Назад | Перейти на главную страницу

Базовый брандмауэр, коммутатор и маршрутизатор?

Я разработчик и много лет не занимался администрированием серверов или сетями, поэтому "rusty" - это очень щедро. Я настраиваю новый кластер веб-серверов (начиная с двух веб-серверов 1U и одного сервера БД). Поскольку я не делал этого несколько лет, я действительно не знаю, какие варианты доступны сегодня.

Хотелось бы все в одном устройстве:

Что-то простое с минимальным веб-интерфейсом, которое я могу настроить, а затем забыть - полагаю, на 2 шага выше домашнего маршрутизатора.

Изменить: первоначальная реакция системных администраторов часто бывает «ни в коей мере», потому что для них устройства, которые все это делают, обычно дерьмо. Пожалуйста, поймите, что для моих целей это нормально. Моя установка (и бюджет) просто недостаточно велики, чтобы оправдать выделенное оборудование, которое делает это действительно хорошо. Мне просто нужно что-то, что делает это вообще.

Рекомендации?

Вот что я бы порекомендовал:

  1. Держитесь подальше от потребительских маршрутизаторов Linksys (даже ставя на них DD-WRT и т. Д.) Любой ценой для любого сценария сервера, они начинают нестабильно под нагрузкой и в более сложных сценариях (VPN и т. Д.), И у меня есть небольшая куча мертвых / заблокированных . Они были созданы для домашнего использования, и вы должны так держать.
  2. Отделите коммутатор от межсетевого экрана / шлюза. Для этого, вероятно, подойдет гигабитный коммутатор потребитель / потребитель (например, 5-портовый Netgear). В настройке, которую вы просите, простота и эффективность лучше - объединение серверов на простой быстрый коммутатор уровня 2 дает вам прочную и простую магистраль, а некоторые межсетевые экраны или моноблоки добавят дополнительные накладные расходы к их встроенным -в коммутаторах и / или функциональных возможностях уровня 3, которые вам здесь не нужны.
  3. Для брандмауэра / DHCP / шлюза / VPN - некоторые универсальные решения Cisco великолепны, но могут иметь больше функциональности и корпоративности, чем вы ищете. Обратите внимание на Juniper SSG-5. Раньше это был Netscreen NS5-GT, пока Juniper не купила Netscreen. Я думаю, что SSG-5 стоят около 600 долларов за штуку, и если вы хотите, вы могли бы найти eBay Netscreen NS5-GT менее чем за 200 долларов и убедиться, что вы нашли версию для неограниченного пользователя.
  4. VPN - Juniper / Netscreen будет использовать VPN, но вам понадобится клиентское программное обеспечение Netscreen. В качестве альтернативы вы можете просто настроить маршрутизацию и удаленный доступ на сервере Windows для использования простой PPTP VPN без какого-либо клиентского программного обеспечения. Если вы хотите сделать еще больше, «просто заставьте его работать», используйте Hamachi от LogMeIn, отлично работает.
  5. При балансировке сетевой нагрузки Windows - это работает нормально, но в некоторых случаях НЕ хорошо работает с маршрутизацией Cisco Layer 3 (поскольку она полагается на некоторые фокусы с кэшированием ARP для `` совместного использования '' адреса IPv4 между серверами, и устройства Cisco рассматривают это как злая сила, которую необходимо остановить). Так что, если вы идете по маршруту Cisco, убедитесь, что вы правильно настроили устройство Cisco для этого (об этом есть куча статей).

С 5-портовым гигабитным коммутатором Juniper / Netscreen + вы сможете уместить оба в 1U, и у вас будет простая, быстрая и надежная инфраструктура, которая может делать некоторые довольно сложные вещи, если они вам когда-либо понадобятся.

Надеюсь, это поможет!

PS / edit: - Несколько человек рекомендуют Vyatta, Linux и т. Д.: Это неплохие решения (к тому же предложение Untangle.com выглядит так, как будто оно имеет потенциал), и я использовал их и люблю их для офисных маршрутизаторов конечных точек. ... но я не рекомендовал этот тип решения, потому что это сценарий хостинга приложений; В принципе, идея модульного программного обеспечения, работающего на стандартном оборудовании, состоит в том, чтобы втиснуть все обычно «дорогие» функции, которые вы можете, в наиболее экономичное оборудование с наименьшим общим знаменателем. Я думаю, что это нормально для конечной точки пользователя (домашнего, офисного, филиального VPN и т. Д.), Но даже для небольших / базовых сценариев хостинга я думаю, что сторона «центра обработки данных» гарантирует специально разработанное оборудование в сочетании со специально разработанной прошивкой.

Взгляните на Вятту. У них есть довольно комплексный продукт, использующий ядро ​​Linux, предлагающий такие вещи, как VPN, маршрутизатор, NAT, перенаправление DNS, DHCP-сервер и многое другое ... www.vyatta.com или www.vyatta.org для версий сообщества. Вы можете запустить его на их устройстве, на собственном оборудовании или как виртуальную машину. Их устройство модели 514 полнофункционально с RIPv2, OSPF и BGP, OpenVPN, IPSEC VPN и т. Д. По цене <800 долларов США.

Эта ссылка впечатляет: http://www.vyatta.com/products/product_comparison.php

У Linksys есть несколько приличных маршрутизаторов, которые находятся выше домашнего маршрутизатора, но ниже полноценного ** маршрутизатора. Что-то вроде WRV54G. Он небольшой, поддерживает IPSec VPN, есть маршрутизатор, DHCP и т. Д. Единственное, что не подходит, это то, что это 100 мегабайт. Но чтобы перегрузить 100 Мб, вам придется протолкнуть много трафика.

Это будет обрабатывать балансировку нагрузки (которой не было в вашем списке требований, но с двумя веб-серверами, я полагаю, это необходимо, поэтому вам нужно будет найти что-то, чтобы справиться с этим).

Я бы предложил Устройство Sonicwall в категории SMB. Я управлял несколькими из этих устройств, и они НИ ОДИН РАЗ меня не подводили. Интерфейс немного лучше, чем у типичного Linksys.

Я не буду первым, кто предложит использовать его только как устройство шлюза / VPN / межсетевого экрана. Конечно, все тяжелые переключения должны выполняться устройствами с 24 портами.

Я вижу два пути:

  1. Маршрутизатором Cisco. Он может делать все, что описано выше, и делает это очень хорошо, но стоит $ $$.
  2. Сделай сам. Купите сервер 1U, установите сетевые адаптеры и настройте BSD / Linux. Он может делать все, что указано выше, и многое другое (например, балансировку нагрузки)

PS. Вам действительно нужно все-в-одном? Может быть допустимо разделение роутера и коммутатора?

PPS. добавлены в избранное на случай, если вы найдете дешевое и классное оборудование.

Чтобы добавить список, я бы предпочел линию Juniper SRX.

Но как только вам понадобится больше портов, используйте настоящий коммутатор, не продолжайте добавлять модули.

Мне очень повезло с моим NetGear ProSafe FVS338. NetGear также имеет коммутатор Gb - FVS336G. 200 и 300 долларов США соответственно.

В значительной степени делает то, что вам нужно, и при этом не ломает банкноты.

p.s. Я запускаю Windows NLB за этим. Ничего особенного - мне не нужно было ничего делать.

OpenBSD особенно хорош для настройки брандмауэра, поскольку он «безопасен по умолчанию», что означает отсутствие дыр, если вы их не сделаете.

Кроме того, сама настройка очень проста, даже если вы углубитесь в NAT, IPsec VPN, ...

Конечно, вам нужно знать сети с любым устройством (что означает NAT, основы работы IPsec, что такое порты, маски сети, ...).

Вам может быть интересно pfSense.

Если вам действительно нужен единый ящик, для всего этого вы можете выбрать Cisco 3750 (или сопоставимый коммутатор), он может выполнять базовую (по общему признанию ОЧЕНЬ базовую) брандмауэр (списки доступа, ничего особенного) и маршрутизировать пакеты. Не знаю, до какой степени они предоставляют «простую» конфигурацию VPN, но вы сможете настроить конечные точки IPSEC по мере необходимости.

Но, честно говоря, вам, вероятно, лучше делать их отдельными коробками.