Одно устройство для маршрутизации / межсетевого экрана / балансировки ISP / шлюза

Вот мои три варианта:

  1. Прямо сейчас у меня есть Cisco ASA, который я использую для межсетевого экрана, маршрутизатора VLAN, шлюза и восстановления после сбоя провайдера. В ASA недостаточно контроля над тем, что мне нужно, и лицензия на это становится очень дорогой. Поэтому обновление этой лицензии - мой наименее любимый вариант. Мой cisco также имеет только 100-мегабайтные интерфейсы, поэтому передача файлов между моими двумя виртуальными сетями будет очень медленной.

  2. Я подумываю о том, чтобы Dell R210 II мог справиться со всеми этими задачами. Это самый дешевый сервер для установки в стойку. Я бы просто добавил 4-портовый гигабитный ник. Я бы использовал это для настройки маршрутизации между двумя моими виртуальными сетями, брандмауэром и аварийным переключением ISP, используя IPTables.

  3. Мне было предложено просто включить этот сервер в мой виртуальный сервер, который представляет собой один большой сервер 4u с идентичной физической резервной копией, но кажется плохой идеей иметь контроллер домена и серверы приложений на одном физическом устройстве с брандмауэром и серверы DMZ.

Я хотел бы пойти со вторым вариантом, потому что он отделяет сервер подключения от остальных моих серверов. Это также намного дешевле, и я буду иметь полный контроль над IPTables. У нас есть около 200 устройств в нашей сети, которые, кажется, просты в обращении на таком низком уровне сервера. Я что-то упустил для этого или я должен идти дальше с отдельным сервером Linux с IPTables?

Источник

3 ответа

Cisco ASA вполне способен на то, что вы перечислили. Однако для подключения к Интернету я обычно использую внешний балансировщик нагрузки.

Каков недостаток Cisco ASA в этом случае?

Вам не хватает поддержки, и вы создаете немного более сложное решение, используя сервер или специализированное оборудование. Это действительно деловое решение, хотя.

Источник

Некоторые моменты для рассмотрения...

  1. Все, что имеет вращающийся диск (сервер Dell), менее надежно, чем то, что работает с флэш-памяти (например, Cisco ASA). Вы должны пойти на диски SAS, если вы идете по этому маршруту (то есть без SATA).
  2. Поддержка Dell имеет тенденцию становиться суетливой, если вы не вставите в систему оригинальные компоненты Dell (опять же, та же история с Cisco).
  3. Кто-то уже упоминал о резервных источниках питания, которые вы непременно должны получить, если у вас был сервер Dell
  4. Я бы купил настоящие сетевые карты Intel, если вы решите пойти по пути сервера; У меня не было хорошего опыта работы с драйверами Broadcom (см. Этот вопрос о взаимоблокировках на Broadcom, когда я сменил MTU)
  5. Поддержка является большой проблемой с этим планом. Некоторые люди утверждают, что вы можете получить платную поддержку Linux через RedHat; однако, большинство людей с компаниями вашего размера не очень довольны уровнем поддержки RedHat.
  6. Этот план Linux будет очень грязным, если вы начнете нуждаться в протоколах динамической IP-маршрутизации в Linux. Есть несколько вариантов ( птица / квага), но вы действительно становитесь специализированными, когда делаете это.
Источник

Вы пытаетесь защитить свои две подсети друг от друга? Если нет, то почему бы просто не получить коммутатор с возможностью L3 для внутренних подсетей и просто использовать существующий межсетевой экран для внешнего подключения. 100M, как правило, достаточно для такого рода вещей, и не было бы никаких ограничений VLAN. Такой переключатель, скорее всего, окажется дешевле, чем лицензия FW или сервер, и, безусловно, будет масштабироваться лучше, чем любой.

Источник
Другие вопросы по тегам