¿Firewall básico, conmutador y dispositivo enrutador? [cerrado]

10

Soy un desarrollador y no he tratado con el administrador del servidor o las redes en años, por lo que "oxidado" es muy generoso. Estoy configurando un nuevo clúster de servidores web (comenzando con dos servidores web de 1U y un servidor de base de datos). Como no he hecho esto en algunos años, realmente no sé qué opciones están disponibles hoy.

Me gustaría todo en un dispositivo:

  • Pequeño interruptor gbit básico
  • Cortafuegos básico pequeño
  • Pequeño enrutador básico / DHCP / puerta de enlace
  • Acceso VPN básico pequeño
  • Se adapta en un espacio de 1U

Algo simple con una interfaz web mínima que puedo configurar y luego olvidar: 2 pasos por encima de un dispositivo de enrutador doméstico, supongo.

Editar: la reacción inicial de los administradores de sistemas a menudo es "de ninguna manera" porque para ellos, los dispositivos que hacen todo esto suelen ser basura. Por favor, date cuenta para mis propósitos, actualmente está bien. Mi configuración (y presupuesto) no son lo suficientemente grandes como para justificar un equipo dedicado que hace esto realmente bien . Solo necesito algo que haga todo esto .

Recomendaciones?

Rex M
fuente
Si encuentra uno, háganos saber: ¡también he estado atento a algo similar!
Mark Henderson

Respuestas:

15

Esto es lo que recomendaría:

  1. Manténgase alejado de los enrutadores de consumo de Linksys (incluso poniendo DD-WRT, etc.) a toda costa para cualquier escenario de servidor, se vuelven inestables bajo carga y escenarios más avanzados (VPN, etc.) y tengo un pequeño montón de bloques muertos / bloqueados . Fueron hechos para uso doméstico y debes mantenerlo así.
  2. Separe el conmutador del firewall / puerta de enlace. Un conmutador gigabit de consumidor / prosumidor probablemente estaría bien para esto (es decir, un Netgear de 5 puertos). En la configuración que está solicitando, lo mejor es simple y eficiente: poner sus servidores juntos en un conmutador de Capa 2 rápido y rápido le brinda una estructura sólida y simple, y algunos firewalls o todo en uno agregarán una sobrecarga adicional a su construcción -en puertos de conmutación y / o funcionalidad de capa 3 que no necesita aquí.
  3. Para el firewall / DHCP / gateway / VPN: algunos de los todo-en-uno de Cisco son excelentes, pero pueden tener más funcionalidad y capacidad empresarial de lo que está buscando. Echa un vistazo a un Juniper SSG-5. Solían ser Netscreen NS5-GT hasta que Juniper compró Netscreen. Creo que los SSG-5 cuestan alrededor de $ 600 por pieza nueva y si lo desea, puede encontrar un Netscreen NS5-GT de eBay por menos de $ 200 ahora, y asegúrese de encontrar la versión de "Usuario ilimitado".
  4. VPN: Juniper / Netscreen hará VPN, pero necesita el software de cliente Netscreen. Alternativamente, puede configurar el enrutamiento y el acceso remoto en un servidor de Windows para una VPN PPTP simple para usar sin ningún software de cliente. Si quería ir aún más "solo haga que funcione", use Hamachi de LogMeIn, funciona muy bien.
  5. En el equilibrio de carga de red de Windows: esto funciona bien, pero en algunos casos NO funciona bien con el enrutamiento de capa 3 de Cisco (ya que depende de hacer algunos trucos de magia con el almacenamiento en caché ARP para 'compartir' una dirección IPv4 entre servidores, y los dispositivos Cisco lo ven como un fuerza maligna que debe ser detenida). Entonces, si sigue la ruta de Cisco, asegúrese de configurar el dispositivo Cisco correctamente para esto (hay un montón de artículos sobre él).

Con un conmutador Gigabit Juniper / Netscreen + de 5 puertos, debería poder adaptarse a ambos en 1U y tendrá una infraestructura simple, rápida y confiable que puede hacer algunas cosas bastante avanzadas si alguna vez lo necesita.

¡Espero que ayude!

PS / edit: - Un par de personas que recomiendan Vyatta, Linux, etc. Estas no son malas soluciones (también, la oferta de Untangle.com parece que tiene potencial), y las he usado y amo para los enrutadores de punto final de oficina. . pero no recomendé este tipo de solución porque este es un escenario de alojamiento de aplicaciones; en principio, la idea detrás del software modular que se ejecuta en hardware genérico es exprimir todas las características normalmente 'caras' que puede en el hardware más económico y con el denominador común más bajo. Creo que esto está bien para el punto final del usuario (hogar, oficina, VPN de sucursal, etc.), pero incluso para escenarios de alojamiento pequeños / básicos, creo que el lado del 'centro de datos' garantiza hardware específicamente diseñado junto con firmware específicamente diseñado.

2 revoluciones
fuente
Secundaré la pieza de "componentes separados". Si realmente está utilizando un firewall (inspección con estado, no solo listas de acceso), cualquier cosa que lo atraviese no se acercará al gigabit, probablemente ni siquiera a 100 Mbps. Lo mismo con la VPN. El hardware que puede inspeccionar y cifrar con estado a velocidad de concierto estará muy por encima de su presupuesto. Por lo tanto, mantenga los servidores locales que necesitan una conexión rápida en el conmutador y coloque el firewall / VPN en su borde más lento (por ejemplo, conexión a Internet)
Geoff
4

Ve a echar un vistazo a Vyatta. Tienen un producto bastante completo que utiliza el kernel de Linux, que ofrece cosas como VPN, enrutador, NAT, reenvío de DNS, servidor DHCP y más ... www.vyatta.com o www.vyatta.org para las versiones de la comunidad. Puede ejecutarlo en su dispositivo, su propio hardware o como VM. Su dispositivo modelo 514 tiene todas las funciones con RIPv2, OSPF y BGP, OpenVPN, IPSEC VPN, etc. por <$ 800.00.

Este enlace es bastante impresionante: http://www.vyatta.com/products/product_comparison.php

netlinxman
fuente
1
Su dispositivo de nivel de entrada es el 514, y viene con cuatro puertos 10/100 que se pueden conmutar o enrutar. Hay una ranura PCI adicional que le permite agregar su propia tarjeta Gig-E de 1/2 o 4 puertos también, por lo que realmente puede expandir este dispositivo bastante bien. De baja potencia. Pequeña huella de pie. Muy flexible.
netlinxman
3

Linksys tiene algunos enrutadores decentes que están por encima de un enrutador doméstico, pero por debajo de un enrutador completo **. Algo así como el WRV54G. Es pequeño, admite VPN IPSec, es un enrutador, DHCP, etc. La única parte que no encaja es que es de 100 Meg. Pero para sobrecargar 100 Meg, tendrás que empujar mucho tráfico.

Esto podría manejar el equilibrio de carga (que no estaba en su lista de requisitos, pero con dos servidores web supongo que es necesario, por lo que deberá encontrar algo para manejarlo).

mrdenny
fuente
1
La parte de 100mb es un poco preocupante, ya que espero poner el DB en la misma red comenzando. Tal vez pueda poner un interruptor de 1 gb y este tipo en el mismo estante de la unidad. RE equilibrio de carga, estos son servidores de Windows, así que pensé que usaría Windows NLB para comenzar. ¿Alguna otra idea?
Rex M
Podrías usar Windows NLB para manejar eso. También hay un pequeño balanceador de carga que he estado usando (a través de una máquina virtual Linux en ESX, pero probablemente podría recompilarse para Windows) llamado Pen, que funciona mucho mejor con el equipo de Cisco. Utilizo el uso de NLB para algunas cosas internas y tuve problemas con él gracias a los conmutadores Cisco que cambiaron a Pen. Si crees que estarás empujando más de 100 Megs internos, entonces busca un interruptor Gig conectado al enrutador frontal. Esto debería funcionar bien.
mrdenny
2

Veo dos formas:

  1. Por el enrutador Cisco. Puede hacer todo lo anterior y lo hace muy bien, pero cuesta $$
  2. Hazlo tu mismo. Compre un servidor de 1U, coloque NIC y configure BSD / Linux. Puede hacer todo lo anterior + mucho más (es decir, carga de carga)

PD. ¿Realmente necesitas todo en uno? ¿Puede estar separando el enrutador y el interruptor es aceptable?

PPS agregado a favoritos en caso de que encuentre hardware barato y genial.

SaveTheRbtz
fuente
2

Sugeriría un dispositivo Sonicwall en la categoría SMB . He administrado algunos de estos dispositivos, y no me decepcionaron UNA VEZ. La interfaz es un poco mejor que la típica Linksys.

No seré el primero en sugerir usar esto solo como dispositivo de puerta de enlace / VPN / firewall. Por supuesto, todos los conmutadores pesados ​​deben ser realizados por los dispositivos de 24 puertos.

p.campbell
fuente
2

Para agregar la lista, mi preferencia personal sería la línea Juniper SRX.

Pero tan pronto como necesite más puertos use un conmutador real, no siga agregando módulos.

LapTop006
fuente
2

He tenido mucha suerte con mi NetGear ProSafe FVS338 . NetGear también tiene un interruptor Gb: FVS336G . US $ 200 y $ 300 respectivamente.

Prácticamente hace lo que necesita que haga y no arruina el banco.

ps Ejecuto Windows NLB detrás de esto. No es gran cosa, no tuve que hacer nada.

Christopher_G_Lewis
fuente
Entonces, ¿el FVS336G es, para la mayoría de los propósitos, la versión gigabit de su muy recomendado 338? $ 300 no está mal.
Rex M
Lo parece. Y de nuevo, me gusta mucho este producto. Es inteligente acerca de las reconexiones: puedo encender y apagar mi cable módem y no tener que tocar este cuadro. De hecho, creo que la única vez que he tenido que encender y apagar es mi última actualización de firmware. Lo mejor de este cuadro es que no tienes que pensarlo.
Christopher_G_Lewis
1

OpenBSD es especialmente bueno para configurar un firewall ya que es "seguro por defecto", lo que significa que no hay agujeros si no los crea.

Además, la configuración en sí es muy fácil, incluso cuando profundiza en NAT, IPsec VPN, ...

Por supuesto, tendrá que conocer las redes con cualquier cuadro (qué significa NAT, conceptos básicos de cómo funciona IPsec, qué son puertos, máscaras de red, ...).

slovon
fuente
0

Si realmente desea una sola caja, haciendo todo eso, puede optar por un Cisco 3750 (o un conmutador comparable), puede hacer un firewall básico (ciertamente MUY básico) (listas de acceso, nada realmente elegante) y enrutar paquetes. No sé en qué medida proporcionan una configuración VPN "simple", pero debería poder configurar los puntos finales IPSEC según sea necesario.

Pero, para ser honesto, probablemente sea mejor hacer esto como cajas separadas.

Vatine
fuente