एंटरप्राइज़ में राउटर के रूप में ओपनबीएसडी का उपयोग करने वाला कोई और है? आप इसे किस हार्डवेयर पर चला रहे हैं? [बन्द है]


26

हमारे पास प्रत्येक स्थान पर एक OpenBSD राउटर है, जो वर्तमान में 4U सर्वर केस में जेनेरिक "होमब्रेव" पीसी हार्डवेयर पर चल रहा है। विश्वसनीयता संबंधी चिंताओं और अंतरिक्ष संबंधी विचारों के कारण हम उन्हें कुछ उचित सर्वर-ग्रेड हार्डवेयर के साथ समर्थन आदि के लिए अपग्रेड कर रहे हैं।

ये बॉक्स प्रत्येक साइट पर राउटर, गेटवे और फायरवॉल के रूप में काम करते हैं। इस बिंदु पर हम OpenBSD और Pf से काफी परिचित हैं, इसलिए सिस्टम से दूर किसी और जगह पर जाने में हिचकिचाते हैं जैसे कि समर्पित सिस्को हार्डवेयर।

मैं वर्तमान में सिस्टम को कुछ HP DL-Series 1U मशीनों पर ले जाने के बारे में सोच रहा हूं (मॉडल अभी तक निर्धारित नहीं किया गया है)। मैं यह सुनने के लिए उत्सुक हूं कि क्या अन्य लोग अपने व्यवसाय में इस तरह के सेटअप का उपयोग करते हैं, या एक से दूर चले गए हैं या चले गए हैं।


1
मुझे जवाब मिला कि हमने 9 साल से खुली bsd चला रहे हैं और डेटा सेंटर में बिजली की समस्या के कारण jos में जाने के बारे में सोचना शुरू कर दिया है। अब मैं फिर से सोचूंगा क्योंकि मुझे लगता है कि हमने एक खुले मंच पर चलने के लाभों का अंदाजा लगाया है।

जवाबों:


43

FogBugz On Demand की सेवा के लिए हम विशेष रूप से OpenBSD राउटर / फायरवॉल चलाते हैं। जब तक आप एक पारगमन भूमिका में काम कर रहे हैं और अत्यधिक उच्च pps थ्रूपुट की आवश्यकता है जो उद्देश्य-निर्मित हार्डवेयर और एकीकृत सॉफ़्टवेयर प्रदान कर सकता है, ठोस हार्डवेयर पर OpenBSD एक अधिक प्रबंधनीय, स्केलेबल और किफायती समाधान होगा।

OpenBSD की तुलना IOS या JUNOS से (मेरे अनुभव में):

लाभ

  • पीएफ फ़ायरवॉल लचीलापन, प्रबंधनीय कॉन्फ़िगरेशन और अन्य सेवाओं में एकीकरण (स्पैम, एफटीपी-प्रॉक्सी, आदि के साथ मूल रूप से काम करता है) के मामले में बेजोड़ है। कॉन्फ़िगरेशन के उदाहरण इसे न्याय नहीं करते हैं।
  • आपको अपने गेटवे पर एक * निक्स के सभी उपकरण मिलते हैं: syslog, grep, netcat, tcpdump, systat, top, cron, आदि।
  • आप आवश्यक के रूप में उपकरण जोड़ सकते हैं: iperf और iftop मैंने बहुत उपयोगी पाया है
  • tcpdump। पर्याप्त कथन।
  • यूनिक्स दिग्गजों के लिए सहज विन्यास
  • मौजूदा विन्यास प्रबंधन के साथ सहज एकीकरण (cfengine, कठपुतली, स्क्रिप्ट, जो भी)।
  • अगली जीन सुविधाएँ मुफ़्त हैं और किसी ऐड-ऑन मॉड्यूल की आवश्यकता नहीं है।
  • प्रदर्शन जोड़ना सस्ता है
  • कोई समर्थन अनुबंध नहीं

नुकसान

  • IOS / जूनोस ने संपूर्ण कॉन्फ़िगरेशन को डंप / लोड करना सरल बना दिया है। किसी भी कॉन्फ़िगरेशन प्रबंधन टूल को अनुपस्थित करें, आपके कॉन्फ़िगरेशन के लिखे जाने के बाद उन्हें तैनात करना आसान हो जाएगा।
  • OpenBSD पर कुछ इंटरफेस बस या स्थिर के लिए उपलब्ध नहीं हैं (उदाहरण के लिए, मैं अच्छी तरह से समर्थित एटीएम DS3 कार्ड के बारे में नहीं जानता)।
  • उच्च अंत समर्पित सिस्को / जुनिपर-प्रकार के उपकरण सर्वर हार्डवेयर की तुलना में उच्च pps को संभालेंगे
  • कोई समर्थन अनुबंध नहीं

जब तक आप आईएसपी जैसे वातावरण में बैकबोन राउटर के बारे में बात नहीं कर रहे हैं या विशेष नेटवर्क कनेक्शन के साथ एज राउटर के लिए, ओपनबीएसडी ठीक होना चाहिए।

हार्डवेयर

आपके रूटर प्रदर्शन के लिए सबसे महत्वपूर्ण बात यह है कि आपका एनआईसी। एक तेज सीपीयू जल्दी से मध्यम भार के नीचे दब जाएगा यदि आपके पास चमकदार एनआईसी है जो उन्हें प्राप्त होने वाले हर एक पैकेट के लिए बाधित होता है। गीगाबिट एनआईसी को देखें जो कम से कम व्यवधान / तालमेल का समर्थन करते हैं। मुझे ब्रॉडकॉम (bge, bnx) और Intel (em) ड्राइवरों के साथ अच्छी किस्मत मिली है।

समर्पित हार्डवेयर की तुलना में सीपीयू की गति अधिक महत्वपूर्ण है, लेकिन इसके बारे में झल्लाहट करने के लिए कुछ नहीं। कोई भी आधुनिक सर्वर-क्लास सीपीयू कोई भी स्ट्रेन दिखाने से पहले एक टन ट्रैफिक संभाल लेगा।

अपने आप को एक सभ्य सीपीयू पकड़ो (कई कोर अभी बहुत मदद नहीं करते हैं, इसलिए कच्चे गीगाहर्ट्ज पर देखें) अच्छा ईसीसी रैम, एक विश्वसनीय हार्ड ड्राइव, और एक ठोस चेसिस। फिर सब कुछ डबल करें और सक्रिय / निष्क्रिय सीएआरपी क्लस्टर के रूप में दो नोड चलाएं। 4.5 के pfsync अपग्रेड के बाद से आप सक्रिय / सक्रिय चला सकते हैं, लेकिन मैंने इसका परीक्षण नहीं किया है।

मेरे राउटर 1U ट्विन-नोड कॉन्फ़िगरेशन में हमारे लोड-बैलेन्कर्स के साथ कंधे से कंधा मिलाकर चल रहे हैं। प्रत्येक नोड में है:

  • सुपरमाइक्रो SYS-1025TC-TB चेसिस (अंतर्निहित इंटेल गिगाबिट एनआईसीएस)
  • Xeon हार्परटाउन क्वाड कोर 2GHz CPU (मेरे लोड बैलेंसर्स कई कोर का उपयोग करते हैं)
  • 4 जीबी किंग्स्टन ईसीसी पंजीकृत रैम
  • दोहरे पोर्ट इंटेल गिगाबिट ऐड-इन एनआईसी

तैनाती के बाद से वे रॉक-सॉलिड हैं। इसके बारे में सब कुछ हमारे ट्रैफ़िक लोड के लिए ओवरकिल है, लेकिन मैंने 800Mbps (NIC-limited, CPU ज्यादातर निष्क्रिय था) से ऊपर की ओर परीक्षण किया है। हम वीएलएएन का भारी उपयोग करते हैं, इसलिए इन राउटर को बहुत सारे आंतरिक ट्रैफ़िक को भी संभालना पड़ता है।

पावर दक्षता शानदार है क्योंकि प्रत्येक 1U चेसिस में एक 700W PSU है जिसमें दो नोड्स हैं। हमने कई चेसिस के माध्यम से राउटर और बैलेन्सर वितरित किए हैं ताकि हम एक पूरी चेसिस खो सकें और आपके पास बहुत अधिक सहज विफलता हो (धन्यवाद pfsync और CARP)।

ऑपरेटिंग सिस्टम

कुछ अन्य लोगों ने ओपनबीएसडी के बजाय लिनक्स या फ्रीबीएसडी का उपयोग करने का उल्लेख किया है। मेरे अधिकांश सर्वर FreeBSD हैं, लेकिन मैं कुछ कारणों से OpenBSD राउटर पसंद करता हूं:

  • लिनक्स और फ्रीबीएसडी की तुलना में सुरक्षा और स्थिरता पर एक सख्त फोकस
  • किसी भी ओपन सोर्स ओएस का सबसे अच्छा प्रलेखन
  • उनका नवाचार इस प्रकार के कार्यान्वयन के आसपास केंद्रित है (देखें pfsync, ftp -xy, carp, vlan management, ipsec, sasync, ifstated, pflogd, आदि - जो सभी आधार में शामिल हैं)
  • FreeBSD अपने pf के पोर्ट पर कई रिलीज़ है
  • pf iptables, ipchains, ipfw, या ipf से अधिक सुरुचिपूर्ण और प्रबंधनीय है
  • लीनर सेटअप / इंस्टॉल प्रक्रिया

कहा कि, यदि आप लिनक्स या फ्रीबीएसडी से परिचित हैं और निवेश करने का समय नहीं है, तो शायद उनमें से किसी एक के साथ जाना बेहतर होगा।


अत्यंत विस्तृत उत्तर के लिए धन्यवाद। आप जो वर्णन करते हैं वह बहुत हद तक ठीक उसी प्रकार की व्यवस्था है जिस पर हम निर्माण कर रहे हैं, ऑनबोर्ड दोहरे गिग के साथ सर्वरों की एक जोड़ी और एक सीएआरपी फेलओवर कॉन्फ़िगरेशन में एनआईसी में एक दोहरी गीग एड-इन। यह देखना बहुत आश्वस्त करने वाला है कि कोई अन्य व्यक्ति एक प्रमुख उत्पादन प्रणाली में इस तरह का सेटअप चला रहा है।
कामिल किसियल

1
व्यक्तिगत रूप से मैं iptables पसंद करता हूं, मुझे लगता है कि pf बहुत प्रतिबंधित है। ओपनबीएसडी पर सीएआरपी के साथ मेरा अनुभव यह है कि जब आप नियोजित नौकरियों (योजनाबद्ध विफलता) करना चाहते हैं तो यह बहुत अच्छा है, लेकिन वास्तविक गलती होने पर विफलता अक्सर काम नहीं करेगी । मैं वास्तव में एक सफल पीएफ दुर्घटना विफलता था, और यह OpenBSD 4.5 के साथ था। इसके अलावा, OpenBSD के लिए समर्थन की स्थिति निराशाजनक है। यदि आपके पास इन-हाउस ज्ञान नहीं है या किसी को भुगतान करते हैं तो क्रैश होने पर सभी सवालों या समर्थन का जवाब है: "आप माँ मोटी है"।
थॉमस

1
मैं एक असफल विन्यास में pf / pfsync / CARP दो फायरवॉल चलाता हूं। मैंने दो असफल स्थितियों का अनुभव किया है और दोनों ही मामलों में मैंने अपने निगरानी तंत्र से केवल फायरवॉल में से एक के बारे में बताया था। क्लस्टर की सेवाएं बिना किसी रुकावट के चलती रहीं।
15

8

pfsense एक महान FreeBSD आधारित फ़ायरवॉल है, जो इसकी बहुत ही समृद्ध, सेटअप करने में आसान है, और एक सक्रिय समुदाय के साथ-साथ समर्थन विकल्प भी है। वाणिज्यिक / उत्पादन स्थितियों में इसका उपयोग करने वाले कई लोग हैं जो फोरम में सक्रिय हैं। मैं इसे घर पर उपयोग करता हूं और काम पर लगा रहा हूं, इसका वास्तव में अच्छा विकल्प है। यहां तक ​​कि उनके पास इसे डाउनलोड करने के लिए वीएम इमेज भी है!


मैंने उस लिंक को देखा। MonoWall का वह संस्करण बहुत अच्छा लग रहा है। :-)
दिजांगोफ़न

मेरा मानना ​​है कि मोनो एम्बेडेड हार्डवेयर पर केंद्रित है, जबकि pfsense पीसी आधारित प्रणालियों पर केंद्रित है। मेरा मानना ​​है कि यह m0n0wall या अन्य बुनियादी फ़ायरवॉल डिस्ट्रो में पाए जाने वाले लोगों की तुलना में अधिक उन्नत / एंटरप्राइज़-क्लास सुविधाओं की पेशकश करने के लिए था।
मौका

2

जहाँ मैं काम करता हूँ हम 450mbps के लिए पारगमन चलाने के लिए 4 बक्से पर RHEL5 + quagga & zebra का उपयोग कर रहे हैं। तो हाँ, आप इसे उद्यम में कर सकते हैं और बहुत सारा पैसा बचा सकते हैं।

हम टीसी का उपयोग करते हुए दर सीमित करते हैं और iptables और notrack के नियमों का उपयोग करते हैं।


2

मैंने ओपनबीएसडी 3.9 का उपयोग फ़ायरवॉल के रूप में किया है और एक जुनिपर एसएसजी 5 पर स्विच किया है।

जैसा कि श-बीटा ओपनबीएसडी ने बहुत सारी खूबियों के रूप में कहा है: पीएफ अद्भुत है, tcpdump, बहुत सारे अच्छे फीचर्स ...

मेरे पास जुनिपर को स्विच करने के कुछ कारण थे। विशेष रूप से, कॉन्फ़िगरेशन तेज और आसान है। OpenBSD पर सब कुछ "थोड़ा जटिल" है।

पूर्व के लिए: बैंडविथ प्रबंधन में मेरी राय है-एसएसजी पर कॉन्फ़िगर करने के लिए बहुत आसान है।

OpenBSD संस्करण जो मैंने उपयोग किया था वह काफी पुराना था; शायद नए संस्करण इस बिंदु पर बेहतर हैं।


हार्डवेयर की तरफ, मेरा OpenBSD बॉक्स एक पुराना डेल GX280 था।
मैथ्यू

1

एक शाखा कार्यालय के साथ मेरे पिता के छोटे व्यवसाय के लिए, मैं OpenBSD को मुख्य और शाखा कार्यालय दोनों के लिए राउटर / गेटवे / फ़ायरवॉल के रूप में उपयोग करता हूं। इसने हमें कभी निराश नहीं किया। हम प्रत्येक स्थान पर एक डेल टॉवर सर्वर का उपयोग करते हैं। प्रत्येक सर्वर एक दोहरी GiGE कार्ड से लैस है, 8GB RAM (मामूली ओवरकिल, मुझे पता है) और अच्छी तरह से काम करता है। IPSEC के माध्यम से मुख्य कार्यालय से जुड़ने के लिए शाखा कार्यालय को कॉन्फ़िगर किया गया है और OpenBSD का IPSEC कार्यान्वयन खुशी से उपयोग करना आसान है।


1

OpenBSD गेटवे का उपयोग कई उद्यम सेटअपों में किया जाता है। हमारे नेटवर्क पर दो OpenBSD गेटवे हैं।

मुझे अभी भी OpenBSD के साथ एक मजेदार एपिसोड याद है: हार्ड डिस्क की मृत्यु हो गई, लेकिन गेटवे सिर्फ रूटिंग ट्रैफिक पर ले जाया गया, जैसे कुछ भी नहीं हुआ था, अकेले मेमोरी से सेवारत। इसने मुझे एक और उदाहरण सेटअप करने के लिए कुछ समय दिया।

बहुत कम हार्डवेयर आवश्यकताएं, ड्यूल ओपेरटन 248 महान हैं। मैं शायद ही कभी सीपीयू को 5% से अधिक देखता हूं। वे बहुत स्थिर हैं। मैं इसे 7 साल से अधिक उपयोग कर रहा हूं अब कोई समस्या नहीं है।


1

मैं काफी समय से हमारे मुख्य फ़ायरवॉल पर उत्पादन में OpenBSD (4.9) चला रहा हूं। इसकी 2 जीबी डीडीआर (1) रैम और एक दोहरे कोर (2 गीगाहर्ट्ज) एथलॉन के साथ एक पुरानी एएसयूएस एमबी है। मैंने एक क्वाड पोर्ट इंटेल कार्ड (pci-express) खरीदा और x16 ग्राफिक्स पोर्ट में इस्तेमाल किया। यदि आपके पास कोई लेटा हुआ है तो अपने पीसीआई ग्राफिक्स कार्ड को न फेंकें। यदि आप एनआईसी के लिए 16x पीसीआई-एक्सप्रेस पोर्ट (मेरे मामले में जहाज पर gfx काम नहीं करते) का उपयोग करने की योजना बनाते हैं, तो आपको ग्राफिक्स कार्ड के रूप में इसकी आवश्यकता होगी।

मुझे पता है कि इसका "एंटरप्राइज क्लास" हार्डवेयर नहीं है। लेकिन ये इस सेटअप के स्पष्ट लाभ हैं:

  • मेरे पास इनमें से बहुत सारे एमबी हैं, और इस तरह कभी भी स्पेयर पार्ट्स से बाहर नहीं निकलेंगे (सीएआरपी के लिए भी तैयार हो रहे हैं)।

  • सबसे सस्ते AMD बॉर्डर्स ECC RAM का समर्थन करते हैं!

  • सभी हार्डवेयर / स्पेयर पार्ट्स "शेल्फ" सस्ते और स्थिर हैं

  • इन रिसावों का प्रदर्शन बहुत अच्छा है (4x Gbps), यहां तक ​​कि हमारे भारी होस्टिंग सेटअप के लिए भी!


0

मेरे पास अतीत है। मैंने इसे मूल रूप से कुछ "व्हाइटबॉक्स" पीसी पर स्थापित किया, फिर एक डेल पावर एज 2950 में अपग्रेड किया। निरर्थक बिजली की आपूर्ति, हार्ड ड्राइव - एक विश्वसनीयता के दृष्टिकोण से बड़ा सुधार। निश्चित रूप से नहीं देखा गया सुधार, हम भाग्यशाली हो गए और व्हाइटबॉक्स कभी भी दुर्घटनाग्रस्त नहीं हुआ, लेकिन सैद्धांतिक रूप से हम अधिक अतिरेक के साथ बेहतर आकार में थे।

हम इसका उपयोग केवल पैकेट T1 को फ़िल्टर करने के लिए कर रहे थे, इसलिए ध्यान देने योग्य प्रदर्शन में सुधार नहीं हुआ।


0

क्या आपने FreeBSD पर स्विच करने पर विचार किया? OpenBSD आधुनिक SMP सिस्टम (जैसे Core2Quad) का पूरी तरह से उपयोग नहीं कर सकता है। FreeBSD में pf और ipfw है जो आप एक साथ उपयोग कर सकते हैं और इसमें गैर-जीआईएनटी नेटवर्किंग परत भी है।

हम वर्षों से ISBS गेटवे के रूप में सॉफ्टवेयर FreeBSD राउटर चला रहे हैं, इससे हमें $ $ बहुत बचत हुई


0

मैं * बीएसडी के लिए नहीं बोल सकता (फिर भी ... मुझे समय दें ...) लेकिन हम 10+ साल से लिनक्स रनर चला रहे हैं और उनसे प्यार करते हैं। सस्ता, कोई लाइसेंस की परेशानी नहीं है, और यदि आप डॉक्स को देखते हैं, तो आप पाएंगे कि आपके पास अधिकांश उपकरण हैं जिन्हें आपको काम करने की आवश्यकता है। मुझे संदेह होगा कि बीएसडी एक ही नाव में बहुत अधिक है।

हम एक DL365 G1 को सिंगल प्रोसेसर सॉकेट से भरे और 6Gb के साथ चला रहे हैं, हालाँकि RAM ज्यादातर मेलबॉक्स सर्विसिंग के लिए है ...


0

इंटेल (ईएम) गीगाबिट सर्वर एनआईसी का उपयोग करें।

एक कार्ड जो अच्छी तरह से काम करता है वह है HP NC360T। यह ड्यूल पोर्ट और पेस-एक्सप्रेस है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.