Obsługujemy wyłącznie routery / zapory ogniowe OpenBSD, aby obsługiwać FogBugz na żądanie. O ile nie działasz w roli tranzytowej i nie potrzebujesz bardzo wysokiej przepustowości, jaką może zapewnić specjalnie zaprojektowany sprzęt i zintegrowane oprogramowanie, OpenBSD na solidnym sprzęcie będzie rozwiązaniem łatwiejszym do zarządzania, skalowalnym i ekonomicznym.
Porównywanie OpenBSD z IOS lub JUNOS (z mojego doświadczenia):
Zalety
- Firewall pf nie ma sobie równych pod względem elastyczności, łatwej do zarządzania konfiguracji i integracji z innymi usługami (działa bezproblemowo ze spamem, ftp-proxy itp.). Przykłady konfiguracji nie oddają tego sprawiedliwie.
- Otrzymasz wszystkie narzędzia * nix na swojej bramie: syslog, grep, netcat, tcpdump, systat, top, cron itp.
- W razie potrzeby możesz dodać narzędzia: iperf i iftop, które okazały się bardzo przydatne
- tcpdump. Wystarczająco powiedziane.
- Intuicyjna konfiguracja dla weteranów Uniksa
- Bezproblemowa integracja z istniejącym zarządzaniem konfiguracją (cfengine, puppet, scripts, cokolwiek).
- Funkcje następnej generacji są bezpłatne i nie wymagają żadnych dodatkowych modułów.
- Zwiększanie wydajności jest tanie
- Brak umów o wsparcie
Niedogodności
- IOS / JUNOS upraszczają zrzut / załadowanie całej konfiguracji. W przypadku braku narzędzi do zarządzania konfiguracją łatwiej będzie je wdrożyć po napisaniu konfiguracji.
- Niektóre interfejsy po prostu nie są dostępne lub stabilne w OpenBSD (np. Nie znam dobrze obsługiwanych kart ATM DS3).
- Wysokiej klasy dedykowane urządzenia typu Cisco / Juniper będą obsługiwały wyższe pps niż sprzęt serwerowy
- Brak umów o wsparcie
Dopóki nie mówisz o routerach szkieletowych w środowisku podobnym do dostawcy usług internetowych lub routerach brzegowych współpracujących ze specjalistycznymi połączeniami sieciowymi, OpenBSD powinno być w porządku.
Sprzęt komputerowy
Najważniejsze dla wydajności routera są twoje karty sieciowe. Szybki procesor szybko zostanie przytłoczony przy umiarkowanym obciążeniu, jeśli masz gówniane karty sieciowe, które przerywają każdy otrzymany pakiet. Poszukaj gigabitowych kart sieciowych, które obsługują przynajmniej łagodzenie / koalescencję przerwań. Miałem szczęście ze sterownikami Broadcom (bge, bnx) i Intel (em).
Szybkość procesora jest ważniejsza niż w dedykowanym sprzęcie, ale nie należy się martwić. Każdy nowoczesny procesor klasy serwerowej poradzi sobie z masą ruchu, zanim wykaże jakiekolwiek obciążenie.
Zdobądź przyzwoity procesor (wiele rdzeni jeszcze nie pomaga, więc spójrz na surowy GHz) dobrą pamięć RAM ECC, niezawodny dysk twardy i solidną obudowę. Następnie podwój wszystko i uruchom dwa węzły jako aktywny / pasywny klaster CARP. Od aktualizacji pfsync 4.5 możesz uruchomić active / active, ale nie przetestowałem tego.
Moje routery działają równolegle z naszymi modułami równoważenia obciążenia w konfiguracjach z dwoma węzłami 1U. Każdy węzeł ma:
- Obudowa Supermicro SYS-1025TC-TB (wbudowane karty sieciowe Intel Gigabit)
- Czterordzeniowy procesor Xeon Harpertown 2 GHz (moje moduły równoważenia obciążenia używają wielu rdzeni)
- 4 GB pamięci RAM Kingston ECC
- Dwuportowa dodatkowa karta sieciowa Intel Gigabit
Są solidne od czasu wdrożenia. Wszystko w tym przypadku jest nadmierne dla naszego obciążenia ruchem, ale przetestowałem przepustowość powyżej 800 Mb / s (ograniczona przez NIC, procesor był w większości bezczynny). Często korzystamy z sieci VLAN, więc routery te muszą również obsługiwać duży ruch wewnętrzny.
Wydajność energetyczna jest fantastyczna, ponieważ każda obudowa 1U ma pojedynczy zasilacz o mocy 700 W zasilający dwa węzły. Rozdzieliliśmy routery i moduły równoważące na wiele podwozi, dzięki czemu możemy stracić całe podwozie i uzyskać prawie bezproblemowe przełączanie awaryjne (dziękuję pfsync i CARP).
System operacyjny
Niektórzy wspominali o używaniu Linuksa lub FreeBSD zamiast OpenBSD. Większość moich serwerów to FreeBSD, ale wolę routery OpenBSD z kilku powodów:
- Większy nacisk na bezpieczeństwo i stabilność niż Linux i FreeBSD
- Najlepsza dokumentacja dowolnego systemu operacyjnego Open Source
- Ich innowacje koncentrują się wokół tego rodzaju implementacji (patrz pfsync, ftp-proxy, carp, vlan management, ipsec, sasync, ifstated, pflogd itp. - wszystkie z nich są zawarte w bazie)
- FreeBSD to wiele wydań opóźnionych na ich porcie pf
- pf jest bardziej elegancki i łatwiejszy w zarządzaniu niż iptables, ipchains, ipfw lub ipf
- Oprzyj proces instalacji / instalacji
To powiedziawszy, jeśli jesteś dobrze zaznajomiony z Linuksem lub FreeBSD i nie masz czasu na inwestowanie, prawdopodobnie lepiej jest wybrać jeden z nich.