会员注册
会员登录
个人空间
采用内核级防火墙OpenBSD+PF能否实现传统硬件级防火墙+负载均衡的功能
前言:
很长时间没上CU发帖,但这么多年我还是一直关注这块的领域的发展。目前主流的开源系统仍旧是Linux、和FreeBSD。Solaris 也被迫开源了,SCO也混不下去了快。以前本来就不怎么喜欢Solaris和Unixware(性能还是不错的说)。我还是一直在用OpenBSD,3.3的版本,2年多没关机的机器有好几台,很喜欢其安全稳定性。FreeBSD没用过,不好评价,如果让我选择装PF,本人还是喜欢用OB,简单明了。
简单介绍一下该贴的目的。目前大多数公司均采用硬件级负载均衡和防火墙,例如我公司就采用的是Netscreen-NS1000 + F5-big203150s(均带光纤通道,模块齐全)都不做HA,单台Standby的成本是20万+30万左右,如果做上HA,总成本将会是100万。对于普通公司而言,投入较大,对于金融公司而言,这块成本可以承担,但HA常年都可能用不上,闲置着。因此,我考虑对可承受得情况下(中断30分钟以内),采用OpenBSD+PF来做Netscreen和F5的灾备。
好处:投入成本低,多配置方式,切换简单。平时可用于他用,灾备临时切换。
缺点:负载均衡不是其强项没实际生产投入过,PF防火墙应用也大多仅用VPN,切换上去能否顶住压力,不确定因素太多。
设备环境:
联想525 双路4核+1.5K转速硬盘73G+4G内存+光纤通道卡 骨干网络千兆光纤接入。
如果发生故障,需要切换到OpenBSD+pf支持至少48小时,大家觉得能否支持100万以上的并发。有什么看法和好的建议,大家提提。本人准备5月中旬实施该计划,并在测试环境下作压力测试。:)
走过路过,多少给点看法~~~
把CARP搭上吧,性能就要自己测试了.
应该没有问题,the book of pf,你可以看一下,有很现成的例子
原来在虚拟机上玩过,不过没那么大的环境测试,pf+carp,可以试试,应该差不多可以的
发到 misc@ 上去问问吧,国外用这个的比较多。
技术上给不出什么好建议,但是我觉得还是有风险,毕竟没真正环境下用过,如果不幸出了问题,那承担责任的就将会是...
QUOTE:原帖由 geel 于 2008-4-30 18:52 发表
技术上给不出什么好建议,但是我觉得还是有风险,毕竟没真正环境下用过,如果不幸出了问题,那承担责任的就将会是...
是要考虑,自己玩玩没什么问题,真要实际用过了需要考虑就不仅仅是技术了
为了自己的前途,要三思啊!建议还是选有技术支持的吧。万一出了事有人来负责啊!
学习研究,我还是用BSD,哈哈!
发表评论