Firewall básico, switch e dispositivo roteador? [fechadas]

10

Sou desenvolvedor e não lida com administração de servidores ou rede há anos, então "enferrujado" é muito generoso. Estou configurando um novo cluster de servidores Web (começando com dois servidores Web 1U e um servidor DB). Como não faço isso há alguns anos, não sei realmente quais opções estão disponíveis hoje.

Eu gostaria de tudo em um dispositivo:

  • Chave pequena e básica de gbit
  • Firewall pequeno e básico
  • Roteador / DHCP / gateway pequeno e básico
  • Acesso VPN pequeno e básico
  • Cabe em um espaço de 1U

Algo simples com uma interface web mínima que posso configurar e depois esquecer - 2 etapas acima de um dispositivo roteador doméstico, suponho.

Edit: a reação inicial dos administradores de sistemas geralmente não é "de jeito nenhum" porque, para eles, os dispositivos que fazem tudo isso geralmente são uma porcaria. Perceba, para os meus propósitos, que atualmente está OK. Minha configuração (e orçamento) não são grandes o suficiente para justificar equipamentos dedicados que fazem essas coisas muito bem . Eu só preciso de algo que faz essas coisas em tudo .

Recomendações?

networking vpn firewall hosting router Rex M
fonte
Se você encontrar um, informe-nos - também estou atento a algo semelhante!
Mark Henderson

Respostas:

15

Aqui está o que eu recomendaria:

  1. Fique longe dos roteadores de consumo da Linksys (mesmo colocando DD-WRT nele, etc) a todo custo em qualquer cenário de servidor, eles ficam esquisitos sob carga e em cenários mais avançados (VPN, etc.) e eu tenho um pouco de pilha morta / em tijolos . Eles foram feitos para uso doméstico e você deve mantê-lo assim.
  2. Separe o switch do firewall / gateway. Um switch gigabit de consumidor / prosumer provavelmente seria bom para isso (ou seja, um Netgear de 5 portas). Na configuração que você está solicitando, simples e eficiente é melhor - montar seus servidores em um switch rápido simples da Camada 2 fornece um backbone sólido e simples, e alguns firewalls ou multifuncionais adicionam uma sobrecarga adicional aos seus em switchports e / ou funcionalidade da camada 3 que você não precisa aqui.
  3. Para o firewall / DHCP / gateway / VPN - algumas das multifuncionais da Cisco são ótimas, mas podem ter mais funcionalidade e capacidade de negócios do que você procura. Confira um Juniper SSG-5. Eles costumavam ser o Netscreen NS5-GT até a Juniper comprar o Netscreen. Eu acho que os SSG-5 custam cerca de US $ 600 por peça e, se você quiser, poderá encontrar um eBay Netscreen NS5-GT por menos de US $ 200 agora e encontrar a versão "Usuário ilimitado".
  4. VPN - O Juniper / Netscreen fará VPN, mas você precisa do software cliente Netscreen. Como alternativa, você pode configurar o Roteamento e acesso remoto em um servidor Windows para que uma VPN PPTP simples seja usada sem nenhum software cliente. Se você quiser ir ainda mais "apenas fazer funcionar", use o Hamachi do LogMeIn, funciona muito bem.
  5. No balanceamento de carga de rede do Windows - isso funciona bem, mas em alguns casos NÃO funciona bem com o roteamento da camada 3 da Cisco (pois depende de fazer alguns truques de mágica com o cache do ARP para "compartilhar" um endereço IPv4 entre os servidores, e os dispositivos Cisco veem isso como um força do mal que deve ser parada). Portanto, se você seguir a rota da Cisco, certifique-se de configurar o dispositivo Cisco corretamente para isso (há vários artigos).

Com um comutador Juniper / Netscreen + 5 portas gigabit, você poderá caber em 1U e terá uma infraestrutura simples, rápida e confiável que pode fazer coisas bastante avançadas, se você precisar.

Espero que ajude!

PS / edit: - Algumas pessoas recomendando Vyatta, Linux, etc: Essas não são soluções ruins (também, a oferta do Untangle.com parece ter potencial), e eu as usei e as amei para roteadores de pontos de extremidade de escritório. mas não recomendei esse tipo de solução porque esse é um cenário de hospedagem de aplicativos; em princípio, a idéia por trás do software modular em execução em hardware genérico é compactar todos os recursos normalmente "caros" que você pode usar no hardware de menor denominador comum mais econômico e com menor custo. Acho que isso é bom para o ponto de extremidade do usuário (casa, escritório, VPN da filial etc.), mas mesmo para cenários de hospedagem pequenos / básicos, acho que o lado do 'datacenter' garante hardware especificamente projetado, juntamente com firmware especificamente projetado.

routeNpingme
fonte
Vou colocar a segunda parte dos "componentes separados". Se você estiver realmente usando um firewall (inspeção de estado, não apenas listas de acesso), qualquer coisa que passar por ele não chegará perto de gigabit, provavelmente nem 100 Mbps. O mesmo acontece com a VPN. O hardware que pode inspecionar e criptografar com estado em velocidade de gig estará além do seu orçamento. Portanto, manter os servidores locais que necessitam de conexão rápida no interruptor, e colocar o firewall / VPN em sua borda mais lento (por exemplo, ligação à Internet)
Geoff
4

Dê uma olhada em Vyatta. Eles têm um produto bastante abrangente que usa o Linux Kernel, oferecendo coisas como VPN, roteador, NAT, encaminhamento de DNS, servidor Mais ... DHCP e Mais ... www.vyatta.com ou www.vyatta.org para as versões da comunidade. Você pode executá-lo em seu dispositivo, seu próprio hardware ou como VM. O dispositivo modelo 514 possui recursos completos com RIPv2, OSPF e BGP, OpenVPN, IPSEC VPN etc. por <$ 800,00.

Este link é bastante impressionante: http://www.vyatta.com/products/product_comparison.php

netlinxman
fonte
1
Seu dispositivo de nível básico é o 514 e vem com quatro portas 10/100 que podem ser comutadas ou roteadas. Há um slot PCI adicional que permite que você adicione sua própria placa Gig-E de 1/2 ou 4 portas, para que você possa realmente expandir esse dispositivo muito bem. Baixa potência. Pequena pegada. Muito flexível.
Netlinxman 18/06/09
3

A Linksys possui alguns roteadores decentes que estão acima de um roteador doméstico, mas abaixo de um roteador ** completo. Algo como o WRV54G. É pequeno, suporta IPSec VPN, é um roteador, DHCP, etc. A única parte que não se encaixa é que são 100 Meg. Mas para sobrecarregar 100 Meg, você terá que empurrar muito tráfego.

Isso não manipulará o balanceamento de carga (que não estava na sua lista de requisitos, mas com dois servidores Web, presumo que seja necessário, então você precisará encontrar algo para lidar com isso).

mrdenny
fonte
1
A parte 100mb é um pouco preocupante, pois espero colocar o DB na mesma rede começando. Talvez eu possa colocar um switch de 1GB e esse cara na mesma prateleira da unidade. Balanceamento de carga RE, esses são servidores Windows, então eu estava pensando em usar o Windows NLB para iniciar. Mais pensamentos?
Rex M
Você pode usar o Windows NLB para lidar com isso. Há também um pequeno balanceador de carga que tenho usado (por meio de uma VM Linux sob ESX, mas provavelmente poderia ser recompilado para Windows) chamado Pen, que funciona muito melhor com o equipamento Cisco. Eu uso o NLB para algumas coisas internas e tive problemas com isso graças aos switches da Cisco, que foram substituídos por Pen. Se você acha que vai pressionar mais de 100 megs internos, opte por um switch Gig conectado ao roteador front-end. Isso deve funcionar bem.
mrdenny
2

Eu vejo duas maneiras:

  1. Pelo roteador Cisco. Ele pode fazer tudo acima e faz isso muito bem, mas custa $$
  2. Faça Você Mesmo. Compre um servidor 1U, insira NICs e configure o BSD / Linux. Pode fazer tudo acima + muito mais (por exemplo, balanceamento de carga)

PS. Você realmente precisa de um multifuncional? Pode estar separando roteador e switch é aceitável?

PPS. adicionado aos favoritos caso você encontre hardware barato e bacana.

SaveTheRbtz
fonte
2

Eu sugeriria um dispositivo Sonicwall na categoria SMB . Eu gerenciei alguns desses dispositivos e eles nunca me decepcionaram. A interface é um pouco melhor que a típica Linksys.

Não serei o primeiro a sugerir o uso apenas como dispositivo de gateway / VPN / firewall. É claro que toda a troca pesada precisa ser feita pelos dispositivos de 24 portas.

p.campbell
fonte
2

Para adicionar a lista, minha preferência pessoal seria a linha Juniper SRX.

Mas assim que você precisar de mais portas, use um switch real, não continue adicionando módulos.

LapTop006
fonte
2

Tive muita sorte com meu NetGear ProSafe FVS338 . O NetGear também possui um switch Gb - FVS336G . US $ 200 e US $ 300 respectivamente.

Praticamente faz o que você precisa e não quebra o banco.

ps Eu corro o Windows NLB por trás disso. Nada demais - eu não precisava fazer nada.

Christopher_G_Lewis
fonte
Portanto, o FVS336G é, para a maioria dos propósitos, a versão de gigabit do seu 338 recomendado? US $ 300 não é ruim.
Rex M
Parece que sim. E, novamente, eu realmente gosto deste produto. É inteligente quanto às reconexões - posso ligar e desligar meu modem a cabo e não precisar tocar nessa caixa. Na verdade, acho que a única vez que tive que ligar e desligar foi a minha última atualização de firmware. O melhor desta caixa é que você não precisa pensar nela.
21420 Christopher
1

O OpenBSD é especialmente bom para configurar um firewall, pois é "seguro por padrão", o que significa que não há falhas se você não as criar.

Além disso, a configuração em si é muito fácil, mesmo quando você se aprofunda em NAT, VPN IPsec, ...

É claro que você precisará conhecer a rede com qualquer caixa (o que significa NAT, noções básicas sobre o funcionamento do IPsec, o que são portas, máscaras de rede, ...).

Slovon
fonte
1

Você pode estar interessado no pfSense .

Joe Internet
fonte
0

Se você realmente quer uma única caixa, fazendo tudo isso, pode optar por um Cisco 3750 (ou switch comparável), ele pode executar firewalls básicos (reconhecidamente MUITO básicos) (listas de acesso, nada realmente sofisticado) e pacotes de rota. Não saiba até que ponto eles fornecem uma configuração de VPN "simples", mas você deve poder configurar os pontos de extremidade IPSEC conforme necessário.

Mas, para ser sincero, provavelmente é melhor fazer isso como caixas separadas.

Vatine
fonte