Kami menjalankan router / firewall OpenBSD khusus untuk melayani FogBugz On Demand. Kecuali jika Anda beroperasi dalam peran transit dan membutuhkan throughput pps yang sangat tinggi yang dapat disediakan oleh perangkat keras yang dibangun khusus dan perangkat lunak terintegrasi, OpenBSD pada perangkat keras akan menjadi solusi yang lebih mudah dikelola, dapat diukur, dan ekonomis.
Membandingkan OpenBSD dengan iOS atau JUNOS (menurut pengalaman saya):
Keuntungan
- Firewall pf tidak tertandingi dalam hal fleksibilitas, konfigurasi yang dapat dikelola, dan integrasi ke dalam layanan lain (berfungsi mulus dengan spam, ftp-proxy, dll.). Contoh konfigurasi tidak melakukannya dengan adil.
- Anda mendapatkan semua alat * nix di gateway Anda: syslog, grep, netcat, tcpdump, systat, top, cron, dll.
- Anda dapat menambahkan alat yang diperlukan: iperf dan iftop yang saya temukan sangat berguna
- tcpdump. Cukup kata.
- Konfigurasi intuitif untuk veteran Unix
- Integrasi sempurna dengan manajemen konfigurasi yang ada (cfengine, boneka, skrip, apa pun).
- Fitur-fitur next gen gratis dan tidak memerlukan modul tambahan.
- Menambahkan kinerja itu murah
- Tidak ada kontrak dukungan
Kekurangan
- IOS / JUNOS membuatnya lebih mudah untuk membuang / memuat seluruh konfigurasi. Tanpa adanya alat manajemen konfigurasi, mereka akan lebih mudah untuk digunakan setelah konfigurasi Anda ditulis.
- Beberapa antarmuka tidak tersedia untuk atau stabil pada OpenBSD (misalnya, saya tahu tidak ada kartu ATM DS3 yang didukung dengan baik).
- Perangkat tipe Cisco / Juniper berdedikasi tinggi akan menangani pps lebih tinggi dari perangkat keras server
- Tidak ada kontrak dukungan
Selama Anda tidak berbicara tentang router backbone di lingkungan mirip ISP atau router tepi yang berinteraksi dengan koneksi jaringan khusus, OpenBSD seharusnya baik-baik saja.
Perangkat keras
Yang paling penting untuk kinerja router Anda adalah NIC Anda. CPU yang cepat akan cepat kewalahan di bawah beban moderat jika Anda memiliki NIC yang menyebalkan yang mengganggu setiap paket yang mereka terima. Cari NIC gigabit yang mendukung mitigasi / penggabungan interupsi setidaknya. Saya beruntung dengan driver Broadcom (bge, bnx) dan Intel (em).
Kecepatan CPU lebih penting daripada di perangkat keras khusus, tetapi bukan sesuatu yang mengkhawatirkan. Setiap CPU kelas server modern akan menangani banyak lalu lintas sebelum menunjukkan ketegangan.
Raih sendiri CPU yang layak (banyak core belum banyak membantu, jadi lihatlah pada GHz mentah) RAM ECC yang baik, hard drive yang andal, dan sasis yang kokoh. Kemudian gandakan semuanya dan jalankan dua node sebagai cluster CARP aktif / pasif. Sejak upgrade pfsync 4,5 Anda dapat menjalankan aktif / aktif, tapi saya belum menguji ini.
Router saya berjalan berdampingan dengan load-balancers kami dalam konfigurasi simpul ganda 1U. Setiap node memiliki:
- Sasis Supermicro SYS-1025TC-TB (Intel Gigabit NICs bawaan)
- Xeon Harpertown Quad Core 2GHz CPU (penyeimbang beban saya menggunakan beberapa inti)
- 4GB Kingston ECC Registered RAM
- Dual-port Intel Gigabit add-in NIC
Mereka sudah solid sejak penempatan. Segala sesuatu tentang ini berlebihan untuk beban lalu lintas kami, tapi saya sudah menguji throughput di atas 800Mbps (terbatas NIC, CPU kebanyakan menganggur). Kami menggunakan banyak VLAN, jadi router ini juga harus menangani banyak lalu lintas internal.
Efisiensi daya luar biasa karena setiap sasis 1U memiliki 700W PSU tunggal untuk dua node. Kami telah mendistribusikan router dan balancers melalui beberapa sasis sehingga kami dapat kehilangan seluruh sasis dan mengalami kegagalan yang sangat mulus (terima kasih pfsync dan CARP).
Sistem operasi
Beberapa yang lain telah menyebutkan menggunakan Linux atau FreeBSD bukan OpenBSD. Sebagian besar server saya adalah FreeBSD, tetapi saya lebih suka router OpenBSD karena beberapa alasan:
- Fokus yang lebih ketat pada keamanan dan stabilitas daripada Linux dan FreeBSD
- Dokumentasi terbaik untuk OS Open Source apa pun
- Inovasi mereka terpusat pada jenis implementasi ini (lihat pfsync, ftp-proxy, karper, manajemen vlan, ipsec, sasync, ifstated, pflogd, dll - yang semuanya termasuk dalam basis)
- FreeBSD adalah beberapa rilis di belakang pada port pf mereka
- pf lebih elegan dan mudah dikelola daripada iptables, ipchains, ipfw, atau ipf
- Pengaturan leaner / proses instal
Yang mengatakan, jika Anda akrab dengan Linux atau FreeBSD dan tidak punya waktu untuk berinvestasi, mungkin ide yang lebih baik untuk pergi dengan salah satunya.