Настройка нового шлюза для разделения 1 интернет-канала на 3 сети

Question

Настройка нового шлюза для разделения 1 интернет-канала на 3 сети

Я ищу несколько слов мудрости от участников этого форума.

Я занимаюсь консалтингом для трех связанных некоммерческих организаций в одном здании. Трое решили использовать один и тот же интернет-канал и поручили мне построить новую шлюзную коробку. Я планирую приобрести 1U SuperMicro Atom с дополнительной картой для 6 физических сетевых портов.

Шлюз будет использоваться для разделения интернета между некоммерческими организациями, обеспечения некоторого базового управления трафиком и фильтрации контента с использованием DansGuardian.

Сейчас я пытаюсь выяснить, как настроить программное обеспечение, и хотел бы получить совет. Некоторые варианты, которые я вижу:

Установите Ubuntu непосредственно на коробку и используйте iptables, Squid и DansGuardian для выполнения всех задач. Я делал это раньше и знаком с настройкой.
Установите ESXi на "голое железо" и запустите виртуальную машину Ubuntu, чтобы сделать вышеописанное.
Установите ESXi на "голое железо" и запустите виртуальную машину pfSense для брандмауэра / маршрутизатора и передайте пакеты порта 80 другой виртуальной машине, работающей под управлением Ubuntu со Squid и DansGuardian. Раньше я не пользовался pfSense, но мне кажется, что я могу его легко достать.

Если я сделаю вариант 3, есть ли мысли о запуске 3-х отдельных виртуальных машин Ubuntu, чтобы каждый некоммерческий имел свой собственный экземпляр DansGuadian вместо одного экземпляра и использования групп фильтров.

В одной сети будет около 50 пользователей, 20 во второй и 5 в третьей. Интернет-канал - это 50 Мбит /12 Мбит вверх по кабелю.

Буду признателен за любые советы по вышеупомянутым или другим вариантам, которые кто-либо порекомендует.

Спасибо.

0

ubuntu vmware-esxi pfsense dansguardian

Источник

Jesse Nelson 19 окт '11 в 15:09

2 ответа

Другие вопросы по тегам ubuntu vmware-esxi pfsense dansguardian

adaptr 19 окт '11 в 15:35 2011-10-19 15:35 · Answer 1 · 2011-10-19 15:35

Многое зависит от того, сколько времени вы ожидаете потратить на обслуживание / исправление этого решения; если вы хотите потратить на это как можно меньше времени, я бы предложил установить выделенный дистрибутив маршрутизатора / брандмауэра (такой как pfsense, который вы упомянули выше) в качестве компонента маршрутизации, и настроить все остальное на второй виртуальной машине.
Часть маршрутизатора требует очень мало ресурсов по сравнению с остальными, и pfsense или другие выделенные дистрибутивы маршрутизации будут работать непрерывно годами; То же самое обычно нельзя сказать о полноценных серверах, обеспечивающих прокси и, возможно, больше.

Не зная больше о требованиях клиентов или ожидаемой нагрузке, вариант 3 кажется наиболее гибким для начала.

Ах да, ESXi 5.
Однако это не очень хорошо работает на Atom - вместо этого я бы предложил Sandy Bridge i3 2100T (всего 35 Вт).
Он ударит по обратной стороне двух из этих плат Atom.

Да, и сетевые адаптеры Intel PRO для сети, на случай, если это будет упомянуто - хотя 100 Мбит будет достаточно для трафика, GbE предлагает лучшие задержки.

the-wabbit 19 окт '11 в 21:07 2011-10-19 21:07 · Answer 2 · 2011-10-19 21:07

Вам не нужна сетевая карта с 6 портами - сетевая карта с одним портом и управляемым коммутатором, поддерживающим VLAN, сделают здесь гораздо приятнее.

Вам понадобится только какое-либо решение для виртуализации, если вы планируете установить административное разделение для служб маршрутизации - то есть, если три некоммерческие организации должны будут иметь возможность администрировать свой собственный маршрутизатор, изменить правила фильтрации пакетов, настроить собственные услуги там и т. д. Вы должны иметь возможность получить IP-подсеть для размещения как минимум трех ваших хостов плюс адрес маршрутизатора интернет-провайдера - всего 4 хоста, одна сеть и один широковещательный адрес, в результате чего требуется как минимум сеть /28 - в этом случае.

Даже если вы выполняете административное разделение для служб фильтрации пакетов, вариант использования для одной точки администрирования будет представлять собой настройку QoS - если вам нужно гарантировать пропускную способность или какую-то политику добросовестного использования, когда ни одна из организаций не сможет использовать При такой большой полосе пропускания, как от недостатка двух других, вы неизбежно получите по крайней мере одно устройство маршрутизации, все три которого будут зависеть от того, какое из них нельзя администрировать отдельно.

Для выполнения этих задач необязательно нужен серверный компьютер - существует множество устройств маршрутизатора, которые более устойчивы, чем обычная компьютерная плата. Некоторые из них могут быть разделены на "виртуальные маршрутизаторы" или "виртуальные системы", такие как устройства Juniper Netscreen, или "контексты безопасности", как с устройствами Cisco ASA - в значительной степени так же, как если бы вы работали с виртуализированными установками, но без всего багажа ESXi и три запущенных экземпляра операционных систем необходимо администрировать. Я бы посчитал этот подход наиболее элегантным, но он потребовал бы, чтобы вы либо ознакомились с системой, либо наняли другого консультанта / инженера для выполнения настройки.