¿Firewall básico, conmutador y dispositivo enrutador? [cerrado]

Soy un desarrollador y no he tratado con el administrador del servidor o las redes en años, por lo que "oxidado" es muy generoso. Estoy configurando un nuevo clúster de servidores web (comenzando con dos servidores web de 1U y un servidor de base de datos). Como no he hecho esto en algunos años, realmente no sé qué opciones están disponibles hoy.

Me gustaría todo en un dispositivo:

• Pequeño interruptor gbit básico
• Cortafuegos básico pequeño
• Pequeño enrutador básico / DHCP / puerta de enlace
• Acceso VPN básico pequeño
• Se adapta en un espacio de 1U

Algo simple con una interfaz web mínima que puedo configurar y luego olvidar: 2 pasos por encima de un dispositivo de enrutador doméstico, supongo.

Editar: la reacción inicial de los administradores de sistemas a menudo es "de ninguna manera" porque para ellos, los dispositivos que hacen todo esto suelen ser basura. Por favor, date cuenta para mis propósitos, actualmente está bien. Mi configuración (y presupuesto) no son lo suficientemente grandes como para justificar un equipo dedicado que hace esto realmente bien . Solo necesito algo que haga todo esto .

Recomendaciones?

Esto es lo que recomendaría:

1. Manténgase alejado de los enrutadores de consumo de Linksys (incluso poniendo DD-WRT, etc.) a toda costa para cualquier escenario de servidor, se vuelven inestables bajo carga y escenarios más avanzados (VPN, etc.) y tengo un pequeño montón de bloques muertos / bloqueados . Fueron hechos para uso doméstico y debes mantenerlo así.
2. Separe el conmutador del firewall / puerta de enlace. Un conmutador gigabit de consumidor / prosumidor probablemente estaría bien para esto (es decir, un Netgear de 5 puertos). En la configuración que está solicitando, lo mejor es simple y eficiente: poner sus servidores juntos en un conmutador de Capa 2 rápido y rápido le brinda una estructura sólida y simple, y algunos firewalls o todo en uno agregarán una sobrecarga adicional a su construcción -en puertos de conmutación y / o funcionalidad de capa 3 que no necesita aquí.
3. Para el firewall / DHCP / gateway / VPN: algunos de los todo-en-uno de Cisco son excelentes, pero pueden tener más funcionalidad y capacidad empresarial de lo que está buscando. Echa un vistazo a un Juniper SSG-5. Solían ser Netscreen NS5-GT hasta que Juniper compró Netscreen. Creo que los SSG-5 cuestan alrededor de $ 600 por pieza nueva y si lo desea, puede encontrar un Netscreen NS5-GT de eBay por menos de $ 200 ahora, y asegúrese de encontrar la versión de "Usuario ilimitado".
4. VPN: Juniper / Netscreen hará VPN, pero necesita el software de cliente Netscreen. Alternativamente, puede configurar el enrutamiento y el acceso remoto en un servidor de Windows para una VPN PPTP simple para usar sin ningún software de cliente. Si quería ir aún más "solo haga que funcione", use Hamachi de LogMeIn, funciona muy bien.
5. En el equilibrio de carga de red de Windows: esto funciona bien, pero en algunos casos NO funciona bien con el enrutamiento de capa 3 de Cisco (ya que depende de hacer algunos trucos de magia con el almacenamiento en caché ARP para 'compartir' una dirección IPv4 entre servidores, y los dispositivos Cisco lo ven como un fuerza maligna que debe ser detenida). Entonces, si sigue la ruta de Cisco, asegúrese de configurar el dispositivo Cisco correctamente para esto (hay un montón de artículos sobre él).

Con un conmutador Gigabit Juniper / Netscreen + de 5 puertos, debería poder adaptarse a ambos en 1U y tendrá una infraestructura simple, rápida y confiable que puede hacer algunas cosas bastante avanzadas si alguna vez lo necesita.

¡Espero que ayude!

PS / edit: - Un par de personas que recomiendan Vyatta, Linux, etc. Estas no son malas soluciones (también, la oferta de Untangle.com parece que tiene potencial), y las he usado y amo para los enrutadores de punto final de oficina. . pero no recomendé este tipo de solución porque este es un escenario de alojamiento de aplicaciones; en principio, la idea detrás del software modular que se ejecuta en hardware genérico es exprimir todas las características normalmente 'caras' que puede en el hardware más económico y con el denominador común más bajo. Creo que esto está bien para el punto final del usuario (hogar, oficina, VPN de sucursal, etc.), pero incluso para escenarios de alojamiento pequeños / básicos, creo que el lado del 'centro de datos' garantiza hardware específicamente diseñado junto con firmware específicamente diseñado.

Ve a echar un vistazo a Vyatta. Tienen un producto bastante completo que utiliza el kernel de Linux, que ofrece cosas como VPN, enrutador, NAT, reenvío de DNS, servidor DHCP y más ... www.vyatta.com o www.vyatta.org para las versiones de la comunidad. Puede ejecutarlo en su dispositivo, su propio hardware o como VM. Su dispositivo modelo 514 tiene todas las funciones con RIPv2, OSPF y BGP, OpenVPN, IPSEC VPN, etc. por <$ 800.00.

Este enlace es bastante impresionante: http://www.vyatta.com/products/product_comparison.php

Linksys tiene algunos enrutadores decentes que están por encima de un enrutador doméstico, pero por debajo de un enrutador completo **. Algo así como el WRV54G. Es pequeño, admite VPN IPSec, es un enrutador, DHCP, etc. La única parte que no encaja es que es de 100 Meg. Pero para sobrecargar 100 Meg, tendrás que empujar mucho tráfico.

Esto podría manejar el equilibrio de carga (que no estaba en su lista de requisitos, pero con dos servidores web supongo que es necesario, por lo que deberá encontrar algo para manejarlo).

Veo dos formas:

1. Por el enrutador Cisco. Puede hacer todo lo anterior y lo hace muy bien, pero cuesta $$
2. Hazlo tu mismo. Compre un servidor de 1U, coloque NIC y configure BSD / Linux. Puede hacer todo lo anterior + mucho más (es decir, carga de carga)

PD. ¿Realmente necesitas todo en uno? ¿Puede estar separando el enrutador y el interruptor es aceptable?

PPS agregado a favoritos en caso de que encuentre hardware barato y genial.

Sugeriría un dispositivo Sonicwall en la categoría SMB . He administrado algunos de estos dispositivos, y no me decepcionaron UNA VEZ. La interfaz es un poco mejor que la típica Linksys.

No seré el primero en sugerir usar esto solo como dispositivo de puerta de enlace / VPN / firewall. Por supuesto, todos los conmutadores pesados ​​deben ser realizados por los dispositivos de 24 puertos.

Para agregar la lista, mi preferencia personal sería la línea Juniper SRX.

Pero tan pronto como necesite más puertos use un conmutador real, no siga agregando módulos.

He tenido mucha suerte con mi NetGear ProSafe FVS338 . NetGear también tiene un interruptor Gb: FVS336G . US $ 200 y $ 300 respectivamente.

Prácticamente hace lo que necesita que haga y no arruina el banco.

ps Ejecuto Windows NLB detrás de esto. No es gran cosa, no tuve que hacer nada.

OpenBSD es especialmente bueno para configurar un firewall ya que es "seguro por defecto", lo que significa que no hay agujeros si no los crea.

Además, la configuración en sí es muy fácil, incluso cuando profundiza en NAT, IPsec VPN, ...

Por supuesto, tendrá que conocer las redes con cualquier cuadro (qué significa NAT, conceptos básicos de cómo funciona IPsec, qué son puertos, máscaras de red, ...).

Quizás te interese pfSense .

Si realmente desea una sola caja, haciendo todo eso, puede optar por un Cisco 3750 (o un conmutador comparable), puede hacer un firewall básico (ciertamente MUY básico) (listas de acceso, nada realmente elegante) y enrutar paquetes. No sé en qué medida proporcionan una configuración VPN "simple", pero debería poder configurar los puntos finales IPSEC según sea necesario.

Pero, para ser honesto, probablemente sea mejor hacer esto como cajas separadas.