我的第一台 PFSense Intel Atom C2758
主板: A1SRi-2758F CPU TPD 20W
SSD: Intel 530 120GB SSD
RAM: Kingston Technology ValueRAM 8GB 1600MHz DDR3L SODIMM x 2
2nd NIC: Intel i340-T4
PSU & 散熱器特寫 & RAM 插槽安裝位置
所有的網口都是前置
鎖SSD & PCI-E Raiser
上述的硬體我建制兩台以後, 發現我花的費用實在太高了, 是個貴公子一個, 只適合在環境好的機房使用. 問題點出在於 SSD, 機殼, 風扇, 含風扇的 psu, 以及第二張網卡, 原因如下:
1. 需要使用到 8 Port 的 Firewall/Router 真的沒有必要, 特別是在 LAN 這邊 PFSense 是可以開很多 VLAN 界面, 根本不需要使用實際 Ethnet Port 來區分 LAN, 4~6 Port 就足夠.
2. 任何外接的 SSD 其實更加麻煩, 而且 120GB SSD PFSense 永遠用不到那麼多 HD 空間, 16gb~32gb 就足夠了, (使用 usb thumb drive 我還是有點怕, 雖然 PFSense 有專門的模式是安裝在 USB Disk 上, 讓 tmp 跟 log 全部使用 RAM Disk)
3. 上機架的機殼就是貴, 沒有個 3千以上跑不掉, 而且搭配上 pci-e raiser 後, 價格根本不可能便宜下來.
4. 惡劣環境 (常溫/室溫有很多灰塵)的裝置, 不適合使用任何會移動或是轉動的配件, 所以風扇都得走, 同時也會需要壁掛功能 (沒有機架環境)
所以我開始使用 SATA DOM (讀跟寫入的速度對於 PFSense 一點都不重要, 重點在耐用, 16GB 價格才 NT$ 950)
再來如果真的需要超過 4個 eth port 的需求, 應該使用 Supermicro A1SRM-LN7F-2758 7個 eth port.
同時放置的地點不一定有機架, 所以機殼改成以下的款式 CSE 101i NT$ 1800 (無風扇更好! 惡劣環境其實怕風扇散熱)
搭配的 160w DC-ATX 以及 AC Power Adapter NT$800 (其實整台吃不到 35w)
裸機開始測試 這次的主板是 A1SRi-2558F NT$ 5050 購入
(公司的 IT 小妹妹把 RAM 安裝錯 slot 了, 跟 manual 的方式不一樣, 這樣也能開機, 禮拜一會讓她正確的安裝, 離 cpu 最遠的兩個插槽)
尚未安裝前的開機畫面
所以整體價格是 5050(CPU/MB)+1800(Case)+950(SSD)+800(PSU)+3000(8GB RAM) = NT$ 11,600 (含稅, 三聯式發票) 上述的設備都是以工業型電腦可以運行在惡劣環境7年以上配置 (還可以壁掛). 其它廠商販賣的價格要 NT$19,000 (但是多了兩個網口)[當增加了 SSD 的架構後]. 其效能是比 FortiGate-200D還強喲 (其實可以跟 300D~500D 去比了)
這次我一口氣建制了三台實體 PFSense. (目前我還有4台 PFSense 是運行在 VM 上面, 實際使用在 200人的辦公室以及 IDC 機房備援使用) 目前總共部署了 10個 PFSense.
然後下面是我整理出來目前適合 CPU/Motheboard 假設使用環境是提供 500人員 (估計上 1000台設備)上網
1. Intel Xeon D-1548 8 core 16 thread 45w (40 gbps 以上 +vpn+ 多項 IPS)
2. Intel Xeon D-1537 8 core 16 thread 35w (40 gbps 以上+vpn)
3. Intel Xeon D-1528 6 core 12 thread 35w (10 gbps 以上 +vpn+ 多項 IPS)
4. Intel Xeon D-1527 4 core 8 thread 35w (10 gbps 以上+vpn)
5. Intel Atom C2758 8 core 8 thread 20w (1 gbps 以上 +vpn+ 多項 IPS /10gpbs 限routing)
6. Intel Atom C2558 4 core 4 thread 20w (1 gbps 以上 +vpn)
7. Intel Pentium N3700 4 core 4 thread 6w (無 ecc, 只適合 15~25人的小型辦公室/家用)
**Atom C2x58 系列都有支援 QuickAssist, 能夠提供到 6gbps 的 IPSEC VPN 的速度.
*** Xeon D 是完整支援 DPDK
**** N3700 的平台, supermicro X11SBA-LN4F 是直接有quad eth port 但是價格太貴了, 要NT$6,500, 不如買其他主板配上 quad/dual eth nic
PFSense 2.4 完整支援 QuickAssist
PFSense 3.0 完整支援 DPDK
DPDK 是重要的 library 支援 10gbps 以上的網速...
QuickAssist 是重要的加密 library 支援在 1 gbps 以上 10gbps 網速下的 vpn
*****來源 https://blog.pfsense.org/?p=1588
******小弟是 Supermicro & Qnap 的愛好者
