Há mais alguém usando o OpenBSD como roteador na empresa? Em qual hardware você está usando? [fechadas]

Nós rodamos exclusivamente roteadores / firewalls do OpenBSD para servir o FogBugz On Demand. A menos que você esteja operando em uma função de transporte público e precise da taxa de transferência extremamente alta que o hardware integrado e o software integrado podem fornecer, o OpenBSD em hardware sólido será uma solução mais gerenciável, escalável e econômica.

Comparando o OpenBSD ao IOS ou JUNOS (na minha experiência):

Vantagens

• O firewall pf é incomparável em termos de flexibilidade, configuração gerenciável e integração com outros serviços (funciona perfeitamente com spam, ftp-proxy, etc.). Os exemplos de configuração não fazem justiça.
• Você obtém todas as ferramentas de um * nix em seu gateway: syslog, grep, netcat, tcpdump, systat, top, cron, etc.
• Você pode adicionar ferramentas conforme necessário: iperf e iftop eu achei muito útil
• tcpdump. Disse o suficiente.
• Configuração intuitiva para veteranos do Unix
• Integração perfeita com o gerenciamento de configuração existente (cfengine, puppet, scripts, whatever).
• Os recursos da próxima geração são gratuitos e não exigem módulos adicionais.
• Adicionar desempenho é barato
• Não há contratos de suporte

Desvantagens

• O IOS / JUNOS simplifica o despejo / carregamento de uma configuração inteira. Se não houver ferramentas de gerenciamento de configuração, elas serão mais fáceis de implantar quando sua configuração for gravada.
• Algumas interfaces simplesmente não estão disponíveis ou são estáveis no OpenBSD (por exemplo, não conheço cartões ATM DS3 bem suportados).
• Dispositivos dedicados high-end Cisco / Juniper lidam com pps mais altos do que com hardware de servidor
• Não há contratos de suporte

Contanto que você não esteja falando sobre roteadores de backbone em um ambiente semelhante ao ISP ou roteadores de borda que fazem interface com conexões de rede especializadas, o OpenBSD deve ser muito bem.

Hardware

A coisa mais importante para o desempenho do seu roteador é suas NICs. Uma CPU rápida será rapidamente sobrecarregada sob carga moderada se você tiver NICs de merda que interrompem para cada pacote que recebem. Procure por NICs gigabit que suportem mitigação de interrupção / coalescência, pelo menos. Eu tive boa sorte com os drivers Broadcom (bge, bnx) e Intel (em).

A velocidade da CPU é mais importante do que em hardware dedicado, mas não é algo de se preocupar. Qualquer CPU moderna de classe de servidor lidará com uma tonelada de tráfego antes de mostrar qualquer tensão.

Agarre-se uma CPU decente (vários núcleos não ajudam muito ainda, então olhe para GHz bruta) boa RAM ECC, um disco rígido confiável e um chassi sólido. Em seguida, duplique tudo e execute dois nós como um cluster CARP ativo / passivo. Desde a atualização pfsync do 4.5, você pode rodar ativo / ativo, mas eu não testei isso.

Meus roteadores estão sendo executados lado-a-lado com nossos balanceadores de carga em configurações de nó duplo 1U. Cada nó tem:

• Gabinete Supermicro SYS-1025TC-TB (NICs Intel Gigabit incorporadas)
• CPU quad core de 2 GHz Xeon Harpertown (meus balanceadores de carga usam vários núcleos)
• RAM registrada em ECC de 4 GB da Kingston
• NIC de suplemento Intel Gigabit de porta dupla

Eles têm sido sólidos desde a implantação. Tudo sobre isso é um exagero para nossa carga de tráfego, mas testei throughput acima de 800Mbps (limitado a NIC, a CPU estava quase inativa). Fazemos uso intenso de VLANs, portanto, esses roteadores também precisam lidar com muito tráfego interno.

A eficiência de energia é fantástica, pois cada chassi de 1U tem uma única PSU de 700W que alimenta dois nós. Distribuímos os roteadores e balanceadores por vários chassis para que possamos perder um chassi inteiro e ter um failover praticamente perfeito (obrigado pfsync e CARP).

Sistemas operacionais

Alguns outros mencionaram o uso do Linux ou do FreeBSD em vez do OpenBSD. A maioria dos meus servidores são do FreeBSD, mas eu prefiro os roteadores do OpenBSD por alguns motivos:

• Um foco mais strong na segurança e estabilidade do que o Linux e o FreeBSD
• A melhor documentação de qualquer sistema operacional de código aberto
• A inovação deles está centrada nesse tipo de implementação (veja pfsync, ftp-proxy, carp, gerenciamento de vlan, ipsec, sasync, ifstated, pflogd, etc - todos incluídos na base)
• O FreeBSD está com vários releases por trás de seu port of pf
• pf é mais elegante e gerenciável que iptables, ipchains, ipfw ou ipf
• Processo de instalação / instalação do Leaner

Dito isto, se você estiver intimamente familiarizado com o Linux ou com o FreeBSD e não tiver tempo para investir, é provavelmente uma idéia melhor usar um deles.

pfsense É um ótimo firewall baseado em FreeBSD, é muito rico em recursos, fácil de configurar e possui uma comunidade ativa, bem como suporte opções. Existem várias pessoas usando em situações comerciais / de produção que estão ativas no fórum. Eu uso em casa e estou empurrando no trabalho, é uma alternativa muito bem colocada. Eles até têm uma imagem de VM para download para testá-la!

Onde eu trabalho, estamos usando o RHEL5 + quagga & zebra sobre 4 caixas para executar trânsito para 450mbps. Então, sim, você pode fazer isso na empresa e economizar muito dinheiro.

Classificamos a limitação usando o TC e fazemos uso das regras iptables e notrack.

Eu usei o OpenBSD 3.9 como um firewall e mudei para um Juniper SSG5.

Como dito pelo sh-beta OpenBSD como muitos recursos bons: pf é incrível, tcpdump, muitas boas ferramentas ...

Eu tinha algumas razões para mudar para a Juniper. Em particular, a configuração é rápida e fácil. No OpenBSD tudo é "um pouco complicado".

por exemplo: o gerenciamento de largura de banda é, na minha opinião, muito mais fácil de configurar no SSG.

A versão do OpenBSD que usei era bem antiga; Talvez versões mais recentes sejam melhores neste ponto.

Para os pequenos negócios do meu pai com uma filial, eu uso o OpenBSD como o roteador / gateway / firewall para o escritório principal e para a filial. Nunca nos decepcionou. Nós usamos um Dell Tower Server em cada local. Cada servidor é equipado com um cartão Dual GiGE, 8GB de memória RAM (um pouco exagerado, eu sei) e funciona bem. A filial está configurada para se conectar à principal através do IPSEC e a implementação IPSEC do OpenBSD é deliciosamente fácil de usar.

Os gateways do OpenBSD são usados em muitas configurações corporativas. Temos dois gateways do OpenBSD em nossas redes.

Ainda me lembro de um episódio engraçado no OpenBSD: o disco rígido morreu, mas o gateway apenas continuou o tráfego de roteamento, como se nada tivesse acontecido, atendendo apenas pela memória. Isso me deu algum tempo para configurar outra instância.

Requisitos de hardware muito baixos, os Dual Opteron 248 são excelentes. Eu raramente vejo o cpu ultrapassar 5%. Eles são muito estáveis. Estou usando há pouco mais de 7 anos sem problemas.

Eu tenho rodado o OpenBSD (4.9) em produção no nosso firewall principal há um bom tempo. É um ASUS MB bastante antigo com 2 GB de RAM DDR (1) e um Athlon dual core (2 GHz). Eu comprei um cartão intel de porta quádrupla (pci-express) e usei na porta gráfica x16. NÃO jogue fora suas placas gráficas PCI se tiver algum problema. Você precisará dele como uma placa gráfica se planeja usar a porta 16x PCI Express para o NIC (o gfx integrado não funcionava no meu caso).

Eu sei que não é um hardware de "classe empresarial". mas esses são os benefícios claros dessa configuração:

• Eu tenho muitos desses MB por aí, e assim nunca ficarei sem peças de reposição (se preparando para o CARP também).

• A arquitetura AMD mais barata suporta a RAM ECC!.

• Todas as peças de hardware / sobressalentes são "da prateleira" baratas e estáveis

• O desempenho nessas plataformas é ótimo (4x Gbps), mesmo para nossa configuração de hospedagem bastante pesada!

Eu tenho no passado. Instalei-o originalmente em alguns PCs "whitebox" e atualizei para um Dell Power Edge 2950. Fontes de alimentação redundantes, unidades de disco rígido - grande aprimoramento do ponto de vista da confiabilidade. Não é uma melhoria observada, claro, tivemos sorte e o whitebox nunca caiu, mas teoricamente estávamos em melhor forma com mais redundância.

Estávamos usando apenas o filtro de pacotes T1, portanto, não é uma melhoria notável no desempenho.

Você pensou em mudar para o FreeBSD? O OpenBSD não pode utilizar totalmente sistemas SMP modernos (por exemplo, Core2Quad). O FreeBSD tem pf e ipfw que você pode usar simultaneamente e também possui camada de rede não-GIANT.

Temos usado roteadores de software FreeBSD como gateways do ISP por anos, isso nos poupou muito de $$

Eu não posso falar por * BSD (ainda ... me dê tempo ...) mas nós estamos rodando roteadores Linux por mais de 10 anos e os amamos. Mais barato, sem aborrecimentos de licença, e se você olhar para os documentos, você encontrará que você tem a maioria das ferramentas que você precisa para fazer as coisas. Eu suspeito que o BSD esteja no mesmo barco.

Estamos executando um DL365 G1 com um único soquete de processador cheio e 6 Gb, embora a RAM seja principalmente para serviço de caixas de correio ...

Use as placas de rede Intel (em) Gigabit Server.

Um cartão que funciona bem é o HP NC360T. É dual port e pci-express.