企業のルーターとしてOpenBSDを使用している人はいますか？どのハードウェアで実行していますか？[閉まっている]

それぞれの場所にOpenBSDルーターがあり、現在は4Uサーバーケースの一般的な「自作」PCハードウェアで実行されています。信頼性の懸念とスペースの考慮のため、サポートなどの適切なサーバーグレードのハードウェアにアップグレードすることを検討しています。

これらのボックスは、各サイトでルーター、ゲートウェイ、およびファイアウォールとして機能します。この時点で、OpenBSDとPfに精通しているため、システムから専用のCiscoハードウェアなどに移行することをためらっています。

現在、システムを一部のHP DLシリーズ1Uマシン（モデルは未定）に移行することを考えています。他の人が自分のビジネスでこのような設定を使用しているのか、それとも別の人に移行したのか、または移行したのかを聞きたいです。

OpenBSDルーター/ファイアウォールのみを実行して、FogBugz On Demandに対応しています。トランジットの役割で運用しており、専用ハードウェアと統合ソフトウェアが提供できる非常に高いppsスループットが必要でない限り、堅牢なハードウェア上のOpenBSDは、管理しやすく、スケーラブルで、経済的なソリューションになります。

OpenBSDとIOSまたはJUNOSの比較（私の経験では）：

長所

• pfファイアウォールは、柔軟性、管理可能な構成、および他のサービスへの統合（spamd、ftp-proxyなどとシームレスに連携）の点で比類のないものです。構成例は、それを正しく行いません。
• ゲートウェイ上のすべての* nixのツールを取得します：syslog、grep、netcat、tcpdump、systat、top、cronなど。
• 必要に応じてツールを追加できます：iperfとiftop
• tcpdump。十分に言った。
• Unixのベテラン向けの直感的な設定
• 既存の構成管理（cfengine、puppet、スクリプトなど）とのシームレスな統合。
• 次世代機能は無料で、アドオンモジュールは不要です。
• パフォーマンスの追加は安いです
• サポート契約なし

欠点

• IOS / JUNOSにより、構成全体のダンプ/ロードがより簡単になります。構成管理ツールがない場合は、構成が書き込まれると簡単に展開できます。
• 一部のインターフェースは、OpenBSDで使用できないか、安定していません（たとえば、サポートされているATM DS3カードはありません）。
• ハイエンドの専用Cisco / Juniperタイプデバイスは、サーバーハードウェアよりも高いppsを処理します
• サポート契約なし

ISPのような環境のバックボーンルーターや、特殊なネットワーク接続と接続するエッジルーターについて話していない限り、OpenBSDは問題ありません。

ハードウェア

ルーターのパフォーマンスにとって最も重要なことは、NICです。受信するすべてのパケットに対して割り込みを行うくだらないNICがある場合、高速なCPUは中程度の負荷ですぐに圧倒されます。少なくとも割り込みの軽減/合体をサポートするギガビットNICを探します。Broadcom（bge、bnx）およびIntel（em）ドライバーで幸運に恵まれました。

CPU速度は専用ハードウェアよりも重要ですが、心配する必要はありません。最新のサーバークラスのCPUは、負荷を示す前に大量のトラフィックを処理します。

適切なCPU（複数のコアはまだあまり役に立たないので、生のGHzを見てください）の優れたECC RAM、信頼性の高いハードドライブ、堅牢なシャーシを手に入れてください。次に、すべてを2倍にし、2つのノードをアクティブ/パッシブCARPクラスターとして実行します。4.5のpfsyncアップグレード以降、アクティブ/アクティブを実行できますが、これはテストしていません。

私のルーターは、1Uツインノード構成でロードバランサーと並行して実行されています。各ノードには次のものがあります。

• Supermicro SYS-1025TC-TBシャーシ（ビルトインIntelギガビットNIC）
• Xeon Harpertown Quad Core 2GHz CPU（私のロードバランサーは複数のコアを使用しています）
• 4GBキングストンECCレジスタードRAM
• デュアルポートIntelギガビットアドインNIC

導入以来、堅実な存在です。これに関するすべては、トラフィックの負荷に対してはやり過ぎです。しかし、800Mbps以上のスループットをテストしました（NIC制限、CPUはほとんどアイドル状態でした）。VLANを多用しているため、これらのルーターも多くの内部トラフィックを処理する必要があります。

各1Uシャーシには2つのノードに電力を供給する単一の700W PSUがあるため、電力効率は素晴らしいです。ルーターとバランサーを複数のシャーシに分散しているため、シャーシ全体を失い、ほぼシームレスなフェールオーバーを実現できます（pfsyncとCARPに感謝します）。

オペレーティングシステム

OpenBSDの代わりにLinuxまたはFreeBSDを使用することに言及した人もいます。私のサーバーのほとんどはFreeBSDですが、いくつかの理由からOpenBSDルーターが好きです。

• LinuxやFreeBSDよりもセキュリティと安定性を重視
• オープンソースOSの最高のドキュメント
• 彼らの革新はこのタイプの実装に集中しています（pfsync、ftp-proxy、carp、vlan management、ipsec、sasync、ifstated、pflogdなどを参照してください-これらはすべてベースに含まれています）
• FreeBSDは、pfのポートに複数のリリースがあります
• pfは、iptables、ipchains、ipfw、ipfよりもエレガントで管理しやすい
• Leanerのセットアップ/インストールプロセス

とはいえ、LinuxやFreeBSDに親しみがあり、投資する時間がない場合は、どちらかを選択することをお勧めします。

pfsenseは優れたFreeBSDベースのファイアウォールであり、機能が豊富でセットアップが簡単で、活発なコミュニティとサポートオプションがあります。フォーラムでアクティブになっている商業/生産状況でそれを使用している人々がいます。私は自宅でそれを使用し、仕事でそれをプッシュしています、それは本当にうまくまとめられた選択肢です。彼らはそれをテストするためのダウンロード用のVMイメージさえ持っています！

私が働いている場所では、RHEL5 +クアッガ＆シマウマを4箱以上使用して、450 mbpsでトランジットを実行しています。そう、企業でそれを行うことができ、多くのお金を節約できます。

TCを使用してレート制限を行い、iptablesおよびnotrackルールを使用します。

OpenBSD 3.9をファイアウォールとして使用し、Juniper SSG5に切り替えました。

sh-beta OpenBSDがたくさんの優れた機能として言っているように：pfは素晴らしい、tcpdump、たくさんの優れたツールです...

ジュニパーに切り替える理由がいくつかありました。特に、構成は高速で簡単です。OpenBSDでは、すべてが「少し複雑」です。

たとえば、帯域幅管理は-私の意見では-SSGでの設定がはるかに簡単です。

私が使用したOpenBSDバージョンはかなり古いものでした。この点で新しいバージョンの方が良いかもしれません。

1つのブランチオフィスを持つ父の小規模ビジネスのために、OpenBSDをメインオフィスとブランチオフィスの両方のルーター/ゲートウェイ/ファイアウォールとして使用しています。私たちを失望させたことはありません。各場所でDell Tower Serverを使用しています。各サーバーには、Dual GiGEカード、8GBのRAM（わずかなオーバーキル、私は知っています）が装備されており、正常に動作します。支社はIPSECを介してメインの支社に接続するように構成されており、OpenBSDのIPSEC実装は簡単に使用できます。

OpenBSDゲートウェイは、多くの企業のセットアップで使用されています。ネットワークには2つのOpenBSDゲートウェイがあります。

OpenBSDの面白いエピソードを今でも思い出します。ハードディスクが死にましたが、ゲートウェイはトラフィックのルーティングを続けていました。別のインスタンスをセットアップする時間を与えてくれました。

ハードウェア要件が非常に低いため、Dual Opteron 248は優れています。CPUが5％を超えることはめったにありません。彼らは非常に安定しています。私は問題なくそれをわずか7年以上使用しています。

私はかなり長い間、メインのファイアウォールで実稼働環境でOpenBSD（4.9）を実行しています。2 GB DDR（1）RAMとデュアルコア（2 GHz）Athlonを備えたかなり古いASUS MB。クアッドポートのIntelカード（pci-express）を購入し、x16グラフィックスポートで使用しました。PCIグラフィックスカードを捨てないでください。NICに16x PCIエクスプレスポートを使用する場合、グラフィックカードとして必要になります（私の場合、オンボードgfxは機能しませんでした）。

「エンタープライズクラス」ではないハードウェアを知っています。しかし、これらはこのセットアップの明確な利点です。

• 私はこれらのMBをたくさん持っているので、スペアパーツがなくなることはありません（CARPの準備もしてください）。

• 最も安価なAMDボードはECC RAM！をサポートしています。

• すべてのハードウェア/スペアパーツは「すぐに」安くて安定しています

• これらのリグのパフォーマンスは、かなり重いホスティング設定でも優れています（4x Gbps）！

私は過去に持っています。もともといくつかの「ホワイトボックス」PCにインストールしてから、Dell Power Edge 2950にアップグレードしました。冗長電源、ハードドライブ-信頼性の観点からの大幅な改善。もちろん、改善は見られませんでしたが、幸運にもホワイトボックスがクラッシュすることはありませんでしたが、理論的には冗長性が向上し、より良い状態になりました。

T1のパケットフィルタリングにのみ使用していたため、顕著なパフォーマンスの向上はありませんでした。

FreeBSDへの切り替えを検討しましたか？OpenBSDは、最新のSMPシステム（Core2Quadなど）を完全には利用できません。FreeBSDには、同時に使用できるpfとipfwがあり、非GIANTネットワーク層もあります。

私たちは長年にわたってソフトウェアゲートウェイFreeBSDをISPゲートウェイとして実行してきました。

* BSDについて話すことはできません（まだ...時間をください...）安く、ライセンスの手間がかかりません。ドキュメントを見ると、作業を完了するために必要なツールのほとんどが揃っていることがわかります。私はBSDが同じ船に乗っているのではないかと疑っています。

RAMは主にメールボックスを処理するためのものですが、シングルプロセッサソケットを使用して6GbのDL365 G1を実行しています...

Intel（em）GigabitサーバーNICを使用します。

うまく機能するカードの1つがHP NC360Tです。デュアルポートとpci-expressです。