Я ищу рекомендации по замене набора маршрутизаторов потребительского уровня (Linksys, Netgear, Belkin) на что-то, что может обрабатывать больше трафика при маршрутизации более чем одного статического общедоступного IP-адреса в одно и то же адресное пространство LAN.
У нас есть блок статических публичных IP-адресов, 5 пригодных для использования, с Comcast Business. В настоящее время четыре из них используются для:
Все системы (как физические, так и виртуальные) находятся в одном адресном пространстве LAN (10.x.y.0 / 24), чтобы обеспечить легкий доступ между ними внутри офиса. Используется 30 и более систем в зависимости от того, какие виртуальные машины активны в данный момент. У нас есть смесь Windows, Linux, FreeBSD и Solaris.
В настоящее время для каждого из четырех статических адресов используется отдельный маршрутизатор потребительского уровня, для которого задан конкретный статический адрес в глобальной сети, а другой адрес шлюза для каждого:
Только маршрутизатор 1. может обслуживать DHCP, а резервирование адресов на основе MAC используется для большинства внутренних «серверных» IP-адресов, поэтому они имеют фиксированные значения. [Некоторые из них установлены статическими из-за ограничений в возможностях резервирования адресов маршрутизатора 1.]
И да, это действительно работает! Но ... ищу:
Одним из очевидных улучшений было бы наличие настоящий DHCP-сервер, а не использовать для этой цели маршрутизатор потребительского уровня.
Я разрываюсь между покупкой «профессионального» маршрутизатора, такого как Cisco или Juniper, или Sonic Wall, чтобы научиться настраивать запасное оборудование для выполнения этой функции.
Цена растет очень быстро с возможностями коммерческих маршрутизаторов! Хуже того, некоторые маршрутизаторы требуют лицензирования в зависимости от количества клиентов - катастрофа в нашей среде с таким количеством виртуальных машин.
Извините за такой длинный пост, но мне уже надоело включать и выключать маршрутизаторы, а потом заниматься сменой IP-адресов!
Я бы рекомендовал pfSense или Вятта на выбранном вами оборудовании. В зависимости от того, насколько велика ваша таблица состояний и / или сколько трафика вы проталкиваете, вам может сойти с рук АЛИКС устройство примерно за 200 долларов или обновите его до сервера начального уровня 1U от Dell, HP или белая коробка и т.д. с двойным сетевым адаптером. Я использую Хамакуа от Netgate.com (600 долларов США) прямо сейчас для более крупного клиента, который загружает много данных с большим количеством рабочих станций (большая таблица состояний) и серверов, и эта штука почти не сдвигается с места, с точки зрения ЦП / памяти. Качество сборки отличное; пассивное охлаждение, низкое энергопотребление.
вы можете получить маршрутизатор DrayTek 2950, который помимо других функций поддерживает несколько общедоступных IP-адресов. поддерживает туннели vpn (200) без приобретения дополнительных лицензий.
http://www.draytek.co.uk/products/vigor2950.html
Вы можете найти дилера Draytek в вашем районе.
Draytek будет выполнять всю переадресацию портов, вы можете подключать несколько подключений к глобальной сети, запускать их в режиме аварийного переключения или балансировки нагрузки, вы можете назначать псевдонимы IP-адресов WAN (общедоступные IP-адреса). Вы даже можете назначить публичный статический IP-адрес своим серверам и ввести правильную подсеть и маску подсети в свой маршрутизатор, чтобы он также маршрутизировал вашу общедоступную IP-подсеть.
надеюсь, это поможет
Обратите внимание на Cisco ASA, 5505 вполне разумны. Мы используем как 5505, так и 5510. 5510 отлично подходит для использования нескольких общедоступных IP-адресов, межсетевого экрана, маршрутизации, DMZ, Vlan и т. Д.
Любой из лучших маршрутизаторов, на которых будет работать DD-WRT, OpenWRT или аналогичная прошивка, должен справиться с этим. Я видел сообщения о том, что некоторые из новых маршрутизаторов распространяются с DD-WRT.
Любой небольшой компьютер, который может работать под Linux с двумя или тремя хорошими интерфейсами Ethernet (купите и добавьте хорошие карты, если необходимо).
Я бы побежал Shorerwall как файрволл ни на что. Решение OpenWRT потребует Shorewall-lite с отдельной системой для компиляции правил межсетевого экрана.
Вам следует подумать о создании DMZ для серверов, доступных в Интернете.
У $ работодателя была аналогичная настройка (за исключением нескольких маршрутизаторов - для меня это звучит безумно!). Мы заменили их на Cisco 1801 и не оглядывались назад. Потребовалось некоторое время, чтобы определить правила брандмауэра и узнать, как их применяет Cisco (пары зон и карты политик - это здорово, но я не встречал их раньше), но я думаю, что преимущества простой настройки будут выплачивать дивиденды в долгосрочной перспективе.