다른 사람이 기업에서 OpenBSD를 라우터로 사용하고 있습니까? 어떤 하드웨어를 사용하고 있습니까? [닫은]


26

우리는 각각의 위치에 OpenBSD 라우터를 가지고 있으며 현재 4U 서버 케이스의 일반 "homebrew"PC 하드웨어에서 실행됩니다. 안정성 문제 및 공간 고려 사항으로 인해 지원 등을 갖춘 적절한 서버급 하드웨어로 업그레이드하려고합니다.

이 상자는 각 사이트에서 라우터, 게이트웨이 및 방화벽 역할을합니다. 이 시점에서 우리는 OpenBSD 및 Pf에 대해 잘 알고 있으므로 시스템에서 전용 Cisco 하드웨어와 같은 다른 시스템으로 옮기는 것을 주저합니다.

현재 시스템을 일부 HP DL 시리즈 1U 시스템 (모델은 아직 결정되지 않음)으로 옮길 생각입니다. 다른 사람들이 자신의 비즈니스에서 이와 같은 설정을 사용하거나 다른 설정으로 마이그레이션하거나 다른 곳에서 마이그레이션 한 경우 궁금합니다.


1
우리가 9 년 동안 개방형 bsd를 운영하면서 데이터 센터의 전력 문제로 인해 jos로 전환하려고 생각하기 시작하면서 답변이 도움이되었다는 것을 알았습니다. 이제 개방형 플랫폼에서 실행하면 얻을 수있는 이점을 과소 평가했다고 생각합니다.

답변:


43

FogBugz On Demand를 제공하기 위해 OpenBSD 라우터 / 방화벽을 독점적으로 운영합니다. 대중 교통 역할을 수행하고 있고 목적으로 구축 된 하드웨어 및 통합 소프트웨어가 제공 할 수있는 매우 높은 pps 처리량이 필요한 경우가 아니라면 견고한 하드웨어의 OpenBSD는보다 관리하기 쉽고 확장 가능하며 경제적 인 솔루션입니다.

OpenBSD와 IOS 또는 JUNOS 비교 (제 경험상) :

장점

  • pf 방화벽은 유연성, 관리 가능한 구성 및 다른 서비스와의 통합 측면에서 타의 추종을 불허합니다 (spamd, ftp-proxy 등과 완벽하게 작동). 구성 예제는 정의하지 않습니다.
  • 게이트웨이에서 * nix의 모든 도구 (syslog, grep, netcat, tcpdump, systat, top, cron 등)를 얻습니다.
  • 필요에 따라 도구를 추가 할 수 있습니다. iperf 및 iftop 매우 유용합니다.
  • tcpdump. 충분했다.
  • Unix 재향 군인을위한 직관적 인 구성
  • 기존 구성 관리 (cfengine, 꼭두각시, 스크립트 등)와 완벽하게 통합됩니다.
  • 차세대 기능은 무료이며 추가 모듈이 필요하지 않습니다.
  • 성능 추가가 저렴
  • 지원 계약이 없음

단점

  • IOS / JUNOS를 사용하면 전체 구성을보다 쉽게 ​​덤프 /로드 할 수 있습니다. 구성 관리 도구가 없으면 구성을 작성한 후에 쉽게 배포 할 수 있습니다.
  • 일부 인터페이스는 OpenBSD에서 사용할 수 없거나 안정적이지 않습니다 (예 : 잘 지원되는 ATM DS3 카드는 없습니다).
  • 고급 전용 Cisco / Juniper 유형 장치는 서버 하드웨어보다 더 높은 PP를 처리합니다
  • 지원 계약이 없음

ISP와 같은 환경에서 백본 라우터 나 특수 네트워크 연결과 연결되는 에지 라우터에 대해 이야기하지 않는 한 OpenBSD는 괜찮을 것입니다.

하드웨어

라우터 성능에서 가장 중요한 것은 NIC입니다. 수신하는 모든 단일 패킷에 대해 방해가되는 NIC가 있으면 고속 CPU는 적당한로드에서 빠르게 압도됩니다. 최소한 인터럽트 완화 / 응집을 지원하는 기가비트 NIC를 찾으십시오. Broadcom (bge, bnx) 및 Intel (em) 드라이버와 함께 행운을 빕니다.

CPU 속도는 전용 하드웨어보다 중요하지만 걱정할 사항은 없습니다. 최신 서버급 CPU는 많은 트래픽을 처리하기 전에 많은 트래픽을 처리합니다.

적절한 ECC RAM, 안정적인 하드 드라이브 및 견고한 섀시로 괜찮은 CPU를 얻으십시오 (여러 코어는 아직 많은 도움이되지 않으므로 원시 GHz를보십시오). 그런 다음 모든 것을 두 배로 늘리고 두 개의 노드를 활성 / 수동 CARP 클러스터로 실행하십시오. 4.5의 pfsync 업그레이드 이후에는 active / active를 실행할 수 있지만 테스트하지는 않았습니다.

내 라우터는 1U 트윈 노드 구성에서로드 밸런서와 나란히 실행됩니다. 각 노드에는 다음이 있습니다.

  • Supermicro SYS-1025TC-TB 섀시 (내장 Intel Gigabit NIC)
  • Xeon Harpertown Quad Core 2GHz CPU (내로드 밸런서는 다중 코어를 사용합니다)
  • 4GB Kingston ECC 등록 RAM
  • 듀얼 포트 인텔 기가비트 애드 인 NIC

배포 이후로 견고했습니다. 이것에 관한 모든 것은 트래픽로드에 과잉이지만 처리량을 800Mbps 이상으로 테스트했습니다 (NIC 제한, CPU는 대부분 유휴 상태 임). 우리는 VLAN을 많이 사용하므로 이러한 라우터는 많은 내부 트래픽도 처리해야합니다.

각 1U 섀시에는 2 개의 노드에 전원을 공급하는 단일 700W PSU가 있으므로 전력 효율성이 환상적입니다. 여러 섀시를 통해 라우터와 밸런서를 배포하여 전체 섀시를 잃을 수 있고 장애 조치가 거의 이루어졌습니다 (pfsync 및 CARP 감사).

운영체제

다른 사람들은 OpenBSD 대신 Linux 또는 FreeBSD를 사용한다고 언급했습니다. 내 서버의 대부분은 FreeBSD이지만 몇 가지 이유로 OpenBSD 라우터를 선호합니다.

  • Linux 및 FreeBSD보다 보안 및 안정성에 더 집중
  • 모든 오픈 소스 OS에 대한 최고의 문서
  • 그들의 혁신은 이러한 유형의 구현을 중심으로 이루어집니다 (pfsync, ftp-proxy, carp, vlan 관리, ipsec, sasync, ifstated, pflogd 등 참조).
  • FreeBSD는 pf 포트에서 여러 버전을 지원합니다
  • pf는 iptables, ipchains, ipfw 또는 ipf보다 더 우아하고 관리 가능합니다.
  • Leaner 설정 / 설치 프로세스

즉, Linux 또는 FreeBSD에 대해 잘 알고 있고 투자 할 시간이 없다면 그 중 하나를 사용하는 것이 좋습니다.


매우 상세한 답변에 감사드립니다. 여러분이 설명하는 것은 우리가 구축하고자하는 시스템 유형, 온보드 듀얼 GigE가있는 서버 쌍 및 CARP 장애 조치 구성의 듀얼 GigE 애드 인 NIC입니다. 다른 사람이 주요 프로덕션 시스템에서 이러한 설정을 실행하고 있음을 확인하는 것이 매우 안심입니다.
Kamil Kisiel 2016 년

1
개인적으로 iptables를 선호합니다 .pf가 너무 제한적이라고 생각합니다. OpenBSD에서의 CARP에 대한 나의 경험은 계획된 작업 (계획된 페일 오버)을 원할 때 훌륭하지만 실제로 페일 오버가 있을 때 페일 오버가 작동 하지 않는다는 것입니다. 나는 정확히 하나의 pf 충돌 장애 복구를 수행했으며 이것이 OpenBSD 4.5와 관련이 있습니다. 또한 OpenBSD에 대한 지원 상황은 어둡습니다. 사내 지식이 없거나 누군가에게 돈을 지불하지 않으면 모든 질문이나 지원에 대한 대답은 "당신의 어머니는 뚱뚱합니다"입니다.
Thomas

1
장애 조치 구성에서 pf / pfsync / CARP 두 방화벽을 실행합니다. 두 가지 장애 조치 상황이 발생했으며 두 경우 모두 방화벽 중 하나가 작동 중지되었다고 말하는 모니터링 시스템에서만 알게되었습니다. 클러스터의 서비스는 눈에 띄게 중단되지 않고 계속되었습니다.
Insyte

8

pfsense 훌륭한 FreeBSD 기반의 방화벽으로, 기능이 풍부하고 설정이 쉬우 며 활발한 커뮤니티와 지원 옵션이 있습니다. 포럼에서 활발한 상업 / 제작 상황에서 여러 사람이 사용하고 있습니다. 나는 집에서 그것을 사용하고 직장에서 그것을 추진하고 있습니다. 그들은 심지어 그것을 테스트하기 위해 다운로드 할 VM 이미지를 가지고 있습니다!


나는 그 링크를 보았다. MonoWall의 변형이 훌륭해 보입니다. :-)
djangofan

나는 pfsense가 PC 기반 시스템에 중점을 둔 반면 모노는 임베디드 하드웨어에 중점을두고 있다고 생각합니다. 나는 그것이 m0n0wall 또는 다른 기본 방화벽 배포판보다 더 고급 / 기업 급 기능을 제공하기위한 것이라고 생각합니다.
Chance

2

내가 일하는 곳에서 4 박스 이상의 RHEL5 + quagga & zebra를 사용하여 450mbps의 전송을 실행합니다. 따라서 기업에서이를 수행하고 많은 돈을 절약 할 수 있습니다.

TC를 사용하여 속도 제한을 수행하고 iptables 및 notrack 규칙을 사용합니다.


2

방화벽으로 OpenBSD 3.9를 사용하고 Juniper SSG5로 전환했습니다.

sh-beta OpenBSD가 많은 좋은 기능으로 말했듯이 : pf는 놀랍고 tcpdump이며 많은 훌륭한 도구입니다 ...

주니퍼로 전환해야 할 이유가있었습니다. 특히 구성이 빠르고 쉽습니다. OpenBSD에서는 모든 것이 "조금 복잡하다".

예를 들어, 대역폭 관리는 SSG에서 구성하기가 훨씬 쉽습니다.

내가 사용한 OpenBSD 버전은 상당히 오래되었다. 이 시점에서 최신 버전이 더 나을 수도 있습니다.


하드웨어 측면에서, OpenBSD 상자는 오래된 Dell GX280이었습니다.
Matthieu

1

지점이 하나 인 아버지의 소규모 사업을 위해 OpenBSD를 본사와 지점의 라우터 / 게이트웨이 / 방화벽으로 사용합니다. 결코 실망시키지 않았습니다. 각 위치에서 Dell 타워 서버를 사용합니다. 각 서버에는 듀얼 GiGE 카드, 8GB 램 (약간의 잔인 함)이 장착되어 있으며 제대로 작동합니다. 지사는 IPSEC를 통해 주 사무소에 연결되도록 구성되어 있으며 OpenBSD의 IPSEC 구현은 유쾌하게 사용하기 쉽습니다.


1

OpenBSD 게이트웨이는 많은 엔터프라이즈 설정에서 사용됩니다. 네트워크에는 두 개의 OpenBSD 게이트웨이가 있습니다.

나는 여전히 OpenBSD에서 재미있는 에피소드 하나를 떠 올렸다. 하드 디스크는 죽었지 만, 게이트웨이는 아무 것도 없었던 것처럼 트래픽 만 라우팅하여 메모리만으로 서비스를 제공했다. 다른 인스턴스를 설정할 시간이 생겼습니다.

매우 낮은 하드웨어 요구 사항 인 Dual Opteron 248은 훌륭합니다. CPU가 5 %를 넘지 않는 경우는 거의 없습니다. 그들은 매우 안정적입니다. 지금은 7 년 이상 문제없이 사용하고 있습니다.


1

필자는 주 방화벽에서 프로덕션 환경에서 OpenBSD (4.9)를 꽤 오랫동안 실행 해 왔습니다. 2GB DDR (1) RAM과 듀얼 코어 (2 GHz) 애슬론이 장착 된 다소 오래된 ASUS MB입니다. 쿼드 포트 인텔 카드 (pci-express)를 구입하여 x16 그래픽 포트에 사용했습니다. 누워있는 경우 PCI 그래픽 카드를 버리지 마십시오. NIC에 16x PCI-express 포트를 사용하려는 경우 그래픽 카드로 필요합니다 (내 경우에는 온보드 gfx가 작동하지 않음).

"엔터프라이즈 급"하드웨어가 아니라는 것을 알고 있습니다. 이 설정의 장점은 다음과 같습니다.

  • 나는이 MB가 많이 놓여 있으므로 예비 부품이 부족하지 않습니다 (CARP도 준비).

  • 가장 저렴한 AMD 보드는 ECC RAM을 지원합니다!.

  • 모든 하드웨어 / 예비 부품은 "선반의"싸고 안정적입니다

  • 이러한 장비의 성능은 다소 무거운 호스팅 설정에서도 우수합니다 (4x Gbps)!


0

나는 과거에있다. 원래 일부 "화이트 박스"PC에 설치 한 다음 Dell Power Edge 2950으로 업그레이드했습니다. 중복 전원 공급 장치, 하드 드라이브-안정성 측면에서 크게 개선되었습니다. 물론 관찰 된 개선 사항은 아니지만 운이 좋았고 화이트 박스가 충돌하지 않았지만 이론적으로는 중복성이 향상되어 더 나은 모양을 유지했습니다.

T1을 패킷 필터링하는 데만 사용했기 때문에 성능이 크게 향상되지 않았습니다.


0

FreeBSD 로의 전환을 고려 했습니까? OpenBSD는 최신 SMP 시스템 (예 : Core2Quad)을 완전히 활용할 수 없습니다. FreeBSD에는 동시에 사용할 수있는 pf 및 ipfw가 있으며 비 GIANT 네트워킹 계층도 있습니다.

우리는 수년간 ISP 게이트웨이로 소프트웨어 FreeBSD 라우터를 운영해 왔으며, 이는 많은 비용을 절감시켜주었습니다.


0

나는 * BSD를 말할 수는 없지만 (아직 시간을주십시오 ...) 우리는 10 년 이상 Linux 라우터를 운영해 왔으며 그들을 좋아했습니다. 더 저렴하고 라이센스 번거 로움이 없으며 문서를 보면 작업을 완료하는 데 필요한 대부분의 도구가 있음을 알 수 있습니다. 나는 BSD가 같은 보트에 있다고 생각합니다.

RAM은 대부분 사서함 서비스에 사용되지만 DL365 G1은 단일 프로세서 소켓이 채워지고 6Gb로 실행됩니다.


0

인텔 (em) 기가비트 서버 NIC를 사용하십시오.

잘 작동하는 카드는 HP NC360T입니다. 듀얼 포트와 pci-express입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.