Projektuję sieć kampusu, a projekt wygląda następująco:
LINX to londyńska giełda internetowa, a JANET to wspólna sieć akademicka.
Moim celem jest prawie w pełni redundancja o wysokiej dostępności, ponieważ będzie musiała wspierać około 15 tys. Osób, w tym pracowników akademickich, pracowników administracyjnych i studentów. W tym czasie przeczytałem kilka dokumentów , ale nadal nie jestem pewien co do niektórych aspektów.
Chcę poświęcić to zaporom ogniowym: jakie są czynniki decydujące o zastosowaniu dedykowanej zapory ogniowej zamiast wbudowanej zapory w routerze granicznym? Z tego, co widzę, wbudowana zapora ma następujące zalety:
- Łatwiejsze w utrzymaniu
- Lepsza integracja
- O jeden skok mniej
- Mniejsze zapotrzebowanie na miejsce
- Taniej
Dedykowana zapora ogniowa ma tę zaletę, że jest modułowa.
Czy jest coś jeszcze? czego mi brakuje?
networking
load-balancing
network-design
użytkownik3081239
źródło
źródło
Odpowiedzi:
Administrator / architekt systemów korporacyjnych tutaj. Nigdy nie zaprojektowałbym sieci na taką skalę, aby do każdego podstawowego zadania używać wyłącznie dedykowanych urządzeń: routingu, przełączania, zapory ogniowej, równoważenia obciążenia. To po prostu zła praktyka robić inaczej. Teraz pojawiają się nowe produkty, takie jak NSX firmy VMware, które starają się zwirtualizować tę infrastrukturę do sprzętu towarowego (i zwykle mniej), i to jest w porządku. Intrygujące nawet. Ale nawet wtedy każde urządzenie wirtualne ma swoją pracę.
Omówię główne powody, dla których są one oddzielone:
Mam nadzieję, że to pomaga. Powodzenia w twojej sieci. Jeśli masz dodatkowe pytania, wyślij je (osobno od tego postu), a ja postaram się je złapać. Oczywiście jest wielu sprytnych ludzi, którzy potrafią odpowiedzieć równie dobrze lub, mam nadzieję, lepiej. Cześć!
źródło
Chociaż routery i zapory ogniowe dość się pokrywają, mają zupełnie inne cele; w związku z tym routery zwykle nie przodują w zaporze ogniowej, a zapory ogniowe zwykle nie mogą wykonywać dużo więcej routingu niż przenoszenie pakietów z interfejsu na inny; jest to główny powód używania odrębnych urządzeń dla dwóch ról.
Innym powodem jest to, że zapory ogniowe zwykle mają tylko interfejsy Ethernet, polegające na odpowiednim routerze do łączenia się z różnymi mediami, takimi jak światłowód lub DSL; połączenia twoich dostawców usług internetowych najprawdopodobniej będą zapewnione na takich mediach, dlatego i tak routery będą potrzebne do ich zakończenia.
Powiedziałeś, że potrzebujesz przełączania awaryjnego zarówno do routingu, jak i zapory ogniowej. Zaawansowane routery mogą zapewniać równoważenie obciążenia i przełączanie awaryjne na wielu urządzeniach i wielu połączeniach ISP; chociaż zapory ogniowe mają podstawowe możliwości routingu, zwykle nie wykonują tak zaawansowanych funkcji routingu. Odwrotna sytuacja dotyczy routerów działających jako zapory ogniowe: są one zwykle dość ograniczone w porównaniu z prawdziwymi zaporami wysokiej klasy.
źródło