Wir betreiben ausschließlich OpenBSD-Router / -Firewalls, um FogBugz On Demand zu bedienen. OpenBSD auf solider Hardware ist eine verwaltbare, skalierbare und kostengünstige Lösung, es sei denn, Sie arbeiten in einer Transitrolle und benötigen den extrem hohen Durchsatz von pps, den speziell entwickelte Hardware und integrierte Software bieten können.
Vergleich von OpenBSD mit IOS oder JUNOS (meiner Erfahrung nach):
Vorteile
- Die Firewall von pf ist hinsichtlich Flexibilität, verwaltbarer Konfiguration und Integration in andere Dienste unübertroffen (funktioniert nahtlos mit Spam, FTP-Proxy usw.). Die Konfigurationsbeispiele werden dem nicht gerecht.
- Sie erhalten alle Tools von a * nix auf Ihrem Gateway: syslog, grep, netcat, tcpdump, systat, top, cron usw.
- Sie können nach Bedarf Tools hinzufügen: iperf und iftop, die ich als sehr nützlich empfunden habe
- tcpdump. Genug gesagt.
- Intuitive Konfiguration für Unix-Veteranen
- Nahtlose Integration in das vorhandene Konfigurationsmanagement (Cfengine, Puppet, Skripte, was auch immer).
- Die Funktionen der nächsten Generation sind kostenlos und erfordern keine Zusatzmodule.
- Leistung hinzufügen ist billig
- Keine Supportverträge
Nachteile
- Mit IOS / JUNOS ist es einfacher, eine gesamte Konfiguration zu sichern / zu laden. Ohne Konfigurationsmanagement-Tools sind sie einfacher bereitzustellen, sobald Ihre Konfiguration geschrieben wurde.
- Einige Schnittstellen sind für OpenBSD einfach nicht verfügbar oder stabil (z. B. kenne ich keine gut unterstützten ATM DS3-Karten).
- High-End-Geräte vom Typ Cisco / Juniper unterstützen höhere Übertragungsraten als Serverhardware
- Keine Supportverträge
Solange Sie nicht über Backbone-Router in einer ISP-ähnlichen Umgebung oder Edge-Router sprechen, die mit speziellen Netzwerkverbindungen verbunden sind, sollte OpenBSD in Ordnung sein.
Hardware
Das Wichtigste für die Leistung Ihres Routers sind Ihre Netzwerkkarten. Eine schnelle CPU wird bei mäßiger Auslastung schnell überlastet, wenn Sie beschissene Netzwerkkarten haben, die für jedes einzelne Paket, das sie empfangen, unterbrochen werden. Suchen Sie nach Gigabit-NICs, die mindestens Interrupt-Abschwächung / -Koaleszenz unterstützen. Ich hatte viel Glück mit Broadcom (bge, bnx) und Intel (em) Treibern.
Die CPU-Geschwindigkeit ist wichtiger als bei dedizierter Hardware, aber nichts, worüber man sich ärgern sollte. Jede moderne CPU der Serverklasse bewältigt eine Menge Datenverkehr, bevor es zu Belastungen kommt.
Besorgen Sie sich eine ordentliche CPU (mehrere Kerne helfen derzeit noch nicht viel, sehen Sie sich also die rohen GHz an), einen guten ECC-RAM, eine zuverlässige Festplatte und ein solides Gehäuse. Verdoppeln Sie dann alles und führen Sie zwei Knoten als aktiven / passiven CARP-Cluster aus. Seit dem pfsync-Upgrade von 4.5 können Sie active / active ausführen, ich habe dies jedoch nicht getestet.
Meine Router laufen Seite an Seite mit unseren Load-Balancern in 1U-Twin-Node-Konfigurationen. Jeder Knoten hat:
- Supermicro SYS-1025TC-TB-Chassis (integrierte Intel Gigabit-Netzwerkkarten)
- Xeon Harpertown Quad Core 2-GHz-CPU (meine Load Balancer verwenden mehrere Kerne)
- 4 GB Kingston ECC Registered RAM
- Intel Gigabit-Add-In-Netzwerkkarte mit zwei Anschlüssen
Sie sind seit dem Einsatz von Grund auf solide. Alles daran ist zu viel für unsere Verkehrslast, aber ich habe einen Durchsatz von über 800 Mbit / s getestet (NIC-beschränkt, die CPU war größtenteils im Leerlauf). Da wir VLANs stark nutzen, müssen diese Router auch viel internen Datenverkehr verarbeiten.
Die Energieeffizienz ist fantastisch, da jedes 1U-Gehäuse über ein einziges 700-W-Netzteil verfügt, das zwei Knoten mit Strom versorgt. Wir haben die Router und Balancer auf mehrere Chassis verteilt, sodass wir ein gesamtes Chassis verlieren und praktisch nahtlos ausfallen können (danke PFSYNC und CARP).
Betriebssysteme
Einige andere haben die Verwendung von Linux oder FreeBSD anstelle von OpenBSD erwähnt. Die meisten meiner Server sind FreeBSD-Server, aber ich bevorzuge OpenBSD-Router aus folgenden Gründen:
- Ein stärkerer Fokus auf Sicherheit und Stabilität als auf Linux und FreeBSD
- Die beste Dokumentation aller Open Source-Betriebssysteme
- Ihre Innovation konzentriert sich auf diese Art der Implementierung (siehe pfsync, ftp-proxy, carp, vlan-management, ipsec, sasync, ifstated, pflogd usw. - alle in base enthalten).
- FreeBSD hat mehrere Releases auf seinem PF-Port hinter sich
- pf ist eleganter und übersichtlicher als iptables, ipchains, ipfw oder ipf
- Leaner Setup / Installationsprozess
Das heißt, wenn Sie mit Linux oder FreeBSD vertraut sind und keine Zeit zum Investieren haben, ist es wahrscheinlich eine bessere Idee, sich für eines von ihnen zu entscheiden.