub JUNOS (z mojego doświadczenia):

Zalety

  • Firewall pf nie ma sobie równych pod względem elastyczności, łatwej do zarządzania konfiguracji i integracji z innymi usługami (działa bezproblemowo ze spamem, ftp-proxy itp.). Przykłady konfiguracji nie oddają tego sprawiedliwie.
  • Otrzymasz wszystkie narzędzia * nix na swojej bramie: syslog, grep, netcat, tcpdump, systat, top, cron itp.
  • W razie potrzeby możesz dodać narzędzia: iperf i iftop, które okazały się bardzo przydatne
  • tcpdump. Wystarczająco powiedziane.
  • Intuicyjna konfiguracja dla weteranów Uniksa
  • Bezproblemowa integracja z istniejącym zarządzaniem konfiguracją (cfengine, puppet, scripts, cokolwiek).
  • Funkcje następnej generacji są bezpłatne i nie wymagają żadnych dodatkowych modułów.
  • Zwiększanie wydajności jest tanie
  • Brak umów o wsparcie

Niedogodności

  • IOS / JUNOS upraszczają zrzut / załadowanie całej konfiguracji. W przypadku braku narzędzi do zarządzania konfiguracją łatwiej będzie je wdrożyć po napisaniu konfiguracji.
  • Niektóre interfejsy po prostu nie są dostępne lub stabilne w OpenBSD (np. Nie znam dobrze obsługiwanych kart ATM DS3).
  • Wysokiej klasy dedykowane urządzenia typu Cisco / Juniper będą obsługiwały wyższe pps niż sprzęt serwerowy
  • Brak umów o wsparcie

Dopóki nie mówisz o routerach szkieletowych w środowisku podobnym do dostawcy usług internetowych lub routerach brzegowych współpracujących ze specjalistycznymi połączeniami sieciowymi, OpenBSD powinno być w porządku.

Sprzęt komputerowy

Najważniejsze dla wydajności routera są twoje karty sieciowe. Szybki procesor szybko zostanie przytłoczony przy umiarkowanym obciążeniu, jeśli masz gówniane karty sieciowe, które przerywają każdy otrzymany pakiet. Poszukaj gigabitowych kart sieciowych, które obsługują przynajmniej łagodzenie / koalescencję przerwań. Miałem szczęście ze sterownikami Broadcom (bge, bnx) i Intel (em).

Szybkość procesora jest ważniejsza niż w dedykowanym sprzęcie, ale nie należy się martwić. Każdy nowoczesny procesor klasy serwerowej poradzi sobie z masą ruchu, zanim wykaże jakiekolwiek obciążenie.

Zdobądź przyzwoity procesor (wiele rdzeni jeszcze nie pomaga, więc spójrz na surowy GHz) dobrą pamięć RAM ECC, niezawodny dysk twardy i solidną obudowę. Następnie podwój wszystko i uruchom dwa węzły jako aktywny / pasywny klaster CARP. Od aktualizacji pfsync 4.5 możesz uruchomić active / active, ale nie przetestowałem tego.

Moje routery działają równolegle z naszymi modułami równoważenia obciążenia w konfiguracjach z dwoma węzłami 1U. Każdy węzeł ma:

  • Obudowa Supermicro SYS-1025TC-TB (wbudowane karty sieciowe Intel Gigabit)
  • Czterordzeniowy procesor Xeon Harpertown 2 GHz (moje moduły równoważenia obciążenia używają wielu rdzeni)
  • 4 GB pamięci RAM Kingston ECC
  • Dwuportowa dodatkowa karta sieciowa Intel Gigabit

Są solidne od czasu wdrożenia. Wszystko w tym przypadku jest nadmierne dla naszego obciążenia ruchem, ale przetestowałem przepustowość powyżej 800 Mb / s (ograniczona przez NIC, procesor był w większości bezczynny). Często korzystamy z sieci VLAN, więc routery te muszą również obsługiwać duży ruch wewnętrzny.

Wydajność energetyczna jest fantastyczna, ponieważ każda obudowa 1U ma pojedynczy zasilacz o mocy 700 W zasilający dwa węzły. Rozdzieliliśmy routery i moduły równoważące na wiele podwozi, dzięki czemu możemy stracić całe podwozie i uzyskać prawie bezproblemowe przełączanie awaryjne (dziękuję pfsync i CARP).

System operacyjny

Niektórzy wspominali o używaniu Linuksa lub FreeBSD zamiast OpenBSD. Większość moich serwerów to FreeBSD, ale wolę routery OpenBSD z kilku powodów:

  • Większy nacisk na bezpieczeństwo i stabilność niż Linux i FreeBSD
  • Najlepsza dokumentacja dowolnego systemu operacyjnego Open Source
  • Ich innowacje koncentrują się wokół tego rodzaju implementacji (patrz pfsync, ftp-proxy, carp, vlan management, ipsec, sasync, ifstated, pflogd itp. - wszystkie z nich są zawarte w bazie)
  • FreeBSD to wiele wydań opóźnionych na ich porcie pf
  • pf jest bardziej elegancki i łatwiejszy w zarządzaniu niż iptables, ipchains, ipfw lub ipf
  • Oprzyj proces instalacji / instalacji

To powiedziawszy, jeśli jesteś dobrze zaznajomiony z Linuksem lub FreeBSD i nie masz czasu na inwestowanie, prawdopodobnie lepiej jest wybrać jeden z nich.

sh-beta
źródło
Dzięki za bardzo szczegółową odpowiedź. To, co opisujesz, to właściwie rodzaj systemu, który chcemy zbudować, para serwerów z wbudowanym podwójnym GigE i podwójną kartą sieciową GigE w konfiguracji przełączania awaryjnego CARP. To bardzo pocieszające, gdy ktoś inny uruchamia taką konfigurację w głównym systemie produkcyjnym.
Kamil Kisiel
1
Osobiście wolę iptables, myślę, że pf jest zbyt ograniczony. Moje doświadczenie z CARP na OpenBSD polega na tym, że jest to świetne, gdy chcesz wykonywać zaplanowane zadania (planowane przełączanie awaryjne), ale przełączanie awaryjne najczęściej nie działa, gdy występuje rzeczywista usterka. Miałem dokładnie jedno udane przełączenie awaryjne pf, a było to z OpenBSD 4.5. Również sytuacja wsparcia dla OpenBSD jest fatalna. Jeśli nie masz wiedzy w domu lub nie płacisz komuś, wtedy odpowiedź na wszystkie pytania lub wsparcie w razie awarii brzmi: „Twoja matka jest gruba”.
Thomas
1
W konfiguracji przełączania awaryjnego uruchamiam dwie zapory ogniowe pf / pfsync / CARP. Doświadczyłem dwóch sytuacji przełączania awaryjnego i w obu przypadkach dowiedziałem się o tym tylko z mojego systemu monitorowania, który powiedział mi, że jedna z zapór nie działa. Usługi klastra były kontynuowane bez zauważalnej przerwy.
Insyte,
8

pfsense Jest świetną zaporą opartą na FreeBSD, jej bogatą w funkcje, łatwą w konfiguracji i ma aktywną społeczność, a także opcje wsparcia. Istnieje kilka osób korzystających z niego w sytuacjach handlowych / produkcyjnych, które są aktywne na forum. Używam go w domu i pcham go w pracy, to naprawdę dobrze skomponowana alternatywa. Mają nawet obraz maszyny wirtualnej do pobrania, aby go przetestować!

Szansa
źródło
spojrzałem na ten link. ten wariant MonoWall wygląda świetnie. :-)
djangofan
Uważam, że mono koncentruje się na sprzęcie wbudowanym, podczas gdy pfsense koncentruje się na systemach opartych na komputerach PC. Wierzę, że miał on oferować bardziej zaawansowane funkcje klasy korporacyjnej niż te, które można znaleźć w m0n0wall lub innych podstawowych dystrybucjach zapory ogniowej.
Szansa
2

Tam, gdzie pracuję, używamy RHEL5 + quagga i zebra na 4 skrzynkach, aby uruchomić tranzyt za 450 Mb / s. Tak, możesz to zrobić w przedsiębiorstwie i zaoszczędzić dużo pieniędzy.

Ograniczamy stawki za pomocą TC i korzystamy z reguł iptables i notrack.

pjd
źródło
2

Użyłem OpenBSD 3.9 jako zapory ogniowej i przełączyłem się na Juniper SSG5.

Jak powiedział sh-beta OpenBSD jako WIELE dobrych funkcji: pf jest niesamowity, tcpdump, wiele dobrych narzędzi ...

Miałem kilka powodów, aby przejść na Juniper. W szczególności konfiguracja jest szybka i łatwa. W OpenBSD wszystko jest „trochę skomplikowane”.

na przykład: zarządzanie pasmem jest - moim zdaniem - o wiele łatwiejsze do skonfigurowania na SSG.

Użyta przeze mnie wersja OpenBSD była dość stara; Być może nowsze wersje są lepsze w tym punkcie.

Matthieu
źródło
Po stronie sprzętowej moim pudełkiem OpenBSD był stary Dell GX280.
Matthieu,
1

W małej firmie mojego ojca z jednym oddziałem używam OpenBSD jako routera / bramy / zapory ogniowej zarówno dla biura głównego, jak i oddziału. Nigdy nas nie zawiódł. Korzystamy z serwera Dell Tower Server w każdej lokalizacji. Każdy serwer jest wyposażony w kartę Dual GiGE, 8 GB pamięci RAM (niewielkie przeciążenia, wiem) i działa dobrze. Oddział jest skonfigurowany do łączenia się z głównym poprzez IPSEC, a implementacja IPSEC w OpenBSD jest cudownie łatwa w użyciu.


źródło
1

Bramy OpenBSD są używane w wielu konfiguracjach dla przedsiębiorstw. W naszych sieciach mamy dwie bramy OpenBSD.

Nadal pamiętam jeden zabawny epizod z OpenBSD: dysk twardy zmarł, ale brama po prostu kontynuowała routing ruchu, jakby nic się nie wydarzyło, tylko z pamięci. Dało mi to trochę czasu na skonfigurowanie innej instancji.

Bardzo niskie wymagania sprzętowe, Dual Opteron 248 są świetne. Rzadko widzę, że procesor przekracza 5%. Są bardzo stabilne. Używam go już ponad 7 lat bez żadnych problemów.

Adrian Thompson
źródło
1

Od dłuższego czasu działam w środowisku produkcyjnym OpenBSD (4.9) na naszej głównej zaporze ogniowej. To raczej stary ASUS MB z 2 GB pamięci DDR (1) RAM i dwurdzeniowym (2 GHz) Athlonem. Kupiłem czterordzeniową kartę Intel (PCI Express) i korzystałem z portu graficznego x16. NIE wyrzucaj kart graficznych PCI, jeśli masz jakieś leżące. Będziesz potrzebował go jako karty graficznej, jeśli planujesz używać 16-krotnego portu PCI-express dla karty sieciowej (w moim przypadku gfx nie działał).

Wiem, że nie jest to sprzęt klasy „Enterprise”. ale są to wyraźne zalety tej konfiguracji:

  • Mam dużo tych MB leżących i dlatego nigdy nie zabraknie części zamiennych (przygotowując się również do CARP).

  • Większość tanich bordów AMD obsługuje pamięć ECC RAM !.

  • Cały sprzęt / części zamienne są „z półki” tanie i stabilne

  • Wydajność na tych platformach jest świetna (4x Gbps), nawet w przypadku naszej dość ciężkiej konfiguracji hostingu!

Brian Simonsen
źródło
0

Mam w przeszłości. Pierwotnie zainstalowałem go na niektórych komputerach typu „whitebox”, a następnie zaktualizowałem do Dell Power Edge 2950. Nadmiarowe zasilacze, dyski twarde - duża poprawa z punktu widzenia niezawodności. Oczywiście nie zaobserwowano poprawy, mieliśmy szczęście i whitebox nigdy się nie zawiesił, ale teoretycznie byliśmy w lepszej formie z większą redundancją.

Używaliśmy go tylko do filtrowania pakietów T1, więc nie zauważalna poprawa wydajności.

Kyle Hodgson
źródło
0

Czy zastanawiałeś się nad przejściem na FreeBSD? OpenBSD nie może w pełni wykorzystać nowoczesnych systemów SMP (tj. Core2Quad). FreeBSD ma pf i ipfw, z których możesz korzystać jednocześnie, a także ma warstwę sieciową inną niż GIANT.

Od lat używamy programowych routerów FreeBSD jako bram ISP, co pozwoliło nam zaoszczędzić sporo $$

SaveTheRbtz
źródło
0

Nie mogę mówić za * BSD (jeszcze ... daj mi czas ...), ale obsługujemy routery Linux od ponad 10 lat i uwielbiamy je. Tańsze, bez kłopotów z licencją, a jeśli spojrzysz na dokumenty, zauważysz, że masz większość narzędzi potrzebnych do wykonania zadań. Podejrzewam, że BSD jest bardzo na tej samej łodzi.

Pracujemy na DL365 G1 z jednym gniazdem procesora wypełnionym i 6 Gb, chociaż pamięć RAM służy głównie do obsługi skrzynek pocztowych ...

Avery Payne
źródło
0

Użyj kart sieciowych Intel (em) Gigabit Server.

Jedną z kart, która działa dobrze, jest HP NC360T. Jest to podwójny port i pci-express.

BDP
źródło