Mạng gia đình có thể là một sở thích vô cùng thú vị, đặc biệt khi bạn bắt đầu tự mình xây dựng và cấu hình một bộ định tuyến (router) và tường lửa (firewall) sử dụng OPNsense hoặc pfSense. Gần đây, tôi đã biến một thiết bị NAS Ugreen DXP4800 Plus thành một hệ thống OPNsense chuyên dụng, và kết quả đã làm tôi bất ngờ, phần lớn là nhờ chất lượng phần cứng của Ugreen NAS. Trong quá trình này, tôi đã dành rất nhiều thời gian nghiên cứu về các thành phần thiết yếu và nhanh chóng nhận ra có những yêu cầu về phần cứng mà bạn đơn giản là không nên bỏ qua.
Mặc dù thiết lập mạng của mỗi người sẽ khác nhau, nhưng có một số yếu tố quan trọng mang tính phổ quát khi bạn lắp ráp tường lửa OPNsense hoặc pfSense của riêng mình. Dưới đây là những thành phần phần cứng mà bạn tuyệt đối không thể thỏa hiệp, lý do tại sao chúng lại quan trọng đến vậy, và cách lựa chọn đúng linh kiện sẽ cải thiện đáng kể trải nghiệm mạng của bạn.
4. Card Mạng (NIC) Chất Lượng Cao
Còn được gọi là Bộ Điều Khiển Giao Diện Mạng (NIC)
Card mạng TP-Link 10GbE, ví dụ về NIC chất lượng cao cho router OPNsense
Đảm bảo bạn có các card mạng (Network Interface Cards – NICs) chất lượng cao được cho là điều quan trọng nhất cần chú ý khi tự xây dựng router. Không chỉ vì tất cả các kết nối của bạn cuối cùng sẽ đi qua chúng, mà bạn còn cần phải nhận thức được các trình điều khiển (driver) thực tế được sử dụng cho chúng. Không phải tất cả các NIC đều có sẵn trình điều khiển FreeBSD, đó là lý do tại sao triển khai OPNsense của tôi được ảo hóa trong Proxmox để có thể hưởng lợi từ các trình điều khiển Linux. Đó cũng là một khía cạnh khác: đôi khi, các trình điều khiển trên Linux sẽ có hiệu suất tốt hơn tùy thuộc vào NIC của bạn, nghĩa là ngay cả khi chúng được hỗ trợ trên FreeBSD, bạn vẫn có thể đạt được hiệu suất tổng thể tốt hơn bằng cách ảo hóa phiên bản OPNsense hoặc pfSense của mình.
Lời khuyên quan trọng nhất ở đây là bạn nên tránh xa các NIC của Realtek. Các NIC của Intel là tiêu chuẩn vàng, nhưng bạn vẫn cần nghiên cứu để tìm ra loại phù hợp với mình. Chiếc NAS Ugreen của tôi có hai NIC riêng biệt, một là Intel I226-V 2.5GbE và cái còn lại là Aquantia AQC113 10GbE. NIC Aquantia không có bất kỳ trình điều khiển FreeBSD gốc nào, trong khi Intel I226-V, mặc dù là của Intel, lại từng gặp sự cố trong quá khứ. Cá nhân tôi chưa gặp phải những vấn đề đó, nhưng trải nghiệm của bạn có thể khác. Dù sao đi nữa, hãy đảm bảo bạn chọn đúng NIC cho công việc, đặc biệt nếu bạn muốn có các kết nối multi-gigabit giữa các thiết bị của mình, hoặc bạn có một kết nối internet multi-gigabit.
3. Dung Lượng RAM Quan Trọng Hơn Tốc Độ RAM
Không cần tốc độ DDR5 “chóng mặt” ở đây
Khi nói đến việc xây dựng router và tường lửa của bạn, dung lượng RAM lớn hơn nên là ưu tiên hàng đầu thay vì tốc độ RAM nhanh hơn. Ít nhất trong trường hợp của OPNsense, bộ nhớ đệm (caching) được sử dụng rất nhiều, có nghĩa là dữ liệu đang được lưu trữ trong RAM để tham chiếu trong tương lai. Khi RAM đầy, hệ thống sẽ chuyển sang sử dụng bộ nhớ swap, vốn chậm hơn rất nhiều và sẽ ảnh hưởng đáng kể đến hiệu suất so với sự khác biệt giữa RAM chậm hơn và nhanh hơn.
Để làm rõ điều này, chúng ta có thể xem xét loại bộ nhớ được sử dụng trong các thiết bị cấp doanh nghiệp được chế tạo với mục tiêu triển khai các hệ thống như OPNsense. Công ty OPNsense bán phần cứng chính thức để triển khai hệ thống của riêng bạn, và các tùy chọn RAM bắt đầu từ DDR3, vốn đã rất lỗi thời vào thời điểm hiện tại. Tuy nhiên, khi triển khai các tường lửa như Suricata và ZenArmor, bạn có thể sẽ thấy hệ thống của mình sử dụng rất nhiều RAM mà bạn cấp cho nó. Ngay cả trong trường hợp của tôi, với chỉ 4GB RAM được cấp phát cho phiên bản OPNsense, tôi đang sử dụng 3.3GB trong số đó chỉ với một vài dịch vụ bổ sung được triển khai.
2. Hiệu Năng CPU Đơn Nhân Rất Quan Trọng
Đặc biệt đối với VPN, IDS/IPS và PPPoE
Nếu bạn có kết nối PPPoE, hoặc bạn có kế hoạch sử dụng VPN hoặc hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), hiệu năng CPU đơn nhân sẽ rất quan trọng. Đối với PPPoE, bạn có thể cải thiện hiệu suất bằng cách ảo hóa OPNsense hoặc pfSense, vì máy chủ nền Linux sau đó sẽ chuyển tiếp các gói dữ liệu đó thông qua cầu nối ảo, và máy ảo có thể xử lý các gói đến đó trên tất cả các lõi. Đối với các trường hợp sử dụng khác, hiệu năng đơn nhân là quan trọng vì các luồng dữ liệu liên tục sẽ được giữ cho một lõi tại một thời điểm, điều này có thể đảm bảo thứ tự gói nghiêm ngặt cho các giao thức yêu cầu nó.
Nói rõ hơn, bạn không cần phải chi tiêu quá nhiều, và CPU bạn cần sẽ phụ thuộc vào khả năng kết nối internet của bạn. Tôi có kết nối cáp quang Gigabit FTTH, và với CPU Pentium Gold 8505, tôi có thể khai thác toàn bộ tốc độ kết nối đó mà không gặp bất kỳ vấn đề gì. Điều đó không có nghĩa là bạn cần chi hàng trăm đô la cho một CPU tuyệt vời với hiệu năng đơn nhân xuất sắc, mà là bạn cần đảm bảo mình có được CPU phù hợp. Tốc độ xung nhịp (clock speed) và IPC (Instructions Per Cycle) sẽ quan trọng hơn nhiều so với số lượng lõi CPU trong hầu hết các trường hợp sử dụng cá nhân.
1. Đủ Cổng Kết Nối Để Có Thể Sử Dụng Hiệu Quả
Để kết nối với các thiết bị khác
Router TP-Link với nhiều cổng, minh họa nhu cầu về số lượng cổng kết nối trên router OPNsense/pfSense
Mặc dù router thông thường do nhà cung cấp dịch vụ internet (ISP) cấp thường thiếu nhiều tính năng quan trọng, nhưng thường có một điểm mà nó không thiếu, đó là số lượng cổng. Nhược điểm của việc sử dụng NAS Ugreen trong trường hợp của tôi là nó chỉ có hai cổng Ethernet, một cổng kết nối với thiết bị đầu cuối quang (Optical Network Terminal – ONT) của tôi (để kết nối với ISP) và cổng còn lại kết nối với một bộ chuyển mạch mạng (network switch). Bộ chuyển mạch mạng này cung cấp cho tôi các cổng để phân phối kết nối đến các thiết bị khác, nhưng sẽ tốt hơn nếu có thêm cổng trực tiếp từ thiết bị chạy OPNsense.
Nói rõ hơn, điều này không phải là vấn đề lớn trong bức tranh tổng thể. Số lượng cổng tối thiểu cần thiết là hai, và miễn là giao diện mạng LAN của bạn có thể kết nối với một switch để phân phối kết nối đó đến các thiết bị khác, thì không sao cả. Bạn chỉ cần lưu ý rằng bạn sẽ cần một cách để kết nối với nhiều hơn một thiết bị, vì vậy hãy đảm bảo rằng bạn có nhiều cổng hơn hoặc mua một bộ chuyển mạch mạng được quản lý (managed) hoặc không quản lý (unmanaged). Bộ chuyển mạch của tôi là một TP-Link SG108 đơn giản, không quản lý.
Bạn không cần phải chi tiêu quá nhiều
Đối với hầu hết các kết nối internet cấp độ người tiêu dùng, bạn không cần phần cứng quá “khủng” để quản lý một vài thiết bị. Ngay cả trong trường hợp của tôi, tôi có 8GB RAM DDR5, và tôi sẽ quan tâm đến dung lượng RAM hơn là tốc độ của nó. Về tốc độ xử lý thực tế, CPU Pentium Gold 8505 hoạt động hoàn hảo trên kết nối gigabit của tôi. Bạn không cần phải lo lắng quá nhiều, chỉ cần đảm bảo bạn có được phần cứng phù hợp.
