Базовый брандмауэр, коммутатор и маршрутизатор? [закрыто]

Я разработчик и уже много лет не имел дела с администратором сервера или сетью, так что «ржавый» очень щедрый. Я настраиваю новый кластер веб-серверов (начиная с двух веб-серверов 1U и одного сервера БД). Поскольку я не делал этого в течение нескольких лет, я не знаю, какие варианты доступны сегодня.

Я хотел бы все в одном устройстве:

• Маленький базовый переключатель Gbit
• Маленький базовый брандмауэр
• Маленький базовый маршрутизатор / DHCP / шлюз
• Небольшой базовый VPN-доступ
• Умещается в пространстве 1U

Что-то простое с минимальным веб-интерфейсом, который я могу настроить, а затем забыть о нем - я полагаю, на 2 шага выше домашнего маршрутизатора.

Изменить: первоначальная реакция от системных администраторов часто "никоим образом", потому что для них устройства, которые делают все это, как правило, дерьмо. Пожалуйста, поймите, для моих целей это нормально. Мои настройки (и бюджет) просто недостаточно велики, чтобы оправдать выделенное оборудование, которое действительно хорошо справляется с этой задачей . Мне просто нужно что - то , что делает этот материал вообще .

Рекомендации?

Вот что я бы порекомендовал:

1. Держитесь подальше от потребительских маршрутизаторов Linksys (даже надев на них DD-WRT и т. Д.) Любой ценой для любого серверного сценария, они становятся нестабильными под нагрузкой и более продвинутыми сценариями (VPN и т. Д.), И у меня есть небольшая куча мертвых / замурованных блоков , Они были сделаны для домашнего использования, и вы должны держать это так.
2. Отделите коммутатор от брандмауэра / шлюза. Гигабитный коммутатор потребитель / производитель, вероятно, подойдет для этого (т. Е. 5-портовый Netgear). В конфигурации, о которой вы просите, проще и эффективнее - лучше, если ваши серверы объединяются с помощью простого и быстрого коммутатора уровня 2, то вы получите надежную и простую магистраль, а некоторые брандмауэры или все-в-одном добавят дополнительные издержки к своим встроенным -в коммутаторах и / или функциональности уровня 3, которые вам здесь не нужны.
3. Для брандмауэра / DHCP / шлюза / VPN - некоторые из многофункциональных устройств Cisco хороши, но могут иметь больше функциональности и корпоративности, чем вы ищете. Проверьте Можжевельник SSG-5. Раньше это был Netscreen NS5-GT, пока Juniper не купила Netscreen. Я думаю, что SSG-5 стоят около 600 долларов за штуку, и если вы хотите, вы можете найти eBay Netscreen NS5-GT менее чем за 200 долларов и убедиться, что вы найдете версию «Неограниченный пользователь».
4. VPN - Juniper / Netscreen будет выполнять VPN, но вам нужно клиентское программное обеспечение Netscreen. В качестве альтернативы вы можете просто настроить маршрутизацию и удаленный доступ на сервере Windows, чтобы использовать простую PPTP VPN без какого-либо клиентского программного обеспечения. Если вы хотите еще больше "просто заставить его работать", используйте Hamachi от LogMeIn, отлично работает.
5. В Windows Балансировка сетевой нагрузки - это работает нормально, но в некоторых случаях НЕ работает хорошо с маршрутизацией Cisco Layer 3 (поскольку она полагается на выполнение некоторых фокусов с кэшированием ARP для «совместного использования» адреса IPv4 между серверами, и устройства Cisco рассматривают это как сила зла, которую надо остановить). Поэтому, если вы идете по маршруту Cisco, убедитесь, что вы правильно настроили устройство Cisco для этого (на нем есть несколько статей).

С 5-портовым гигабитным коммутатором Juniper / Netscreen + вы сможете уместить как 1U, так и иметь простую, быструю и надежную инфраструктуру, которая может делать довольно сложные вещи, если вам это когда-нибудь понадобится.

Надеюсь, это поможет!

PS / edit: - Парочка людей, которые рекомендуют Vyatta, Linux и т. Д.: Это неплохие решения (также предложение Untangle.com выглядит так, как будто оно имеет потенциал), и я использовал их и люблю их для офисных маршрутизаторов конечных точек. но я не рекомендовал этот тип решения, потому что это сценарий размещения приложений; В принципе, идея модульного программного обеспечения, работающего на стандартном оборудовании, состоит в том, чтобы втиснуть все обычно «дорогие» функции, которые вы можете, в наиболее экономичное и наименьшее общее знаменательное оборудование. Я думаю, что это хорошо для конечной точки пользователя (дома, в офисе, VPN филиала и т. Д.), Но даже для небольших / базовых сценариев хостинга, я думаю, что сторона «центра обработки данных» требует специально разработанного оборудования в сочетании со специально разработанной прошивкой.

Пойди посмотри на Вятту. У них есть довольно всеобъемлющий продукт, использующий ядро ​​Linux, предлагающий такие вещи, как VPN, маршрутизатор, NAT, пересылка DNS, DHCP-сервер и многое другое ... www.vyatta.com или www.vyatta.org для версий сообщества. Вы можете запустить его на своем устройстве, на своем собственном оборудовании или в качестве виртуальной машины. Их устройство модели 514 полнофункционально с RIPv2, OSPF и BGP, OpenVPN, IPSEC VPN и т. Д. За <800,00 долларов США.

Эта ссылка впечатляет: http://www.vyatta.com/products/product_comparison.php

У Linksys есть несколько приличных маршрутизаторов, которые находятся выше домашнего маршрутизатора, но ниже полного на ** маршрутизаторе. Что-то вроде WRV54G. Он небольшой, поддерживает IPSec VPN, является маршрутизатором, DHCP и т. Д. Единственная часть, которая ему не подходит, это 100 Мег. Но чтобы перегрузить 100 мегабайт, вам придется увеличить трафик.

Это позволит справиться с балансировкой нагрузки (чего не было в вашем списке требований, но я полагаю, что с двумя веб-серверами это необходимо, поэтому вам нужно найти что-то для этого).

Я вижу два пути:

1. По роутеру Cisco. Он может сделать все выше и делает это очень хорошо, но стоит $$
2. Сделай это сам. Купить сервер 1U, поставить сетевые карты и настроить BSD / Linux. Это может сделать все выше + намного больше (т.е. loadbalansing)

PS. Вам действительно нужно все в одном? Может быть разделение маршрутизатора и коммутатора приемлемо?

PPS. добавлен в избранное на случай, если вы найдете дешевое и интересное оборудование.

Я бы предложил устройство Sonicwall в категории SMB . Я управлял несколькими из этих устройств, и они НЕ ОДНАЖДЫ меня подводили. Интерфейс немного лучше, чем типичный Linksys.

Я не буду первым, кто предложит использовать это только в качестве шлюза / VPN / брандмауэра. Конечно, все тяжелые переключения должны выполняться 24-портовыми устройствами.

Чтобы добавить список, я бы предпочел линию Juniper SRX.

Но как только вам понадобится больше портов, используйте реальный коммутатор, не продолжайте добавлять модули.

Мне очень повезло с моим NetGear ProSafe FVS338 . NetGear также имеет переключатель Gb - FVS336G . 200 долларов США и 300 долларов США соответственно.

В значительной степени делает то, что вам нужно, и не разрушает банк.

PS Я запускаю Windows NLB за этим. Ничего страшного - я ничего не должен был делать.

OpenBSD особенно хорош для настройки брандмауэра, поскольку он «защищен по умолчанию», что означает отсутствие дырок, если вы их не сделаете.

Кроме того, сама конфигурация очень проста, даже если вы углубляетесь в NAT, IPsec VPN, ...

Конечно, вам нужно знать сетевое взаимодействие с любым устройством (что означает NAT, основы работы IPsec, порты, маски сетей и т. Д.).

Вы можете быть заинтересованы в pfSense .

Если вы действительно хотите один блок, делая все это, вы можете выбрать Cisco 3750 (или аналогичный коммутатор), он может выполнять базовый (по общему признанию ОЧЕНЬ базовый) межсетевой экран (списки доступа, ничего особенного) и маршрутизировать пакеты. Не знаю, в какой степени они предоставляют «простую» конфигурацию VPN, но вы должны быть в состоянии настроить конечные точки IPSEC по мере необходимости.

Но, честно говоря, вам, вероятно, лучше делать это как отдельные блоки.