Назад | Перейти на главную страницу

Какое устройство / систему использовать в качестве «маршрутизатора на флешке»

Мне нужно создать несколько отдельных сетей VLAN и обеспечить способ перемещения трафика между ними. Идеальным кажется подход «маршрутизатор на палке»:


                                Internet
                                   |
                      Router with Trunking Capability ("router on a stick")
                                   *
                                   *  Trunk between router and switch
                                   *
                      Switch with Trunking Capability
                       |      |       |      |      |
                       |      |       |      |      |
                       |    LAN 2     |    LAN 4    |
                       | 10.0.2.0/24  | 10.0.4.0/24 |
                       |              |             |
                     LAN 1          LAN 3         LAN 5
                  10.0.1.0/24    10.0.3.0/24   10.0.5.0/24

У нас есть коммутаторы уровня 2 с возможностью подключения к магистрали. Вопрос в том, что использовать в качестве роутера на флешке. Мой выбор кажется таким:

  1. Используйте существующий межсетевой экран Cisco 5505 ASA. Похоже, что ASA может выполнять маршрутизацию, но это устройство со скоростью 100 Мбит / с, и поэтому в лучшем случае кажется неоптимальным.
  2. Купите роутер. Это кажется излишним.
  3. Купите коммутатор Layer-3. Также кажется излишним.
  4. Используйте существующий общий Linux Box в качестве маршрутизатора (например, сервер NIS)
  5. Используйте выделенный Linux-сервер в качестве маршрутизатора
  6. То, о чем я не думаю

Я думаю, что (4) или (5) - мой лучший вариант, но я не уверен, как выбирать между ними. Я ожидаю, что объем трафика, который должен проходить через VLAN, будет небольшим, но прерывистым. Какую нагрузку добавляет маршрутизация на машину CentOS?

Я бы предложил либо 1, либо 5, из которых предпочтительнее 1. Cisco ASA даже с интерфейсом 100 Мбит / с должен иметь возможность обрабатывать маршрутизацию между вашими виртуальными локальными сетями. Если вы не ожидаете большого трафика через vlan, то почему вы думаете, что он не сможет справиться с этой нагрузкой? Является ли текущее использование процессора / памяти на ASA таким высоким? Какой у вас тип подключения к Интернету?

Причина, по которой я предлагаю использовать существующий ASA: 1. Не нужно покупать новое оборудование или повторно развертывать текущее оборудование. 2. Уменьшает количество потенциальных точек отказа. Да, теперь все полагается на ASA, но это предпочтительнее, чем беспокоиться об ASA и выделенном сервере Linux, действующем как маршрутизатор. Вы можете просто купить другой ASA в будущем и настроить HA.

Вариант 1 хорош как:

  1. Аппаратное обеспечение ASA очень надежно, и если у вас есть дополнительный модуль, такой как CSC, вы получите антивирусную защиту между локальными сетями (только для HTTP / FTP / SMTP / POP3).
  2. Если вы используете ASA, вы уменьшаете количество точек отказа, и вы уже знакомы с синтаксисом межсетевого экрана ASA.

Варианты 2 и 3 нежелательны из-за чрезмерных затрат.

Варианты 4 и 5 подходят. Если ваш сервер NIS работает большую часть времени и не требует дополнительных действий. Если вы используете сервер NIS для маршрутизации между VLAN, то при каждой перезагрузке сервера для обслуживания сеть перестанет работать. Если сервер NIS ненадежен или требует частой перезагрузки, лучше использовать выделенный сервер. Опять же, зависит от того, сколько имеет значение стоимость одного дополнительного сервера.

Варианты 4 и 5 позволят вам поместить основные правила брандмауэра в iptables, если вы хотите разрешить только определенный тип трафика между VLAN. Вы также можете захватывать пакеты с помощью tcpdump / wirehark и анализировать их в случае возникновения проблем. Использование Linux-машины в качестве основного маршрутизатора было бы раем для людей, которые хотят изучать сетевую диагностику путем захвата и анализа пакетов. Вы также можете запустить DHCP-сервер на этом компьютере, поскольку у вас нет коммутатора уровня 3, вы не можете указать «ip helper-address», поэтому это единственный способ иметь централизованный DHCP-сервер без коммутатора L3.

Я бы использовал выделенное устройство - коммутатор уровня 3, маршрутизатор или специализированный ПК.

Самое приятное в использовании выделенного устройства - это то, что вы не теряете маршрутизацию внутри VLAN из-за регулярных мероприятий по техническому обслуживанию, таких как исправление / перезагрузка серверного компьютера. Достаточно урезанная установка Linux или OpenBSD без ненужных сервисов потребует очень немногое в виде регулярных исправлений и перезагрузки (в отличие от большинства специализированных встроенных устройств), и вы можете использовать менее энергозависимые технологии хранения, чем жесткие диски, например загрузка с флешки или оптического носителя.

Вместо того, чтобы полагаться на какие-либо готовые тесты, я бы провел внутреннее тестирование с типами и объемами трафика, которые вы ожидаете перемещать. В частности, в сценарии общего сервера / маршрутизатора характер существующей рабочей нагрузки вашего конкретного серверного компьютера и драйверы сетевого адаптера будут играть большую роль в производительности.

Мой предыдущий опыт подсказывает, что вы не ожидаете увидеть заметного снижения производительности для других задач слегка загруженного серверного компьютера, если бы он обрабатывал небольшой, прерывистый трафик маршрутизации. YMMV, тем не менее, вы должны проверить это и увидеть.