[GTER] router para provedor com aprox 300MB de trafego e 3 upstreams com full routing

Marcelo Gondim gondim at bsdinfo.com.br
Fri Aug 1 20:34:39 -03 2014


Pra você ver como é a vida o OpenBSD é o pai do PF e o FreeBSD é o pai 
dos BSDs já que o 386BSD que deu origem ao NetBSD e ao OpenBSD no final 
teve seu nome mudado para FreeBSD.
Quanto ao PF eu acredito que não tem como mesmo acompanhar o PF do 
OpenBSD por 2 motivos:

1° feri a POLA [1] que é o princípio do menor espanto/susto. rsrsrs que 
no caso dp PF seria evitar que grandes mudanças forcem os sysadmins à 
correr e alterar seus scripts atuais causando diversos problemas.

2° no FreeBSD 10.x, o PF foi modificado e se eu não me engano reescrito 
para trabalhar melhor com SMP e com isso teve grande aumento de 
performance. Servidores com grande volume de tráfego que usem o PF vão 
sentir uma boa diferença. [2]

[1] http://www.freebsd.org/doc/handbook/freebsd-glossary.html#pola-glossary
[2] https://wiki.freebsd.org/WhatsNew/FreeBSD10

Mas todos os BSDs são excelentes e tem suas particularidades.  :)
Meu router é um FreeBSD 10-STABLE + OpenBGP com tráfego em pico de 
2.5Gbps e não troco ele por outro sistema ou caixa fechada. Se um dia 
ele não conseguir mais me atender aí vou de Juniper ou Cisco mesmo mas 
por enquanto só tem me dado alegria.

Em 31/07/2014 15:08, Urik B. da Silva escreveu:
> É isso aí Guilherme.
> Sou +1 que compartilho da sua boa experiência com o blowfish.
>
> Spreading the word!
>
> Urik Barbosa da Silva
> http://www.linkedin.com/in/urikbs
> Linux User #431806
>
>
> Em 28-07-2014 04:16, R0me0 *** escreveu:
>> Rafael,
>>
>> Você não precisa ter dois servidores com as mesmas configurações, mas 
>> você
>> deve avaliar a carga e deve possuir o hardware equivalente para 
>> suportar  a
>> carga no caso de um fail-over.
>>
>> Já houve cenários em que eu possuia hardwares diferentes mas as
>> configurações suportavam o tráfego.
>>
>> Eu escrevi um pequeno script que gera um arquivo md5 de cada arquivo
>> crucial do firewall relacionado a alterações de rede e regras e 
>> sincronizo
>> nos demais nós do cluster a cada 5 minutos se houver alteração.
>>
>> Eu sempre utilizei o OpenBSD e falo de boca cheia que nunca me 
>> decepcionou,
>> Eu sempre brinco "O OpenBSD só me dá alegria" além do mais é o único ( o
>> PAI ) que possui a versão mais atual do PF ( Packet Filter ) freebsd e
>> outros que utlizam o PF, o port é bem antigo e pertence à versão OpenBSD
>> 4X.
>>
>> http://www.openbsd.org/faq/pf/carp.html
>>
>> Se você estiver interessado em aprender mais sobre firewalls com 
>> OpenBSD/PF
>> leia o livro: Building firewalls with OpenBSD and PF :)
>>
>> Outra coisa bacana é a possibilidade de fail-over na VPN, utilizando 
>> IPSEC
>>
>> Grande abraço,
>>
>> Guilherme Hakme
>>
>>
>>
>>
>> Em 27 de julho de 2014 12:56, Rafael Possamai <rafael at gav.ufsc.br> 
>> escreveu:
>>
>>> Ok, grato pelas dicas.
>>>
>>> R0me0: vc utiliza um segundo servidor com as mesmas configs, somente
>>> esperando o primeiro falhar? ou os dois sao ativos?
>>>
>>>
>>> 2014-07-26 18:56 GMT-05:00 Marcelo Gondim <gondim at bsdinfo.com.br>:
>>>
>>>> Em 26/07/2014 18:51, Rafael Possamai escreveu:
>>>>
>>>>   Marcelo,
>>>>> De quando em quando voce da reboot pra entrar no kernel mais 
>>>>> atualizado?
>>>>> 10.0-RELEASE ta na versao p7 jah.
>>>>>
>>>>> Grato,
>>>>> Rafael
>>>>>
>>>> Opa Rafael,
>>>>
>>>> Eu só atualizo o sistema e o kernel se realmente houver a necessidade
>>> como
>>>> por exemplo uma atualização de segurança. Se for um patch de 
>>>> segurança na
>>>> userland nem precisa re-iniciar, somente se for no kernel. 
>>>> Dependendo da
>>>> situação nem precisa da atualização.
>>>> Tem que avaliar o problema e ver se existe a necessidade real de
>>>> atualizar. Necessidade real que tive de fazer isso acho que dava pra
>>> contar
>>>> nos dedos.  :)
>>>>
>>>> Eu gosto de pegar uma versão stable e trabalhar em cima dela, porque a
>>>> stable contém atualizações de segurança, correção de bugs e MFCs. Já a
>>>> árvore releng possui apenas os patches de segurança que seria o que vc
>>>> comentou acima relacionado ao p7. Resumindo: tá funcionando? Não tem
>>>> necessidade crítica de atualizar? Então deixa quieto rodando.
>>>>
>>>> Qualquer coisa estou por aqui.
>>>>
>>>> []´s
>>>> Gondim
>>>>
>>>>
>>>>>
>>>>> 2014-07-26 16:11 GMT-05:00 Marcelo Gondim <gondim at bsdinfo.com.br>:
>>>>>
>>>>>   Em 26/07/2014 13:44, Rafael Possamai escreveu:
>>>>>>    Alguem sugeriu OpenBSD... Eh uma boa ideia, tenho link 
>>>>>> dedicado de
>>>>>> 100mbps
>>>>>>
>>>>>>> rodando tranquilo, a maquina aguentaria ateh uns 900mbps tranquilo
>>>>>>> (dados
>>>>>>> reais, teste e tudo mais)... Mas o problema eh atualizacao de 
>>>>>>> kernel e
>>>>>>> do
>>>>>>> OS toda hora, a nao ser que voce rode dois em conjunto e faca
>>> manutencao
>>>>>>> em
>>>>>>> um deles por vez.
>>>>>>>
>>>>>>>   Aqui tenho FreeBSD 10-STABLE com 2 links de 1Gbps mais 1 Gbps de
>>>>>> PTT-SP.
>>>>>> Consumo em pico 2.5Gbps fluindo normalmente, tráfego IPv4 + IPv6.
>>>>>> hw.machine: amd64
>>>>>> hw.model: Intel(R) Xeon(R) CPU E5-2630 v2 @ 2.60GHz
>>>>>> hw.ncpu: 12
>>>>>> hw.byteorder: 1234
>>>>>> hw.physmem: 17084370944
>>>>>> hw.usermem: 15728345088
>>>>>>
>>>>>> Motherboard Intel S2600COE. Excelente para roteamento, dá pra 
>>>>>> fazer um
>>>>>> bom
>>>>>> cpu affinity entre os processadores.  :)
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>> 2014-07-25 21:50 GMT-05:00 Eduardo Schoedler <listas at esds.com.br>:
>>>>>>>
>>>>>>>    BSDRP - http://bsdrp.net
>>>>>>>
>>>>>>>> -- 
>>>>>>>> Eduardo Schoedler
>>>>>>>> Enviado via iPhone
>>>>>>>>>>>>>>>>
>>>>>>>>    Em 25/07/2014, às 23:28, "R0me0 ***" <knight.neo at gmail.com>
>>>>>>>> escreveu:
>>>>>>>>
>>>>>>>>> Olá pessoal, eu vi varias sugestões de OS e ninguém aqui 
>>>>>>>>> incluiu o
>>>>>>>>>
>>>>>>>>>   OpenBSD.
>>>>>>>>   Algum motivo em especial ? OpenBSD rulez :)
>>>>>>>>> [] ´s
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Em 25 de julho de 2014 22:52, Douglas Fischer <
>>>>>>>>> fischerdouglas at gmail.com
>>>>>>>>> escreveu:
>>>>>>>>>
>>>>>>>>>    Exato... Borda Limpa!
>>>>>>>>>
>>>>>>>>>> No máximo, usar essa mesma causa para clientes que comprem 
>>>>>>>>>> link de
>>>>>>>>>>
>>>>>>>>>>   trânsito
>>>>>>>>> com BGP de você(se houver esse caso).
>>>>>>>>>
>>>>>>>>>> O resto? Pendure em caixas para baixo disso.
>>>>>>>>>>
>>>>>>>>>> /*Android told-me that this text should be at bottom.*/
>>>>>>>>>> Em 25/07/2014 22:04, "Lucas Willian Bocchi" <
>>> lucas.bocchi at gmail.com>
>>>>>>>>>> escreveu:
>>>>>>>>>>
>>>>>>>>>>    Amigo, vá por mim.
>>>>>>>>>>
>>>>>>>>>>> Borda limpa... Você vai ver que a idéia funciona.
>>>>>>>>>>>
>>>>>>>>>>> Em 25 de julho de 2014 20:22, Jeffrey . 
>>>>>>>>>>> <jeffrey_bf at hotmail.com>
>>>>>>>>>>>
>>>>>>>>>>>   escreveu:
>>>>>>>>>>   Obrigado - qual seria o juniper de entrada indicado?
>>>>>>>>>>>> Da pra fazer bgp e controle de banda tranquilo nele?
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>    Date: Fri, 25 Jul 2014 20:11:02 -0300
>>>>>>>>>>>>
>>>>>>>>>>>>> From: rubensk at gmail.com
>>>>>>>>>>>>> To: gter at eng.registro.br
>>>>>>>>>>>>> Subject: Re: [GTER] router para provedor com aprox 300MB de
>>>>>>>>>>>>> trafego
>>>>>>>>>>>>> e
>>>>>>>>>>>>>
>>>>>>>>>>>>>   3
>>>>>>>>>>> upstreams com full routing
>>>>>>>>>>>
>>>>>>>>>>>   2014-07-25 19:50 GMT-03:00 Jeffrey . 
>>>>>>>>>>> <jeffrey_bf at hotmail.com>:
>>>>>>>>>>>>>    Srs, poderiam me indicar roteadores para o trafego 
>>>>>>>>>>>>> descrito no
>>>>>>>>>>>>> assunto?
>>>>>>>>>>>>>
>>>>>>>>>>>> Gostaria de já ter algum equipamento que vá até pelo menos uns
>>>>>>>>>>>> 600MB
>>>>>>>>>>>>
>>>>>>>>>>>>> de
>>>>>>>>>>>>>
>>>>>>>>>>>> tráfego.
>>>>>>>>>>>>
>>>>>>>>>>>>> To meio perdido aqui se vou pra cisco ou fico nos MKs da 
>>>>>>>>>>>>> vida.
>>>>>>>>>>>>>>    PC com VyOS. E quando passar dos 600 Mbps, Juniper. 




More information about the gter mailing list