Основний брандмауер, комутатор та пристрій маршрутизатора? [зачинено]

Я розробник і не займався адміністратором сервера або мережею протягом багатьох років, тому "іржавий" дуже щедрий. Я встановлюю новий кластер веб-серверів (починаючи з двох веб-серверів 1U та одного сервера БД). Оскільки я цього не робив протягом кількох років, я не знаю, які варіанти є сьогодні.

Я хотів би всіх в одному пристрої:

• Невеликий базовий гбіт-комутатор
• Невеликий, базовий брандмауер
• Невеликий базовий маршрутизатор / DHCP / шлюз
• Невеликий базовий VPN-доступ
• Міститься в просторі 1U

Щось просте, з мінімальним веб-інтерфейсом, який я можу налаштувати, а потім забути - на 2 кроки над пристроєм домашнього маршрутизатора, я думаю.

Редагувати: початкова реакція сисадмінів часто "ніяк", тому що для них пристрої, які роблять все це, як правило, лайно. Будь ласка, усвідомте для моїх цілей, що це наразі добре. Моя установка (і бюджет) просто не є достатньо великою, щоб виправдати спеціальне обладнання, яке справді робить це добре . Мені просто потрібно що - то , що робить цей матеріал взагалі .

Рекомендації?

Ось що я рекомендую:

1. Тримайтеся подалі від споживчих маршрутизаторів Linksys (навіть ставлячи DD-WRT на нього тощо) будь-якою ціною за будь-якого сценарію сервера, вони стають розмитими під навантаженням та більш просунутіми сценаріями (VPN тощо), і у мене є невелика купа мертвих / цегляних . Вони були зроблені для домашнього використання, і ви повинні зберігати це таким чином.
2. Відокремте перемикач від брандмауера / шлюзу. Гігабітний комутатор споживача / споживача, можливо, для цього (наприклад, 5-портовий Netgear). У налаштуваннях, про які ви запитуєте, краще просто та ефективно - розміщення ваших серверів за допомогою простого швидкого перемикача рівня 2 дає вам міцну та просту основу, а деякі брандмауэры чи все-в-іншому додадуть додаткові накладні витрати в їх вбудований -в комутаційних та / або функціональних можливостях рівня 3, які вам тут не потрібні.
3. Для брандмауера / DHCP / шлюзу / VPN - Деякі Cisco all-in-one є чудовими, але можуть мати більше функціональності та підприємливості, ніж ви шукаєте. Ознайомтеся з ялівець SSG-5. Вони раніше були Netscreen NS5-GT, поки Juniper не придбав Netscreen. Я думаю, що SSG-5 коштують приблизно 600 доларів за штуку, і якщо ви хочете, ви можете знайти eBay Netscreen NS5-GT вже за 200 доларів, і переконайтеся, що ви знайдете версію “Необмежений користувач”.
4. VPN - Juniper / Netscreen буде робити VPN, але вам потрібно клієнтське програмне забезпечення Netscreen. Крім того, ви можете просто встановити маршрутизацію та віддалений доступ на сервері Windows для простого VPTP VPN, який можна використовувати без будь-якого клієнтського програмного забезпечення. Якщо ви хотіли піти ще більше "просто змусьте це працювати", використовуйте Hamachi з LogMeIn, чудово працює.
5. На балансуванні навантаження на мережу Windows - це працює нормально, але в деяких випадках НЕ грає добре з маршрутизацією Cisco Layer 3 (оскільки він покладається на виконання магічних трюків з кешуванням ARP, щоб "поділитися" IPv4-адресою на серверах, а пристрої Cisco розглядають це як зла сила, яку треба зупинити). Тож якщо ви йдете по маршруту Cisco, переконайтеся, що правильно налаштувати пристрій Cisco для цього (на ньому є маса статей).

Завдяки гігабітному комутатору Juniper / Netscreen + 5 портів ви повинні вмістити як в 1U, так і у вас буде проста, швидка та надійна інфраструктура, яка зможе зробити досить просунуті речі, якщо вам це коли-небудь знадобиться.

Сподіваюся, що це допомагає!

PS / редагувати: - Кілька людей, які рекомендують В’ятту, Linux тощо. Це не погані рішення (також, пропозиція Untangle.com виглядає, що вона має потенціал), і я використовував їх і люблю їх для офісних маршрутизаторів кінцевих точок .. . але я не рекомендував такого типу рішення, оскільки це сценарій хостингу додатків; в принципі ідея модульного програмного забезпечення, яке працює на загальному обладнання, полягає в тому, щоб вичавити всі звичайно «дорогі» функції, які ви можете, до найбільш економічно вигідного та найнижчого загального обладнання. Я думаю, що це добре для кінцевої точки користувача (домашній, офісний, VPN відділення та ін.), Але навіть для невеликих / базових сценаріїв хостингу я думаю, що сторона "центру обробки даних" гарантує спеціально розроблене обладнання, поєднане зі спеціально розробленою прошивкою.

Ідіть заглянути в Вятту. У них є досить всебічний продукт, який використовує Linux Kernel, пропонуючи такі речі, як VPN, маршрутизатор, NAT, пересилання DNS, сервер DHCP та інше ... www.vyatta.com або www.vyatta.org для версій спільноти. Ви можете запустити його на своєму пристрої, на власному апаратному забезпеченні або як VM. Їх модельний пристрій 514 має повнофункціональний вміст з RIPv2, OSPF та BGP, OpenVPN, IPSEC VPN тощо за <800,00 доларів.

Це посилання дуже вражає: http://www.vyatta.com/products/product_comppare.php

У Linksys є кілька пристойних маршрутизаторів, які знаходяться над домашнім маршрутизатором, але нижче повного маршрутизатора **. Щось на зразок WRV54G. Він невеликий, підтримує IPSec VPN, маршрутизатор, DHCP і т. Д. Тільки частина, яка йому не підходить, - це 100 мег. Але для перевантаження 100 Мег вам доведеться підштовхнути багато трафіку.

Це допоможе впоратися з балансуванням навантаження (що не було у вашому списку вимог, але з двома веб-серверами, я вважаю, що це потрібно, тому вам потрібно буде знайти щось, що впорається з цим).

Я бачу два способи:

1. За маршрутизатором Cisco. Він може робити все вище і робить це дуже добре, але коштує $$
2. Зроби це сам. Купіть 1U сервер, поставте NIC та встановіть BSD / Linux. Він може робити все вище + набагато більше (тобто балансування навантаження)

PS. Вам справді потрібно все-в-одному? Можливо, роздільний роутер і комутатор прийнятні?

PPS. додано у вибране, якщо ви знайдете дешеве 'n cool' обладнання.

Я б запропонував пристрій Sonicwall в категорії SMB . Я керував декількома з цих пристроїв, і вони НІКОЛИ мене не підводили. Інтерфейс трохи кращий, ніж типові Linksys.

Я не буду першим, хто запропонує використовувати це лише як пристрій шлюзу / VPN / брандмауера. Звичайно, всі важкі комутації повинні бути виконані 24-портовими пристроями.

Для додання списку моїми особистими уподобаннями була б лінія Juniper SRX.

Але як тільки вам потрібно більше портів, використовуйте реальний комутатор, не продовжуйте додавати модулі.

Мені пощастило з моїм NetGear ProSafe FVS338 . У NetGear також є комутатор Gb - FVS336G . 200 доларів США та 300 доларів США відповідно.

Дуже багато робить те, що вам потрібно для цього, і не ламає банк.

ps Я запускаю Windows NLB за цим. Нічого страшного - мені нічого не потрібно було робити.

OpenBSD особливо приємний для налаштування брандмауера, оскільки він "захищений за замовчуванням", тобто немає отворів, якщо ви не зробите їх.

Крім того, сама конфігурація дуже проста, навіть коли ви заглиблюєтеся в NAT, IPsec VPN, ...

Звичайно, вам доведеться знати мережу з будь-яким вікном (що означає NAT, основи роботи IPsec, що таке порти, мережеві маски ...).

Можливо, вас зацікавить pfSense .

Якщо ви дійсно хочете отримати єдине вікно, зробивши все це, ви можете зайти на Cisco 3750 (або порівняльний комутатор), він може робити базову (правда, ДУЖЕ базову) брандмауер (списки доступу, нічого насправді фантазії) та маршрутні пакети. Не знаю, в якій мірі вони надають "просту" конфігурацію VPN, але ви повинні мати можливість налаштувати кінцеві точки IPSEC за потреби.

Але, якщо чесно, вам, мабуть, краще робити це як окремі скриньки.