Podstawowa zapora ogniowa, przełącznik i router? [Zamknięte]

10

Jestem programistą i od lat nie zajmowałem się administrowaniem serwerami ani obsługą sieci, więc „zardzewiały” jest bardzo hojny. Tworzę nowy klaster serwerów WWW (zaczynając od dwóch serwerów 1U i jednego serwera DB). Ponieważ nie robiłem tego od kilku lat, tak naprawdę nie wiem, jakie opcje są dziś dostępne.

Chciałbym wszystko w jednym urządzeniu:

  • Mały, podstawowy przełącznik Gbit
  • Mała, podstawowa zapora ogniowa
  • Mały, podstawowy router / DHCP / brama
  • Mały, podstawowy dostęp VPN
  • Pasuje do przestrzeni 1U

Coś prostego z minimalnym interfejsem internetowym, który mogę skonfigurować, a potem zapomnieć o - chyba 2 kroki nad domowym routerem.

Edycja: początkowa reakcja sysadminów jest często „niemożliwa”, ponieważ dla nich urządzenia, które to wszystko robią, są zazwyczaj bzdurą. Proszę uświadomić sobie dla moich celów, to jest obecnie OK. Moja konfiguracja (i budżet) są po prostu za małe, aby uzasadnić dedykowany sprzęt, który robi to naprawdę dobrze . Muszę tylko coś, co robi te rzeczy w ogóle .

Rekomendacje?

Rex M.
źródło
Jeśli znajdziesz taki, daj nam znać - też uważam na coś podobnego!
Mark Henderson

Odpowiedzi:

15

Oto, co poleciłbym:

  1. Trzymaj się z dala od routerów konsumenckich Linksys (nawet umieszczając na nim DD-WRT itp.) Za wszelką cenę w dowolnym scenariuszu z serwerem, stają się niestabilne pod obciążeniem i bardziej zaawansowanych scenariuszy (VPN itp.), A ja mam mały stos martwych / murowanych . Zostały stworzone do użytku domowego i należy je zachować w ten sposób.
  2. Oddziel przełącznik od zapory / bramy. Gigabitowy przełącznik konsument / prosument prawdopodobnie byłby do tego odpowiedni (tj. 5-portowy Netgear). W konfiguracji, o którą prosisz, prosta i wydajna jest lepsza - umieszczenie serwerów razem na prostym szybkim przełączniku warstwy 2 zapewnia solidny i prosty szkielet, a niektóre zapory ogniowe lub urządzenia typu „wszystko w jednym” spowodują dodatkowe obciążenie dla ich wbudowanych -w przełącznikach i / lub funkcjach warstwy 3, których tutaj nie potrzebujesz.
  3. W przypadku zapory ogniowej / DHCP / bramy / VPN - niektóre urządzenia Cisco all-in-one są świetne, ale mogą mieć większą funkcjonalność i przedsiębiorczość niż szukasz. Sprawdź Juniper SSG-5. Były to Netscreen NS5-GT, dopóki Juniper nie kupił Netscreen. Myślę, że SSG-5 to około 600 USD za sztukę, a jeśli chcesz, możesz znaleźć eBay Netscreen NS5-GT za mniej niż 200 USD i upewnij się, że znajdziesz wersję „Unlimited User”.
  4. VPN - Juniper / Netscreen zrobi VPN, ale potrzebujesz oprogramowania klienckiego Netscreen. Alternatywnie, możesz po prostu skonfigurować Routing i dostęp zdalny na serwerze Windows, aby korzystać z prostej sieci PPTP VPN bez użycia oprogramowania klienckiego. Jeśli chcesz pójść jeszcze bardziej „po prostu spraw, by działało”, użyj Hamachi z LogMeIn, działa świetnie.
  5. W przypadku równoważenia obciążenia sieciowego systemu Windows - działa to OK, ale w niektórych przypadkach NIE działa ładnie z routingiem Cisco Layer 3 (ponieważ wymaga pewnych magicznych sztuczek z buforowaniem ARP, aby „udostępnić” adres IPv4 na serwerach, a urządzenia Cisco postrzegają to jako zła siła, którą trzeba powstrzymać). Więc jeśli wybierzesz trasę Cisco, upewnij się, że odpowiednio skonfigurowałeś urządzenie Cisco (jest tam kilka artykułów).

Dzięki 5-portowemu przełącznikowi Gigabit Juniper / Netscreen + powinieneś być w stanie zmieścić oba w 1U, a będziesz mieć prostą, szybką i niezawodną infrastrukturę, która może zrobić całkiem zaawansowane rzeczy, jeśli kiedykolwiek będziesz tego potrzebować.

Mam nadzieję, że to pomaga!

PS / edycja: - Kilka osób polecających Vyatta, Linux itp.: Nie są to złe rozwiązania (również oferta Untangle.com wygląda na to, że ma potencjał), a ja ich użyłem i uwielbiam je dla routerów biurowych. , ale nie zaleciłem tego typu rozwiązania, ponieważ jest to scenariusz hostowania aplikacji; Zasadniczo ideą oprogramowania modułowego działającego na sprzęcie ogólnym jest ściśnięcie wszystkich zwykle „drogich” funkcji, które można uzyskać, w najbardziej opłacalny i najniższy wspólny mianownik. Myślę, że jest to w porządku dla punktu końcowego użytkownika (domu, biura, oddziału VPN itp.), Ale nawet w przypadku małych / podstawowych scenariuszy hostingu myślę, że strona „centrum danych” gwarantuje specjalnie zaprojektowany sprzęt w połączeniu ze specjalnie zaprojektowanym oprogramowaniem układowym.

routeNpingme
źródło
Popieram kawałek „oddzielnych elementów”. Jeśli naprawdę używasz zapory ogniowej (stanowa inspekcja, nie tylko listy dostępu), to wszystko, co przejdzie przez nią, nie zbliży się do gigabitów, prawdopodobnie nawet 100 Mb / s. To samo z VPN. Sprzęt, który może sprawdzać stan i szyfrować z dużą prędkością, znacznie przekroczy Twój budżet. Trzymaj więc lokalne serwery, które potrzebują szybkiego połączenia na przełączniku, i ustaw firewall / VPN na wolniejszym brzegu (powiedzmy, połączenie internetowe)
Geoff
4

Idź rzuć okiem na Vyatta. Mają dość kompleksowy produkt wykorzystujący jądro Linuksa, oferujący takie wersje, jak VPN, router, NAT, przekazywanie DNS, serwer DHCP i inne ... www.vyatta.com lub www.vyatta.org dla wersji społecznościowych. Możesz uruchomić go na swoim urządzeniu, na własnym sprzęcie lub jako VM. Ich model 514 jest w pełni wyposażony w RIPv2, OSPF i BGP, OpenVPN, IPSEC VPN itp. Za <800,00 $.

Ten link jest imponujący: http://www.vyatta.com/products/product_comparison.php

netlinxman
źródło
1
Ich podstawowym urządzeniem jest 514 i jest wyposażony w cztery porty 10/100, które można przełączać lub routować. Istnieje dodatkowe gniazdo PCI, które pozwala również dodać własną kartę Gig-E 1- / 2- lub 4-portową, dzięki czemu można naprawdę dobrze rozwinąć to urządzenie. Małej mocy Mały ślad stopy. Bardzo elastyczny.
netlinxman
3

Linksys ma kilka przyzwoitych routerów, które znajdują się nad routerem domowym, ale poniżej pełnego po wykręceniu ** routera. Coś jak WRV54G. Jest mały, obsługuje IPSec VPN, jest routerem, DHCP itp. Jedyne, czego nie pasuje, to 100 Meg. Ale aby przeciążyć 100 megabajtów, musisz zwiększyć ruch.

To poradzi sobie z równoważeniem obciążenia (czego nie było na twojej liście wymagań, ale zakładam, że z dwoma serwerami internetowymi jest to potrzebne, więc będziesz musiał znaleźć coś do obsługi tego).

mrdenny
źródło
1
Część 100 MB jest trochę niepokojąca, ponieważ mam nadzieję, że DB zacznie od tej samej sieci. Może mogę postawić przełącznik 1 GB i tego faceta na tej samej półce. Równoważenie obciążenia RE, to są serwery Windows, więc pomyślałem, że zacznę od Windows NLB. Jakieś dalsze przemyślenia?
Rex M,
Do tego można użyć Windows NLB. Jest też mały program do równoważenia obciążenia, którego używałem (za pośrednictwem Linux-a pod ESX, ale prawdopodobnie można go ponownie skompilować dla systemu Windows) o nazwie Pen, który działa znacznie lepiej ze sprzętem Cisco. Używam NLB do niektórych wewnętrznych rzeczy i miałem z tym problemy dzięki przełącznikom Cisco, które zostały przełączone na Pen. Jeśli uważasz, że będziesz naciskał ponad 100 megapikseli, wybierz przełącznik Gig podłączony do przedniego routera. To powinno działać dobrze.
mrdenny
2

Widzę dwa sposoby:

  1. Przez router Cisco. Może zrobić wszystko powyżej i robi to bardzo dobrze, ale kosztuje $$
  2. Zrób to sam. Kup serwer 1U, włóż karty sieciowe i skonfiguruj BSD / Linux. Potrafi robić wszystko powyżej + wiele więcej (tj. Równoważenie obciążenia)

PS. Czy naprawdę potrzebujesz urządzenia wielofunkcyjnego? Czy rozdzielanie routera i przełącznika jest dopuszczalne?

PPS. dodano do ulubionych na wypadek, gdybyś znalazł tani i fajny sprzęt.

SaveTheRbtz
źródło
2

Sugerowałbym urządzenie Sonicwall w kategorii SMB . Udało mi się zarządzać kilkoma z tych urządzeń i one NIE zawiodły mnie RAZ. Interfejs jest nieco lepszy niż typowy Linksys.

Nie będę pierwszym, który sugeruje użycie tego tylko jako bramy / VPN / zapory ogniowej. Oczywiście wszystkie ciężkie przełączanie musi być wykonane przez urządzenia 24-portowe.

p.campbell
źródło
2

Aby dodać listę, moje osobiste preferencje to linia Juniper SRX.

Ale gdy tylko potrzebujesz więcej portów, użyj prawdziwego przełącznika, nie dodawaj modułów.

LapTop006
źródło
2

Miałem dużo szczęścia z moim NetGear ProSafe FVS338 . NetGear ma również przełącznik Gb - FVS336G . Odpowiednio 200 USD i 300 USD.

Prawie robi to, co trzeba, i nie rozbija banku.

ps Mam za tym Windows NLB. Nic wielkiego - nie musiałem nic robić.

Christopher_G_Lewis
źródło
Więc FVS336G jest, w większości przypadków, gigabitową wersją twojego bardzo zalecanego 338? 300 $ nie jest złe.
Rex M,
Wygląda jak to. I znowu bardzo podoba mi się ten produkt. Inteligentnie podchodzi do ponownych połączeń - mogę ponownie włączyć modem kablowy i nie muszę dotykać tego urządzenia. Myślę, że jedyny raz, kiedy musiałem włączyć i włączyć zasilanie, to moja ostatnia aktualizacja oprogramowania. Najlepsze w tym pudełku jest to, że po prostu nie musisz o tym myśleć.
Christopher_G_Lewis
1

OpenBSD jest szczególnie przydatny do konfigurowania zapory ogniowej, ponieważ jest „domyślnie bezpieczny”, co oznacza, że ​​nie ma dziur, jeśli ich nie zrobisz.

Również sama konfiguracja jest bardzo łatwa, nawet gdy zagłębisz się w NAT, IPsec VPN, ...

Oczywiście będziesz musiał znać pracę w sieci z dowolnym urządzeniem (co oznacza NAT, podstawy działania IPsec, czym są porty, maski sieciowe, ...).

slovon
źródło
0

Jeśli naprawdę chcesz mieć pojedyncze urządzenie, możesz wybrać Cisco 3750 (lub porównywalny przełącznik), może on wykonywać podstawowe (co prawda BARDZO podstawowe) zapory ogniowe (listy dostępu, nic naprawdę wyjątkowego) i trasować pakiety. Nie wiem, w jakim stopniu zapewniają one „prostą” konfigurację VPN, ale w razie potrzeby powinieneś być w stanie skonfigurować punkty końcowe IPSEC.

Ale, szczerze mówiąc, prawdopodobnie lepiej jest robić to jako osobne pudełka.

Vatine
źródło