有没有人使用OpenBSD作为企业中的路由器？ 你在运行什么硬件？

我们专门运行OpenBSD路由器/防火墙来服务于FogBugz On Demand。 除非您在运输中扮演angular色，并且需要专用硬件和集成软件能够提供的极高吞吐量，否则在坚实的硬件上使用OpenBSD将成为更易于pipe理，可扩展且经济的解决scheme。

比较OpenBSD的IOS或JUNOS（以我的经验）：

优点

• pf防火墙在灵活性，可pipe理configuration以及集成到其他服务（与spamd，ftp-proxy等无缝配合）方面无与伦比。 configuration示例不正确。
• 你可以在网关上得到* nix的所有工具：syslog，grep，netcat，tcpdump，systat，top，cron等
• 您可以根据需要添加工具：iperf和iftop我发现非常有用
• tcpdump的。 说够了。
• Unix退伍军人直观的configuration
• 与现有的configurationpipe理（cfengine，木偶，脚本等）无缝集成。
• 下一代function是免费的，不需要附加模块。
• 增加性能很便宜
• 没有支持合同

缺点

• IOS / JUNOS使转储/加载整个configuration变得更简单。 在缺less任何configurationpipe理工具的情况下，一旦configuration完成，他们将更容易部署。
• 一些接口在OpenBSD上不可用或不稳定（例如，我知道没有很好的支持的ATM DS3卡）。
• 高端专用Cisco /瞻博型设备将处理比服务器硬件更高的PPS
• 没有支持合同

只要你不是在一个类似ISP的环境中谈论骨干路由器，或者是与专门的networking连接进行接口的边缘路由器，OpenBSD应该是好的。

硬件

你的路由器性能最重要的是你的网卡。 一个快速的CPU将会在中等负载的情况下很快地被淹没，如果你有一些糟糕的网卡会中断他们收到的每一个数据包的话。 寻找至less支持中断缓解/合并的千兆网卡。 我已经与Broadcom（bge，bnx）和Intel（em）驱动程序祝好运。

CPU速度比专用硬件更重要，但不要担心。 任何现代的服务器级CPU都会在显示任何压力之前处理大量的stream量。

抓住一个体面的CPU（多核心没有太多的帮助，所以看看原始的GHz）良好的ECC内存，一个可靠的硬盘驱动器，和一个坚实的底盘。 然后加倍加倍，并运行两个节点作为主动/被动CARP群集。 由于4.5的pfsync升级，你可以运行主动/主动，但我没有testing过。

我的路由器与1U双节点configuration中的负载均衡器并行运行。 每个节点都有：

• Supermicro SYS-1025TC-TB机箱（内置Intel千兆网卡）
• Xeon Harpertown四核2GHz CPU（我的负载均衡器使用多核）
• 4GB金士顿ECC Registered RAM
• 双端口Intel千兆位附加网卡

自部署以来，它们一直坚如磐石。 所有这一切对于我们的stream量负载来说都是过度的，但是我已经testing了高达800Mbps的吞吐量（NIC限制，CPU大部分空闲）。 我们大量使用VLAN，所以这些路由器也要处理很多的内部stream量。

由于每个1U机箱都有一个700W的PSU为两个节点供电，因此电源效率非常高。 我们通过多个机箱分配了路由器和平衡器，这样我们就可以丢失整个机箱，并具有几乎无缝的故障切换（感谢pfsync和CARP）。

操作系统

还有一些人提到使用Linux或FreeBSD而不是OpenBSD。 我的大部分服务器都是FreeBSD，但我更喜欢OpenBSD路由器，原因如下：

• 比Linux和FreeBSD更加关注安全性和稳定性
• 任何开源操作系统的最佳文档
• 他们的创新以这种实现为中心（参见pfsync，ftp-proxy，carp，vlan management，ipsec，sasync，ifstated，pflogd等）
• FreeBSD在他们的pf端口上有多个版本
• pf比iptables，ipchains，ipfw或ipf更优雅和易于pipe理
• 学习者设置/安装过程

也就是说，如果你对Linux或者FreeBSD非常熟悉，而且没有时间去投资，那么跟它们中的一个一起去更好。

pfsense是一个非常棒的基于FreeBSD的防火墙，它function丰富，易于设置，并且有一个活跃的社区以及支持选项。 有几个人在论坛上积极参与的商业/生产环境中使用它。 我在家里使用它，我在工作中推动它，它是一个很好的替代scheme。 他们甚至有一个VM镜像下载来testing它！

在我工作的地方，我们使用RHEL5 + quagga＆zebra超过4个盒子来运行450mbps的中转。 所以是的，你可以在企业中做到这一点，并节省很多钱。

我们使用TC进行速率限制，并使用iptables和notrack规则。

我使用OpenBSD 3.9作为防火墙，并切换到Juniper SSG5。

正如sh-beta所说的OpenBSD作为一个很好的function：pf是惊人的，tcpdump，很多好的工具…

我有一些原因转到瞻博networking。 特别是，configuration是快速和容易的。 在OpenBSD上，一切都“有点复杂”。

例如：在我看来，带宽pipe理在SSG上configuration起来要容易得多。

我使用的OpenBSD版本相当老旧， 也许更新的版本在这一点上更好。

对于我父亲在一个分支机构的小企业，我使用OpenBSD作为主要和分支机构的路由器/网关/防火墙。 它从来没有让我们失望。 我们在每个地点使用戴尔塔式服务器。 每台服务器都配备了一个双GiGE卡，8GB的RAM（我知道有点过分），运行良好。 分支机构被configuration为通过IPSEC连接到主机，OpenBSD的IPSEC实现非常容易使用。

OpenBSD网关用于许多企业设置。 我们的networking上有两个OpenBSD网关。

我还记得OpenBSD的一个有趣的一幕：硬盘已经死亡，但是网关只是通过路由传输，就像没有发生任何事情一样，只从内存中提供服务。 它给了我一些时间来设置另一个实例。

非常低的硬件要求，双Opteron 248是伟大的。 我很less看到CPU超过5％。 他们非常稳定。 我已经用了7年多了，没有任何问题。

我在主防火墙上运行OpenBSD（4.9）已经有一段时间了。 它是一个相当老的华硕MB与2 GB DDR（1）RAM和双核（2 GHz）速龙。 我买了一个四端口的intel卡（pci-express），并在x16graphics端口中使用。 如果您有任何铺设，请勿丢弃您的PCIgraphics卡。 如果您计划使用NIC的16x PCI-express端口（板载gfx不适用于我的情况），您将需要它作为graphics卡。

我知道它不是“企业级”硬件。 但是这些是这个设置的明显好处：

• 我有很多这些MB躺在周围，因此将永远不会耗尽备件（也准备好CARP）。

• 最便宜的AMD bords支持ECC RAM！

• 所有的硬件/备件都是“货架上”便宜和稳定的

• 这些钻机的性能非常好（4x Gbps），即使是我们相当沉重的主机设置！

我过去了。 我最初在一些“白盒”PC上安装它，然后升级到Dell Power Edge 2950.冗余电源，硬盘驱动器 – 从可靠性angular度来看有了很大的改进。 当然不是一个可观察到的改进，我们很幸运，白盒从来没有崩溃，但理论上我们处于更好的状态，更多的冗余。

我们只是用它来过滤一个T1，所以没有明显的性能改进。

你有没有考虑切换到FreeBSD？ OpenBSD不能充分利用现代SMP系统（即Core2Quad）。 FreeBSD有pf和ipfw，可以同时使用，也有非GIANTnetworking层。

多年来，我们一直在将FreeBSD路由器作为ISP网关运行，为我们节省了大量的费用

我不能说* BSD（但是…给我时间…），但我们已经运行Linux路由器10年以上，并爱他们。 更便宜，没有许可的麻烦，如果你看看文档，你会发现你有大部分的工具，你需要完成的事情。 我会怀疑BSD是在同一条船上。

我们正在运行一个DL365 G1与一个处理器插槽填充和6Gb，虽然内存主要用于邮箱服务…

使用英特尔（em）千兆服务器网卡。

一张运行良好的卡是HP NC360T。 这是双端口和pci-express。