还有其他人将OpenBSD用作企业中的路由器吗？您在什么硬件上运行它？[关闭]

我们在每个位置都有一个OpenBSD路由器，当前在4U服务器机箱中的通用“自制” PC硬件上运行。由于可靠性和空间方面的考虑，我们正在考虑将其升级到具有支持等功能的适当服务器级硬件。

这些框用作每个站点上的路由器，网关和防火墙。在这一点上，我们对OpenBSD和Pf非常熟悉，因此不愿将其从系统转移到其他东西，例如专用的Cisco硬件。

我目前正在考虑将系统移至某些HP DL系列1U机器（型号尚待确定）。我很想知道其他人是否在他们的业务中使用了这样的设置，或者已经迁移到另一个或从另一个迁移了。

我们专门运行OpenBSD路由器/防火墙来服务FogBugz On Demand。除非您扮演过渡角色，并且需要专用硬件和集成软件可以提供的极高的pps吞吐量，否则，基于固态硬件的OpenBSD将是一个更易于管理，可扩展且经济的解决方案。

将OpenBSD与IOS或JUNOS进行比较（以我的经验）：

好处

• pf防火墙在灵活性，可管理的配置以及与其他服务的集成方面是无与伦比的（可与spamd，ftp-proxy等无缝集成）。配置示例并不能做到这一点。
• 您可以在网关上获得* nix的所有工具：syslog，grep，netcat，tcpdump，systat，top，cron等。
• 您可以根据需要添加工具：iperf和iftop我发现非常有用
• tcpdump。说够了。
• Unix老手的直观配置
• 与现有配置管理（cfengine，puppet，脚本等）的无缝集成。
• 下一代功能是免费的，不需要附加模块。
• 增加性能很便宜
• 没有支持合同

缺点

• IOS / JUNOS使转储/加载整个配置变得更加简单。缺少任何配置管理工具，一旦编写了配置，它们将更易于部署。
• 某些接口根本无法在OpenBSD上使用或在OpenBSD上稳定（例如，我知道没有得到很好支持的ATM DS3卡）。
• 高端专用Cisco / Juniper型设备将处理比服务器硬件更高的pps
• 没有支持合同

只要您不在谈论类似ISP的环境中的骨干路由器或与专用网络连接接口的边缘路由器，OpenBSD就可以了。

硬件

对您的路由器性能而言，最重要的是您的NIC。如果您的网卡太脏了，对于收到的每个数据包都会中断，那么快速的CPU在中等负载下将很快变得不堪重负。寻找至少支持中断缓解/协商的千兆网卡。我对Broadcom（bge，bnx）和Intel（em）驱动程序有好运。

CPU速度比专用硬件更重要，但不必担心。在显示任何压力之前，任何现代服务器级CPU都会处理大量流量。

拥有一个不错的CPU（多核还没有太大帮助，因此请看原始GHz），良好的ECC RAM，可靠的硬盘驱动器和坚固的机箱。然后将所有内容加倍并将两个节点作为主动/被动CARP集群运行。自从4.5的pfsync升级以来，您可以运行active / active，但是我尚未对此进行测试。

我的路由器与负载均衡器在1U双节点配置中并排运行。每个节点具有：

• Supermicro SYS-1025TC-TB机箱（内置的英特尔千兆网卡）
• Xeon Harpertown四核2GHz CPU（我的负载均衡器使用多核）
• 4GB金士顿ECC寄存器RAM
• 双端口英特尔千兆附加网卡

自部署以来，它们一直坚如磐石。关于此问题的所有内容对于我们的流量负载来说都是过高的，但是我已经测试了高达800Mbps的吞吐量（NIC受限制，CPU大部分处于空闲状态）。我们大量使用VLAN，因此这些路由器也必须处理大量内部流量。

由于每个1U机箱都有一个为两个节点供电的700W PSU，因此电源效率极佳。我们已经通过多个机箱分发了路由器和平衡器，因此我们可能会丢失整个机箱并进行几乎无缝的故障转移（感谢pfsync和CARP）。

操作系统

其他一些人提到使用Linux或FreeBSD代替OpenBSD。我的大多数服务器都是FreeBSD，但出于以下几个原因，我更喜欢OpenBSD路由器：

• 与Linux和FreeBSD相比，更加注重安全性和稳定性
• 所有开源OS的最佳文档
• 他们的创新集中在这种类型的实现上（请参阅pfsync，ftp-proxy，carp，VLAN管理，ipsec，sasync，ifstated，pflogd等-所有这些都包含在基本内容中）
• FreeBSD的pf端口上有多个版本
• pf比iptables，ipchains，ipfw或ipf更优雅，更易于管理
• 精简的设置/安装过程

就是说，如果您对Linux或FreeBSD非常熟悉，并且没有时间进行投资，那么选择其中之一可能是一个更好的主意。

pfsense是一个很棒的基于FreeBSD的防火墙，它的功能非常丰富，易于设置，并具有活跃的社区和支持选项。在论坛上活跃的有很多人在商业/生产环境中使用它。我在家中使用它，然后在工作中使用它，这是一个很好的组合选择。他们甚至有一个VM映像供下载以进行测试！

在我工作的地方，我们使用RHEL5 + quagga和zebra超过4个盒子，以450mbps的速度运行传输。所以是的，您可以在企业中做到这一点并节省很多钱。

我们使用TC进行速率限制，并使用iptables和notrack规则。

我已将OpenBSD 3.9用作防火墙，并切换到Juniper SSG5。

正如sh-beta OpenBSD所说的那样，它具有很多不错的功能：pf很棒，tcpdump，很多好的工具...

我有一些理由要切换到瞻博网络。特别地，该配置是快速且容易的。在OpenBSD上，一切“都有些复杂”。

例如：在我看来，带宽管理很容易在SSG上进行配置。

我使用的OpenBSD版本太旧了。在这一点上，也许新版本更好。

对于父亲只有一个分支机构的小型企业，我将OpenBSD用作总公司和分支机构的路由器/网关/防火墙。它从来没有让我们失望。我们在每个位置使用Dell Tower Server。每台服务器都配备了Dual GiGE卡，8GB的ram（我知道有些过分的技巧），并且运行良好。分支机构配置为通过IPSEC连接到主分支机构，并且OpenBSD的IPSEC实现易于使用。

OpenBSD网关用于许多企业设置。我们的网络上有两个OpenBSD网关。

我仍然记得OpenBSD的一个有趣事件：硬盘坏了，但是网关只是进行路由通信，就像什么都没发生一样，仅靠内存提供服务。它给了我一些时间来设置另一个实例。

硬件要求非常低，Dual Opteron 248很棒。我很少看到CPU超过5％。他们非常稳定。我已经使用了7年多了，没有任何问题。

我已经在主防火墙上的生产环境中运行了OpenBSD（4.9）很长时间了。它是一个相当老的ASUS MB，带有2 GB DDR（1）RAM和双核（2 GHz）Athlon。我买了一个四端口英特尔卡（pci-express），并用于x16图形端口。如果周围有任何闲置物品，请勿丢弃PCI图形卡。如果您打算将16x PCI-express端口用于NIC（板载gfx在我的情况下不起作用），则需要将其用作图形卡。

我知道它不是“企业级”硬件。但是这些是此设置的明显好处：

• 我有很多这样的MB，因此永远不会用完备件（也准备进行CARP）。

• 最便宜的AMD bord支持ECC RAM!。

• 所有硬件/备件都是“现成的”廉价且稳定的

• 这些钻机的性能非常好（4x Gbps），即使对于我们相当繁重的托管设置而言！

我过去。我最初将其安装在某些“白盒” PC上，然后升级到Dell Power Edge2950。冗余电源，硬盘驱动器-从可靠性的角度来看，是一个很大的改进。当然，这不是观察到的改进，我们很幸运，白盒从未崩溃，但是从理论上讲，我们处于更好的状态，具有更多的冗余。

我们仅使用它来对T1进行分组过滤，因此性能没有明显改善。

您是否考虑过切换到FreeBSD？OpenBSD无法充分利用现代SMP系统（即Core2Quad）。FreeBSD具有可以同时使用的pf和ipfw，并且还具有非GIANT网络层。

多年来，我们一直在将软件FreeBSD路由器作为ISP网关运行，这为我们节省了很多钱。

我不能代表* BSD（还……给我点时间……），但是我们已经运行Linux路由器已有10多年了，并且很喜欢它们。价格便宜，没有许可证的麻烦，如果您查看文档，就会发现拥有完成工作所需的大多数工具。我会怀疑BSD与同一条船很像。

我们正在运行的DL365 G1装有一个单处理器插槽和6Gb内存，尽管该RAM主要用于维护邮箱...

使用英特尔（em）千兆服务器NIC。

HP NC360T是一种运行良好的卡。它是双端口和pci-express。