Жду мудрости от форумчан.
Я занимаюсь консультированием трех связанных некоммерческих организаций в одном здании. Эти трое решили использовать один и тот же интернет-канал и поручили мне построить новый шлюз. Я планирую приобрести коробку SuperMicro Atom высотой 1U с дополнительной картой, которая будет иметь в общей сложности 6 физических сетевых портов.
Шлюз будет использоваться для разделения Интернета между некоммерческими организациями, обеспечения базового формирования трафика и фильтрации контента с помощью DansGuardian.
Прямо сейчас я пытаюсь понять, как настроить программное обеспечение, и хотел бы получить совет. Вот некоторые варианты, которые я вижу:
Установите Ubuntu прямо на коробку и используйте iptables, Squid и DansGuardian для выполнения всех задач. Я делал это раньше и знаком с настройкой.
Установите ESXi на голое железо и запустите виртуальную машину Ubuntu, чтобы сделать это.
Установите ESXi на голое железо и запустите виртуальную машину pfSense для брандмауэра / маршрутизатора и передайте пакеты порта 80 другой виртуальной машине под управлением Ubuntu с Squid и DansGuardian. Раньше я не пользовался pfSense, но мне кажется, я легко смог его подобрать.
Если я выберу вариант 3, есть ли какие-либо мысли о запуске 3 отдельных виртуальных машин Ubuntu, чтобы каждая некоммерческая организация имела свой собственный экземпляр DansGuadian вместо запуска одного экземпляра и использования групп фильтров.
В одной сети будет около 50 пользователей, во второй - 20, а в третьей - 5. Интернет-канал представляет собой кабельное соединение на 50 Мбит вниз / 12 Мбит вверх.
Будем признательны за любые советы по вышеперечисленным или другие варианты, которые кто-либо порекомендовал бы.
Спасибо.
Многое зависит от того, сколько времени вы планируете потратить на поддержку / исправление этого решения; если вы хотите потратить на это как можно меньше времени, я бы предложил установить выделенный дистрибутив маршрутизатора / брандмауэра (например, pfsense, о котором вы упомянули выше) в качестве компонента маршрутизации, а все остальное настроить на второй виртуальной машине.
Маршрутизатор требует очень мало ресурсов по сравнению с остальными, и pfsense или другие специализированные дистрибутивы маршрутизации будут работать без перебоев в течение многих лет; то же самое обычно нельзя сказать о полноценных серверах, обеспечивающих проксирование и, возможно, многое другое.
Не зная больше о требованиях клиентов или ожидаемой нагрузке, вариант 3 кажется наиболее гибким для начала.
Ах да, ESXi 5.
Однако это не очень хорошо работает на Atom - вместо этого я бы предложил Sandy Bridge i3 2100T (всего 35 Вт).
Это ударит по тыльной стороне двух из этих плат Atom.
О, и сетевые адаптеры Intel PRO для сети, если это необходимо упомянуть - хотя 100 Мбит будет достаточно с точки зрения трафика, GbE предлагает лучшие задержки.
Вам не нужна сетевая карта с 6 портами - сетевая карта с одним портом и управляемый коммутатор с поддержкой VLAN сделали бы здесь гораздо более приятную работу.
Вам понадобится какое-либо решение для виртуализации, только если вы планируете установить административное разделение для служб маршрутизации, т.е. если трем некоммерческим организациям потребуется иметь возможность администрировать свой собственный маршрутизатор, изменять правила фильтрации пакетов, настраивать собственные сервисы там и т. д. Вы должны иметь возможность получить IP-подсеть для размещения как минимум трех ваших хостов плюс адрес маршрутизатора интернет-провайдера - всего 4 хоста, одна сеть и один широковещательный адрес, в результате чего потребуется как минимум сеть / 28 - в таком случае.
Даже если вы выполняете административное разделение для служб фильтрации пакетов, вариантом использования единой точки администрирования будет настройка QoS - если вам нужно гарантировать пропускную способность или какую-то политику добросовестного использования, при которой ни одна из организаций не сможет использовать такая большая пропускная способность, чтобы лишить два других недостатка, вы неизбежно получите по крайней мере одно устройство маршрутизации, от которого будут зависеть все три устройства, которые нельзя администрировать по отдельности.
Для выполнения этих задач вам не обязательно понадобится серверный компьютер - существует множество маршрутизаторов, которые более устойчивы, чем обычные печатные платы. Некоторые из них могут быть разделены на «виртуальные маршрутизаторы» или «виртуальные системы», например Устройства Juniper Netscreen или "контексты безопасности" как с Устройства Cisco ASA - очень похоже на то, что вы получили бы с виртуализированными установками, но без всего багажа ESXi и трех запущенных экземпляров операционных систем, которые необходимо было администрировать. Я считаю такой подход наиболее элегантным, но он потребует от вас либо ознакомления с системой, либо найма другого консультанта / инженера для настройки.