Thiết lập mạng tại nhà có thể là một sở thích vô cùng bổ ích, đặc biệt khi bạn bắt đầu tự xây dựng và cấu hình router và tường lửa OPNsense hoặc pfSense của riêng mình. Gần đây, tôi đã biến một NAS Ugreen DXP4800 Plus thành một hệ thống OPNsense chuyên dụng, và kết quả đã làm tôi bất ngờ, phần lớn là nhờ vào chất lượng phần cứng của Ugreen NAS. Trong quá trình này, tôi đã dành nhiều thời gian nghiên cứu về các thành phần thiết yếu và nhanh chóng nhận ra có những yêu cầu phần cứng mà bạn đơn giản là không thể cắt giảm.
Mặc dù thiết lập mạng của mỗi người sẽ khác nhau, nhưng có một số cân nhắc quan trọng mang tính phổ quát khi bạn lắp ráp tường lửa OPNsense hoặc pfSense của riêng mình. Dưới đây là các thành phần phần cứng mà bạn tuyệt đối không nên bỏ qua, lý do tại sao chúng lại quan trọng đến vậy, và cách lựa chọn đúng linh kiện sẽ nâng cao đáng kể trải nghiệm mạng của bạn.
4. Card Mạng (NIC) Chất Lượng Cao
Còn được gọi là Bộ điều khiển Giao diện Mạng
Người đang cầm card mạng TP-Link 10G, nhấn mạnh card mạng chất lượng cao cho OPNsense
Đảm bảo bạn có các card mạng (NIC) chất lượng cao được cho là yếu tố quan trọng nhất cần chú ý khi tự xây dựng router. Không chỉ tất cả các kết nối của bạn cuối cùng sẽ đi qua chúng, mà bạn còn cần phải nhận thức rõ về các driver thực tế mà chúng sử dụng. Không phải tất cả các NIC đều có driver tương thích với FreeBSD, đó là lý do tại sao hệ thống OPNsense của tôi được ảo hóa trong Proxmox để tôi có thể tận dụng các driver Linux. Đó cũng là một khía cạnh khác: đôi khi, các driver trên Linux sẽ có hiệu suất tốt hơn tùy thuộc vào NIC của bạn, nghĩa là ngay cả khi chúng được hỗ trợ trên FreeBSD, bạn vẫn có thể đạt được hiệu suất tổng thể tốt hơn bằng cách ảo hóa instance OPNsense hoặc pfSense của mình.
Lời khuyên quan trọng nhất ở đây là chỉ đơn giản là tránh các NIC Realtek. NIC Intel là tiêu chuẩn vàng, nhưng bạn vẫn cần nghiên cứu để tìm ra loại phù hợp với mình. Ugreen NAS có hai NIC riêng biệt, một là Intel I226-V 2.5GbE và một là Aquantia AQC113 10GbE. NIC Aquantia không có driver FreeBSD gốc, trong khi Intel I226-V, dù là của Intel, đã từng gặp vấn đề trong quá khứ. Tôi chưa gặp phải những vấn đề đó, nhưng trải nghiệm của bạn có thể khác. Dù sao đi nữa, hãy đảm bảo bạn chọn đúng loại card mạng cho công việc, đặc biệt nếu bạn muốn có kết nối đa gigabit giữa các thiết bị của mình, hoặc bạn có kết nối internet đa gigabit.
3. Nhiều RAM Hơn, Không Cần RAM Nhanh Hơn
Bạn không cần tốc độ DDR5 “chóng mặt” ở đây
Khi xây dựng router và tường lửa, ưu tiên hàng đầu nên là nhiều RAM hơn thay vì RAM nhanh hơn. Ít nhất là trong trường hợp của OPNsense, bộ nhớ đệm (caching) được sử dụng rộng rãi, nghĩa là dữ liệu được lưu trữ trong RAM để tham chiếu trong tương lai. Khi RAM đầy, hệ thống sẽ chuyển sang sử dụng bộ nhớ swap (bộ nhớ ảo), vốn chậm hơn nhiều và sẽ ảnh hưởng đáng kể đến hiệu suất so với sự khác biệt giữa RAM chậm hơn và nhanh hơn.
Để làm rõ điều này, chúng ta có thể xem xét loại bộ nhớ được sử dụng trong các thiết bị cấp doanh nghiệp được xây dựng với mục tiêu triển khai các hệ thống như OPNsense. Công ty OPNsense bán phần cứng chính thức để triển khai instance của riêng bạn, và các tùy chọn RAM bắt đầu từ DDR3, loại đã khá lỗi thời ngày nay. Tuy nhiên, khi triển khai các tường lửa như Suricata và ZenArmor, bạn có thể sẽ thấy hệ thống của mình sử dụng rất nhiều RAM mà bạn cung cấp. Ngay cả trong trường hợp của tôi, chỉ với 4GB RAM được phân bổ cho instance OPNsense của mình, tôi đã sử dụng 3.3GB trong số đó chỉ với một vài dịch vụ bổ sung được triển khai.
2. Hiệu Suất CPU Đơn Luồng Rất Quan Trọng
Đặc biệt đối với VPN, IDS/IPS và PPPoE
Nếu bạn có kết nối PPPoE, hoặc bạn có kế hoạch sử dụng VPN hoặc hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), hiệu suất CPU đơn luồng sẽ rất quan trọng. Đối với PPPoE, bạn có thể cải thiện hiệu suất bằng cách ảo hóa OPNsense hoặc pfSense, vì host dựa trên Linux sau đó sẽ chuyển tiếp các gói đó qua cầu ảo, và máy ảo có thể xử lý các gói đến đó trên tất cả các lõi. Đối với các mục đích sử dụng khác, hiệu suất đơn luồng là quan trọng vì các luồng dữ liệu liên tục sẽ được giữ cho một lõi tại một thời điểm, điều này có thể đảm bảo thứ tự gói nghiêm ngặt cho các giao thức yêu cầu nó.
Nói rõ hơn, bạn không cần phải đầu tư quá đà, và CPU bạn cần sẽ phụ thuộc vào khả năng internet của bạn. Tôi có kết nối cáp quang Gigabit (FTTH), và với CPU Pentium Gold 8505, tôi có thể khai thác tối đa toàn bộ kết nối đó mà không gặp bất kỳ vấn đề gì. Không phải là bạn cần chi hàng trăm đô la cho một CPU tuyệt vời với hiệu suất đơn luồng xuất sắc, nhưng bạn cần đảm bảo mình có được CPU phù hợp. Tốc độ xung nhịp (Clock speed) và IPC (Instructions Per Cycle) sẽ quan trọng hơn nhiều so với số lượng lõi CPU riêng lẻ trong hầu hết các trường hợp sử dụng cá nhân.
1. Đủ Cổng Kết Nối Để Sử Dụng Hữu Ích
Để bạn có thể kết nối từ các thiết bị khác
Một người đang cầm router TP-Link với nhiều cổng Ethernet, minh họa sự cần thiết của đủ cổng kết nối cho hệ thống mạng
Mặc dù router thông thường của các nhà cung cấp dịch vụ Internet (ISP) sẽ thiếu sót ở nhiều khía cạnh quan trọng, nhưng thường có một điểm mà nó không thiếu, đó là số lượng cổng. Nhược điểm khi sử dụng Ugreen NAS trong trường hợp của tôi là nó chỉ có hai cổng Ethernet, một cổng kết nối với thiết bị đầu cuối quang học (ONT) (để kết nối với ISP) và cổng còn lại kết nối với một bộ chuyển mạch mạng (network switch). Bộ chuyển mạch mạng này cung cấp cho tôi các cổng để phân phối kết nối đến các thiết bị khác, nhưng sẽ tốt hơn nếu có thêm nhiều cổng trực tiếp từ thiết bị đang chạy OPNsense.
Nói rõ hơn, điều này không phải là vấn đề lớn trong bức tranh tổng thể. Số lượng cổng tối thiểu cần thiết là hai, và miễn là giao diện LAN của bạn có thể kết nối với một bộ chuyển mạch để phân phối kết nối đó đến các thiết bị khác, thì điều đó hoàn toàn ổn. Bạn chỉ cần lưu ý rằng bạn sẽ cần một cách để kết nối với nhiều hơn một thiết bị, vì vậy hãy đảm bảo rằng bạn có nhiều cổng hơn hoặc mua một bộ chuyển mạch mạng được quản lý hoặc không được quản lý. Bộ chuyển mạch của tôi là một TP-Link SG108 đơn giản, không được quản lý.
Bạn không cần phải đầu tư quá nhiều
Đối với hầu hết các kết nối internet cấp độ người tiêu dùng, bạn không cần phần cứng quá “khủng” để quản lý một vài thiết bị. Ngay cả trong trường hợp của tôi, tôi có 8GB RAM DDR5, và tôi sẽ quan tâm đến dung lượng RAM hơn là tốc độ của nó. Về tốc độ xử lý thực tế, Pentium Gold 8505 hoạt động hoàn hảo trên kết nối gigabit của tôi. Bạn không cần phải lo lắng nhiều, chỉ cần đảm bảo rằng bạn có được phần cứng phù hợp.