Wymagania sprzętowe OPNsense
Do korzystania z firewalla OPNsense w wielu przypadkach wystarczy prosty serwer w podstawowej konfiguracji. Twórcy oprogramowania OPNsense wydali zalecenia w doborze sprzętu dla serwera pod ten firewall.[1] Poniżej przygotowaliśmy podsumowanie tych zaleceń.
Wybór sprzętu
Poniższa tabela przedstawia minimalną konfigurację zalecaną przez OPNsense:
Obszar zastosowania | Sprzęt | System przykładowy | ||||
---|---|---|---|---|---|---|
Przepustowość sieci (Mbps) | Liczba użytkowników/sieci | CPU | RAM | Pojemność dysku | ||
Minimum
(Standardowe funkcje OPNsense, |
11 - 150 | 10 - 30 | 500 MHz single core | 512 MB | 4 GB karta SD lub CF | |
Reasonable
(Standardowe funkcje OPNsense, |
151 - 350 | 30 - 50 | 1 GHz dual core | 1 GB | 40 GB SSD | |
Recommended
(Standardowe funkcje OPNsense, |
350 - 750+ | 50 - 150+ | 1,5 GHz multi core | 4 GB | 120 GB SSD |
Wpływ funkcji specjalnych
Chociaż większość funkcji nie ma szczególnego wpływu na dobór sprzętu, to poniższe funkcje mogą mieć duży wpływ na wydajność:
- Proxy cache Squid do zarządzania contentem webowym wiąże się z dużym obciążeniem CPU oraz dużą liczbą zapisów na dyskach (cache).
- Captive portal:[2] W przypadku setek jednoczesnych użytkowników wymagana jest wyższa wydajność CPU, jak wskazano w powyższej tabeli.
- State transition tables: OPNsense rejestruje jako firewall ze Stateful Packet Inspection[3] stan wszystkich aktywnych połączeń sieciowych (Connections/Sessions), które przebiegają przez firewall. Informacje te są przechowywane w tabeli stanu (State Table). Dla każdego połączenia zapisywane są dwa wpisy (jeden dla połączenia wychodzącego i jeden dla połączenia przychodzącego). Każdy wpis w tej tabeli zajmuje ok. 1 KB pamięci RAM. W zależności od liczby jednoczesnych sesji, powstają następujące wymagania dotyczące pamięci operacyjnej (RAM):
Liczba jednoczesnych połączeń sieciowych | Wpisy | RAM für State Table |
---|---|---|
10.000 | 20.000 | 20 MB |
50.000 | 100.000 | 100 MB |
100.000 | 200.000 | 200 MB |
1.000.000 | 2.000.000 | 2 GB |
1.500.000 | 3.000.000 | 3 GB |
5.000.000 | 10.000.000 | 10 GB |
Uwaga: Dla systemu operacyjnego i innych usług zapory sieciowej należy dodatkowo uwzględnić co najmniej 256 MB pamięci RAM.
Testy wydajności VPN
Oprócz technologii VPN, również zastosowany sprzęt ma zauważalny wpływ na wydajność połączenia VPN. Dlatego przeprowadziliśmy własne testy na różnych serwerach kompatybilnych z OPNsense. Testy zostały przeprowadzone z połączeniami typu site-to-site opartymi na OpenVPN, IPsec i WireGuard.
Wyniki tych testów można znaleźć w następujących artykułach:
- Testy wydajności OPNsense z OpenVPN
- Testy wydajności OPNsense z IPsec
- Testy wydajności OPNsense z WireGuard
Lista kompatybilności sprzętu (Hardware Compatibility List)
Jako że OPNsense jest oparty na FreeBSD, to obsługuje on ten sam sprzęt, na którym działa odpowiednia wersja FreeBSD:
- OPNsense 20.7 (FreeBSD 12.1 / HardenedBSD): FreeBSD 12.1-RELEASE Hardware Notes (www.freebsd.org)
- OPNsense 20.1 (FreeBSD 11.2 / HardenedBSD): FreeBSD 11.2-RELEASE Hardware Notes (www.freebsd.org)
- OPNsense 19.1/19.7 (FreeBSD 11.2 / HardenedBSD): FreeBSD 11.2-RELEASE Hardware Notes (www.freebsd.org)
- OPNsense 18.1/18.7 (FreeBSD 11.1): FreeBSD 11.1-RELEASE Hardware Notes (www.freebsd.org)
- OPNsense 17.1/17.7 (FreeBSD 11.0): FreeBSD 11.0-RELEASE Hardware Notes (www.freebsd.org)
- OPNsense 16.7 (FreeBSD 10.3): FreeBSD 10.3-RELEASE Hardware Notes (www.freebsd.org)
Odnośniki
- ↑ Hardware sizing & setup (docs.opnsense.org)
- ↑ Captive portal (en.wikipedia.org)
- ↑ Stateful Packet Inspection (de.wikipedia.org)
Autor: Werner Fischer