Tường lửa cơ bản, thiết bị chuyển mạch, và thiết bị định tuyến? [đóng cửa]

Tôi là một nhà phát triển và đã không giao dịch với quản trị viên máy chủ hoặc kết nối mạng trong nhiều năm, vì vậy "gỉ" rất hào phóng. Tôi đang thiết lập một cụm máy chủ web mới (bắt đầu với hai máy chủ web 1U và một máy chủ DB). Vì tôi đã không làm điều này trong một vài năm, tôi thực sự không biết những tùy chọn nào có sẵn ngày hôm nay.

Tôi muốn tất cả trong một thiết bị:

• Công tắc gbit nhỏ, cơ bản
• Tường lửa nhỏ, cơ bản
• Bộ định tuyến / DHCP / gateway nhỏ, cơ bản
• Truy cập VPN cơ bản, nhỏ
• Phù hợp trong không gian 1U

Một cái gì đó đơn giản với một giao diện web tối thiểu tôi có thể thiết lập và sau đó quên đi - 2 bước trên một thiết bị bộ định tuyến gia đình, tôi cho rằng.

Chỉnh sửa: phản ứng ban đầu từ sysadmin thường là "không có cách nào" bởi vì đối với họ, các thiết bị làm tất cả điều này thường là tào lao. Hãy nhận ra cho mục đích của tôi, điều đó hiện đang ổn. Thiết lập của tôi (và ngân sách) chỉ không đủ lớn để biện minh cho thiết bị chuyên dụng thực hiện công cụ này thực sự tốt . Tôi chỉ cần một cái gì đó làm công cụ này cả .

Khuyến nghị?

Đây là những gì tôi muốn giới thiệu:

1. Tránh xa các bộ định tuyến của người tiêu dùng Linksys (thậm chí đặt DD-WRT, v.v.) bằng mọi giá cho bất kỳ kịch bản máy chủ nào, chúng bị rung khi tải và các kịch bản nâng cao hơn (VPN, v.v.) và tôi có một đống lỗi chết / cục gạch . Chúng được làm để sử dụng tại nhà và bạn nên giữ nó theo cách đó.
2. Tách công tắc khỏi tường lửa / cổng. Một chuyển đổi gigabit của người tiêu dùng / số lượng có thể sẽ tốt cho việc này (ví dụ: Netgear 5 cổng). Trong thiết lập mà bạn yêu cầu, đơn giản và hiệu quả sẽ tốt hơn - đặt các máy chủ của bạn trên một công tắc Lớp 2 đơn giản nhanh chóng mang lại cho bạn một xương sống vững chắc và đơn giản, và một số tường lửa hoặc tất cả sẽ bổ sung thêm chi phí cho thiết bị được xây dựng của chúng -Trong tổng đài và / hoặc chức năng Lớp 3 mà bạn không cần ở đây.
3. Đối với tường lửa / DHCP / gateway / VPN - Một số thiết bị đa năng của Cisco rất tuyệt, nhưng có thể có nhiều chức năng và doanh nghiệp hơn bạn đang tìm kiếm. Kiểm tra một Juniper SSG-5. Chúng từng là Netscreen NS5-GT cho đến khi Juniper mua Netscreen. Tôi nghĩ rằng SSG-5 có giá khoảng 600 đô la một mảnh mới và nếu bạn muốn, bạn có thể tìm thấy eBay Netscreen NS5-GT với giá dưới 200 đô la và đảm bảo bạn tìm thấy phiên bản "Người dùng không giới hạn".
4. VPN - Juniper / Netscreen sẽ làm VPN, nhưng bạn cần phần mềm máy khách Netscreen. Ngoài ra, bạn chỉ có thể thiết lập Định tuyến và Truy cập từ xa trên máy chủ Windows để sử dụng VPN PPTP đơn giản mà không cần bất kỳ phần mềm máy khách nào. Nếu bạn muốn đi nhiều hơn "chỉ làm cho nó hoạt động", hãy sử dụng Hamachi từ LogMeIn, hoạt động rất tốt.
5. Trên Cân bằng tải mạng của Windows - Điều này hoạt động tốt nhưng trong một số trường hợp KHÔNG chơi tốt với định tuyến lớp 3 của Cisco (vì nó dựa vào một số thủ thuật ma thuật với bộ nhớ đệm ARP để 'chia sẻ' địa chỉ IPv4 trên các máy chủ và các thiết bị của Cisco xem đây là một tà ác mà phải dừng lại). Vì vậy, nếu bạn đi theo lộ trình của Cisco, hãy đảm bảo rằng bạn định cấu hình chính xác thiết bị của Cisco cho việc này (có rất nhiều bài viết trên đó).

Với bộ chuyển đổi gigabit Juniper / Netscreen + 5 cổng, bạn sẽ có thể phù hợp với cả trong 1U và bạn sẽ có một cơ sở hạ tầng đơn giản, nhanh chóng và đáng tin cậy có thể thực hiện một số công cụ khá tiên tiến nếu bạn cần.

Mong rằng sẽ giúp!

PS / chỉnh sửa: - Một vài người giới thiệu Vyatta, Linux, v.v .: Đó không phải là giải pháp tồi, (cũng vậy, việc cung cấp Untangle.com có ​​vẻ như có tiềm năng), và tôi đã sử dụng chúng và yêu thích chúng cho các bộ định tuyến điểm cuối văn phòng .. . nhưng tôi không khuyến nghị loại giải pháp này vì đây là một kịch bản lưu trữ ứng dụng; về nguyên tắc, ý tưởng đằng sau phần mềm mô-đun chạy trên phần cứng chung là nén tất cả các tính năng 'đắt tiền' thông thường mà bạn có thể vào phần cứng mẫu số chung thấp nhất và hiệu quả nhất. Tôi nghĩ rằng điều này tốt cho điểm cuối của người dùng (VPN tại nhà, văn phòng, văn phòng chi nhánh, v.v.), nhưng ngay cả đối với các tình huống lưu trữ nhỏ / cơ bản, tôi nghĩ rằng bên 'trung tâm dữ liệu' đảm bảo phần cứng được thiết kế đặc biệt kết hợp với phần sụn được thiết kế riêng.

Đi xem tại Vyatta. Họ có một sản phẩm khá toàn diện sử dụng Linux Kernel, cung cấp những thứ như VPN, Bộ định tuyến, NAT, Chuyển tiếp DNS, Máy chủ DHCP và hơn thế nữa ... www.vyatta.com hoặc www.vyatta.org cho các phiên bản cộng đồng. Bạn có thể chạy nó trên thiết bị của họ, phần cứng của riêng bạn hoặc dưới dạng VM. Thiết bị model 514 của họ có đầy đủ tính năng với RIPv2, OSPF và BGP, OpenVPN, IPSEC VPN, v.v. với giá <$ 800,00.

Liên kết này khá ấn tượng: http://www.vyatta.com/products/product_comparison.php

Linksys có một số bộ định tuyến tốt nằm trên bộ định tuyến gia đình, nhưng bên dưới bộ định tuyến ** đầy đủ. Một cái gì đó giống như WRV54G. Nó nhỏ, hỗ trợ IPSec VPN, là bộ định tuyến, DHCP, v.v. Chỉ có một phần nó không phù hợp là 100 Meg. Nhưng để quá tải 100 Meg, bạn sẽ phải đẩy rất nhiều lưu lượng.

Điều này sẽ xử lý việc cân bằng tải (không có trong danh sách yêu cầu của bạn, nhưng với hai máy chủ web tôi cho rằng điều đó là cần thiết, vì vậy bạn sẽ cần tìm một cái gì đó để xử lý điều đó).

Tôi thấy hai cách:

1. Bằng bộ định tuyến của Cisco. Nó có thể làm mọi thứ ở trên và làm điều này rất tốt nhưng chi phí $$
2. Tự làm đi. Mua máy chủ 1U, đặt các NIC và thiết lập BSD / Linux. Nó có thể làm mọi thứ ở trên + nhiều hơn nữa (tức là loadbalansing)

Tái bút Bạn có thực sự cần tất cả trong một không? Có thể tách bộ định tuyến và chuyển đổi được chấp nhận?

PPS. được thêm vào mục yêu thích trong trường hợp bạn sẽ tìm thấy phần cứng tuyệt vời.

Tôi muốn đề xuất một thiết bị Sonicwall trong danh mục SMB . Tôi đã quản lý một vài trong số các thiết bị này và chúng không làm tôi thất vọng. Giao diện tốt hơn một chút so với Linksys thông thường.

Tôi sẽ không phải là người đầu tiên đề xuất chỉ sử dụng như thiết bị cổng / VPN / tường lửa. Tất nhiên tất cả các chuyển mạch nặng cần được thực hiện bởi các thiết bị 24 cổng.

Để thêm danh sách, sở thích cá nhân của tôi sẽ là dòng SRX Juniper.

Nhưng ngay khi bạn cần nhiều cổng hơn, hãy sử dụng một công tắc thực sự, đừng tiếp tục thêm các mô-đun.

Tôi đã có rất nhiều may mắn với NetGear ProSafe FVS338 của mình . NetGear cũng có công tắc Gb - FVS336G . US $ 200 và $ 300 tương ứng.

Khá nhiều thứ bạn cần nó để làm, và không phá vỡ ngân hàng.

ps Tôi chạy Windows NLB đằng sau này. Không có vấn đề gì lớn cả - tôi không phải làm gì cả.

OpenBSD đặc biệt tốt khi thiết lập tường lửa vì nó "an toàn theo mặc định", có nghĩa là không có lỗ hổng nếu bạn không tạo chúng.

Ngoài ra, bản thân cấu hình rất dễ dàng, ngay cả khi bạn tìm hiểu sâu hơn về NAT, IPsec VPN, ...

Tất nhiên bạn sẽ phải biết kết nối mạng với bất kỳ hộp nào (ý nghĩa của NAT, những điều cơ bản về cách thức hoạt động của IPsec, cổng, netmasks, ...) là gì.

Bạn có thể quan tâm đến pfSense .

Nếu bạn thực sự muốn một hộp duy nhất, thực hiện tất cả những điều đó, bạn có thể sử dụng Cisco 3750 (hoặc công tắc tương đương), nó có thể thực hiện tường lửa cơ bản (thừa nhận RẤT cơ bản) (danh sách truy cập, không có gì thực sự ưa thích) và định tuyến các gói. Không biết họ cung cấp cấu hình VPN "đơn giản" đến mức nào, nhưng bạn sẽ có thể định cấu hình điểm cuối IPSEC khi cần.

Nhưng, thành thật mà nói, có lẽ bạn nên làm những việc này như những hộp riêng biệt.