Назад | Перейти на главную страницу

Одно устройство для маршрутизации / межсетевого экрана / балансировки ISP / шлюза

Вот мои три варианта:

  1. Прямо сейчас у меня есть Cisco ASA, который я использую для межсетевого экрана, маршрутизатора vlan, шлюза и аварийного переключения ISP. В ASA недостаточно контроля для того, что мне нужно, и лицензия на это становится очень дорогой. Так что обновление этой лицензии - мой наименее любимый вариант. Мой cisco также имеет интерфейсы только 100 МБ, поэтому передача файлов между моими двумя vlan будет очень медленной.

  2. Я думаю о получении dell poweredge R210 II справиться со всеми этими задачами. Его стоечный сервер с самой низкой спецификацией dell. Я бы просто добавил 4-х гигабитный ник. Я бы использовал это для настройки маршрутизации между двумя моими виртуальными локальными сетями, брандмауэром и аварийным переключением провайдера с использованием IPTables.

  3. Мне было предложено просто включить этот сервер в мой виртуальный сервер, который представляет собой один большой сервер размером 4U с идентичной физической резервной копией, но кажется плохой идеей иметь контроллер домена и серверы приложений на том же физическом устройстве, что и брандмауэр, и серверы DMZ.

Я хотел бы выбрать второй вариант, потому что он отделяет сервер подключения от остальных моих серверов. Это также намного дешевле, и я бы полностью контролировал IPTables. В нашей сети около 200 устройств, с которыми легко справиться на таком сервере низкого уровня. Мне что-то не хватает в этом, или я должен пойти дальше с отдельным сервером Linux с IPTables?

Cisco ASA вполне способна на то, что вы перечислили. Я обычно использую внешний балансировщик нагрузки для подключения к Интернету, хотя.

В чем в этом случае недостаток Cisco ASA?

Вам не хватает поддержки и вы создаете немного более сложное решение, выбирая сервер вместо специализированного оборудования. Однако это действительно деловое решение.

Некоторые моменты для рассмотрения ...

  1. Все, что связано с вращающимся диском (сервер Dell), менее надежно, чем то, что работает с флэш-памяти (например, Cisco ASA). Вам следует выбрать диски SAS, если вы пойдете по этому маршруту (т.е. без SATA).
  2. Поддержка Dell имеет тенденцию быть суетливой, если вы не вставляете в систему оригинальные детали Dell (опять же, та же история с Cisco).
  3. Кто-то уже упоминал резервные блоки питания, которые вы обязательно должны получить, если вы выбрали сервер Dell.
  4. Я бы купил настоящие сетевые карты Intel, если вы решите пойти по пути сервера; У меня не было хорошего опыта работы с драйверами Broadcom (см. этот вопрос о тупиках на Broadcom, когда я менял MTU)
  5. Поддержка - большая проблема с этим планом. Некоторые утверждают, что вы можете получить платную поддержку Linux через RedHat; однако большинство сотрудников компаний вашего размера не очень довольны уровнем поддержки RedHat.
  6. Этот план linux станет действительно беспорядочным, если вам начнут нуждаться в протоколах динамической IP-маршрутизации в Linux. Есть несколько вариантов (птица / квагга), но когда вы это делаете, вы действительно становитесь специализированным.

Вы пытаетесь защитить две подсети друг от друга? Если нет, почему бы просто не получить коммутатор с возможностью L3 для внутренних подсетей и просто использовать существующий межсетевой экран для внешнего подключения. 100M обычно достаточно для такого рода вещей, и нет никаких ограничений VLAN. Такой коммутатор, вероятно, окажется дешевле, чем лицензия FW или сервер, и, безусловно, будет лучше масштабироваться, чем любой другой.