ไฟร์วอลล์สวิตช์และอุปกรณ์เราเตอร์ขั้นพื้นฐาน [ปิด]

10

ฉันเป็นนักพัฒนาซอฟต์แวร์และไม่ได้จัดการกับผู้ดูแลระบบเซิร์ฟเวอร์หรือระบบเครือข่ายในปีที่ผ่านมาดังนั้น "สนิม" เป็นคนใจกว้างมาก ฉันกำลังตั้งค่าคลัสเตอร์เว็บเซิร์ฟเวอร์ใหม่ (เริ่มต้นด้วย 1U เว็บเซิร์ฟเวอร์สองเครื่องและเซิร์ฟเวอร์ DB หนึ่งตัว) เนื่องจากฉันไม่ได้ทำสิ่งนี้ในสองสามปีที่ผ่านมาฉันไม่รู้จริงๆว่ามีตัวเลือกอะไรบ้างในวันนี้

ฉันต้องการทั้งหมดในอุปกรณ์เดียว:

  • สวิตช์ gbit พื้นฐานที่เล็ก
  • ไฟร์วอลล์ขนาดเล็กขั้นพื้นฐาน
  • เราเตอร์ / DHCP / เกตเวย์พื้นฐานขนาดเล็ก
  • การเข้าถึง VPN ขั้นพื้นฐานขนาดเล็ก
  • เหมาะกับพื้นที่ 1U

บางสิ่งที่เรียบง่ายด้วยเว็บอินเตอร์เฟสขนาดเล็กที่ฉันสามารถตั้งค่าได้แล้วลืมไป - 2 ขั้นตอนเหนืออุปกรณ์เราเตอร์ที่บ้าน

แก้ไข: ปฏิกิริยาเริ่มต้นจาก sysadmins มักจะ "ไม่มีทาง" เพราะสำหรับพวกเขาอุปกรณ์ที่ทำสิ่งเหล่านี้ทั้งหมดมักจะอึ โปรดตระหนักถึงวัตถุประสงค์ของฉันตอนนี้ก็ใช้ได้ การตั้งค่าของฉัน (และงบประมาณ) เป็นเพียงไม่ใหญ่พอที่จะปรับเฉพาะอุปกรณ์ที่ไม่สิ่งนี้ดีจริงๆ ฉันเพียงแค่ต้องการสิ่งที่ไม่สิ่งนี้ที่ทุกคน

ข้อเสนอแนะ?

networking  vpn  firewall  hosting  router 
Rex M
แหล่งที่มา
หากคุณพบโปรดแจ้งให้เราทราบ - ฉันได้จับตามองสิ่งที่คล้ายกันเช่นกัน!
Mark Henderson

คำตอบ:

15

นี่คือสิ่งที่ฉันอยากจะแนะนำ:

  1. อยู่ห่างจากเราเตอร์ผู้บริโภคของ Linksys (แม้แต่ใส่ DD-WRT ลงไปในนั้น) ในทุกกรณีสำหรับเซิร์ฟเวอร์ใด ๆ พวกเขาจะมีข้อผิดพลาดภายใต้ภาระและสถานการณ์ขั้นสูงเพิ่มเติม (VPN ฯลฯ ) และฉันมีกองเล็ก ๆ . พวกเขาถูกสร้างขึ้นมาเพื่อใช้ในบ้านและคุณควรจะทำอย่างนั้น
  2. แยกสวิตช์ออกจากไฟร์วอลล์ / เกตเวย์ สวิตช์กิกะบิตของผู้บริโภค / prosumer อาจใช้ได้กับสิ่งนี้ (เช่น Netgear 5-port) ในการตั้งค่าที่คุณต้องการความเรียบง่ายและมีประสิทธิภาพจะดีกว่า - การรวมเซิร์ฟเวอร์ของคุณเข้ากับสวิตช์เลเยอร์ 2 ที่รวดเร็วช่วยให้คุณมีกระดูกสันหลังที่เรียบง่ายและไฟร์วอลล์และออลอินวันทั้งหมดจะเพิ่มค่าใช้จ่ายเพิ่มเติม ในฟังก์ชั่น switchports และ / หรือเลเยอร์ 3 ที่คุณไม่ต้องการที่นี่
  3. สำหรับไฟร์วอลล์ / DHCP / เกตเวย์ / VPN - Cisco all-in-one บางอย่างยอดเยี่ยม แต่อาจมีฟังก์ชันการทำงานและความกล้าหาญมากกว่าที่คุณกำลังมองหา ตรวจสอบ Juniper SSG-5 สิ่งเหล่านี้เคยเป็น Netscreen NS5-GT จนกระทั่งจูนิเปอร์ซื้อ Netscreen ฉันคิดว่า SSG-5 มีราคาประมาณ $ 600 ต่อชิ้นและถ้าคุณต้องการคุณสามารถหา eBay Netscreen NS5-GT ราคาต่ำกว่า $ 200 ในตอนนี้และให้แน่ใจว่าคุณพบรุ่น "ผู้ใช้ไม่ จำกัด "
  4. VPN - Juniper / Netscreen จะทำ VPN แต่คุณต้องใช้ซอฟต์แวร์ไคลเอ็นต์ Netscreen หรือคุณสามารถตั้งค่า Routing and Remote Access บนเซิร์ฟเวอร์ Windows เพื่อให้ PPTP VPN ใช้งานง่ายโดยไม่ต้องใช้ซอฟต์แวร์ไคลเอ็นต์ หากคุณต้องการที่จะไปให้มากขึ้น "เพียงแค่ใช้งานได้" ให้ใช้ Hamachi จาก LogMeIn ได้ผลดี
  5. ใน Windows Network Load Balancing - ใช้งานได้ แต่ในบางกรณีไม่สามารถเล่นได้ดีกับการกำหนดเส้นทาง Cisco Layer 3 (เนื่องจากต้องอาศัยการใช้เทคนิคมายากลด้วย ARP caching เพื่อ 'แชร์' ที่อยู่ IPv4 ในเซิร์ฟเวอร์และอุปกรณ์ Cisco มองว่านี่เป็น กำลังชั่วร้ายที่ต้องหยุด) ดังนั้นหากคุณไปเส้นทาง Cisco ตรวจสอบให้แน่ใจว่าคุณกำหนดค่าอุปกรณ์ Cisco ให้ถูกต้องสำหรับสิ่งนี้ (มีบทความมากมายอยู่ในนั้น)

ด้วยสวิตช์กิกะบิต Juniper / Netscreen + 5 พอร์ตคุณควรจะสามารถใส่ได้ทั้งใน 1U และคุณจะมีโครงสร้างพื้นฐานที่ง่ายรวดเร็วและเชื่อถือได้ซึ่งสามารถทำสิ่งขั้นสูงได้หากคุณต้องการ

หวังว่าจะช่วย!

PS / แก้ไข: - คนสองคนแนะนำ Vyatta, Linux และอื่น ๆ : นั่นไม่ใช่วิธีแก้ปัญหาที่ไม่ดี (เช่นเดียวกับ Untangle.com ที่เสนอให้ดูเหมือนว่ามีศักยภาพ) และฉันได้ใช้พวกเขาและรักพวกเขาสำหรับเราเตอร์ปลายทางของสำนักงาน .. . แต่ฉันไม่แนะนำวิธีแก้ปัญหาประเภทนี้เพราะนี่เป็นสถานการณ์การโฮสต์แอปพลิเคชัน โดยหลักการแล้วแนวคิดที่อยู่เบื้องหลังซอฟต์แวร์แบบแยกส่วนที่ทำงานบนฮาร์ดแวร์ทั่วไปคือการบีบคุณสมบัติทั้งหมด 'แพง' ตามปกติให้กับฮาร์ดแวร์ที่มีราคาถูกและต่ำที่สุด ฉันคิดว่านี่เป็นสิ่งที่ดีสำหรับผู้ใช้ปลายทาง (บ้าน, ที่ทำงาน, สำนักงานสาขา VPN ฯลฯ ) แต่ถึงแม้จะเป็นสถานการณ์โฮสติ้งขนาดเล็ก / ขั้นพื้นฐานฉันคิดว่า 'ศูนย์ข้อมูล' รับประกันด้านฮาร์ดแวร์ที่ออกแบบมาเป็นพิเศษ

routeNpingme
แหล่งที่มา
ฉันจะสองชิ้น "แยกส่วนประกอบ" หากคุณใช้ไฟร์วอลล์อย่างแท้จริง (การตรวจสอบสถานะไม่ใช่แค่รายการเข้าถึง) สิ่งใดก็ตามที่ผ่านเข้ามาจะไม่เข้าใกล้กิกะบิตอาจไม่ถึง 100 Mbps เหมือนกันกับ VPN ฮาร์ดแวร์ที่สามารถตรวจสอบสถานะและเข้ารหัสด้วยความเร็วสูงที่กิ๊กจะเกินงบประมาณของคุณ เพื่อให้เซิร์ฟเวอร์ท้องถิ่นที่ต้องเชื่อมต่อที่รวดเร็วสวิทช์และใส่ไฟร์วอลล์ / VPN ที่ขอบของคุณช้าลง (พูด, การเชื่อมต่ออินเทอร์เน็ต)
เจฟฟ์
4

ไปดูที่ Vyatta พวกเขามีผลิตภัณฑ์ที่ครอบคลุมสวยที่ใช้เคอร์เนล Linux ที่นำเสนอสิ่งต่าง ๆ เช่น VPN, เราเตอร์, NAT, การส่งต่อ DNS, เซิร์ฟเวอร์ DHCP และอื่น ๆ ... www.vyatta.comหรือwww.vyatta.orgสำหรับรุ่นชุมชน คุณสามารถเรียกใช้มันบนอุปกรณ์ของพวกเขาฮาร์ดแวร์ของคุณเองหรือเป็น VM อุปกรณ์รุ่น 514 ของพวกเขาเต็มไปด้วย RIPv2, OSPF และ BGP, OpenVPN, IPSEC VPN และอื่น ๆ ราคา <$ 800.00

ลิงค์นี้น่าประทับใจ: http://www.vyatta.com/products/product_comparison.php

netlinxman
แหล่งที่มา
1
อุปกรณ์ระดับเริ่มต้นของพวกเขาคือ 514 และมาพร้อมกับพอร์ต 10/100 สี่พอร์ตที่สามารถเปลี่ยนหรือกำหนดเส้นทางได้ มีสล็อต PCI เพิ่มเติมที่ให้คุณเพิ่มการ์ด Gig-E 1- / 2- หรือ 4 พอร์ตของคุณเองเพื่อให้คุณสามารถขยายอุปกรณ์นี้ออกมาได้ค่อนข้างดี พลังงานต่ำ. เท้าเล็กพิมพ์ ยืดหยุ่นมาก
netlinxman
3

Linksys มีเราเตอร์ที่ดีบางตัวซึ่งอยู่เหนือเราท์เตอร์ในบ้าน แต่ด้านล่างเต็มสำหรับเตะเราเตอร์ ** บางอย่างเช่น WRV54G มีขนาดเล็กรองรับ IPSec VPN เป็นเราเตอร์ DHCP เป็นต้นส่วนที่ไม่เหมาะสมคือ 100 Meg แต่เพื่อให้ได้เกิน 100 Meg คุณจะต้องผลักดันปริมาณการเข้าชมจำนวนมาก

สิ่งนี้จะจัดการกับภาระการโหลด (ซึ่งไม่ได้อยู่ในรายการความต้องการของคุณ แต่ด้วยสองเว็บเซิร์ฟเวอร์ฉันคิดว่ามันจำเป็น

mrdenny
แหล่งที่มา
1
ส่วน 100mb นั้นเกี่ยวกับฉันหวังว่าจะวาง DB ในเครือข่ายเดียวกันเริ่มต้น บางทีฉันสามารถใส่สวิตช์ 1gb และเจ้านี่บนชั้นวางของหน่วยเดียวกัน การปรับสมดุลการโหลด RE เหล่านี้เป็นเซิร์ฟเวอร์ Windows ดังนั้นฉันคิดว่าฉันจะใช้ Windows NLB เพื่อเริ่มต้น คิดอะไรเพิ่มเติม
Rex M
คุณสามารถใช้ Windows NLB เพื่อจัดการสิ่งนั้นได้ นอกจากนี้ยังมี ballancer โหลดเล็ก ๆ น้อย ๆ ที่ฉันเคยใช้ (ผ่าน linux VM ภายใต้ ESX แต่อาจจะคอมไพล์ใหม่สำหรับ Windows) เรียกว่า Pen ซึ่งทำงานได้ดีกว่ามากกับเกียร์ของ Cisco ฉันใช้การใช้ NLB สำหรับบางสิ่งภายในและมีปัญหาด้วยสวิตช์ของ Cisco จึงเปลี่ยนเป็น Pen หากคุณคิดว่าคุณจะผลักดันภายในมากกว่า 100 Megs ให้ไปที่สวิตช์กิกเชื่อมต่อกับเราเตอร์ส่วนหน้า ควรทำงานได้ดี
mrdenny
2

ฉันเห็นสองวิธี:

  1. โดยเราเตอร์ Cisco มันสามารถทำทุกอย่างด้านบนและทำสิ่งนี้ได้ดี แต่มีค่าใช้จ่าย $$
  2. ทำด้วยตัวคุณเอง. ซื้อเซิร์ฟเวอร์ 1U แล้วใส่ NIC และตั้งค่า BSD / Linux มันสามารถทำทุกอย่างที่เหนือ + อื่น ๆ อีกมากมาย (เช่นโหลดบาลานซ์)

PS คุณต้องการออลอินวันจริงๆหรือเปล่า? อาจแยกเราเตอร์และสวิตช์เป็นที่ยอมรับได้หรือไม่

PPS เพิ่มลงในรายการโปรดในกรณีที่คุณจะได้พบกับฮาร์ดแวร์สุดเจ๋งราคาถูก

SaveTheRbtz
แหล่งที่มา
2

ฉันจะแนะนำอุปกรณ์ SonicWALL ในหมวดหมู่ของ ฉันจัดการอุปกรณ์เหล่านี้ไม่กี่เครื่องและพวกเขาไม่ได้ทำให้ฉันผิดหวัง อินเทอร์เฟซนั้นค่อนข้างดีกว่า Linksys ทั่วไป

ฉันจะไม่เป็นคนแรกที่แนะนำให้ใช้สิ่งนี้เป็นอุปกรณ์เกตเวย์ / VPN / ไฟร์วอลล์เท่านั้น แน่นอนว่าต้องมีการสลับการทำงานหนักโดยอุปกรณ์พอร์ต 24 พอร์ต

p.campbell
แหล่งที่มา
2

เพื่อเพิ่มรายการการตั้งค่าส่วนตัวของฉันจะเป็นสาย Juniper SRX

แต่ทันทีที่คุณต้องการพอร์ตเพิ่มเติมใช้สวิตช์จริงอย่าเพิ่มโมดูลต่อไป

LapTop006
แหล่งที่มา
2

ฉันเคยโชคดีมากที่มีเน็ต Prosafe ฉันFVS338 เน็ตนอกจากนี้ยังมีสวิทช์ GB - FVS336G US $ 200 และ $ 300 ตามลำดับ

สวยมากทำในสิ่งที่คุณต้องการที่จะทำและไม่ทำลายธนาคาร

ps ฉันเรียกใช้ Windows NLB ที่อยู่เบื้องหลังสิ่งนี้ ไม่มีเรื่องใหญ่เลย - ฉันไม่ต้องทำอะไรเลย

Christopher_G_Lewis
แหล่งที่มา
ดังนั้น FVS336G จึงเป็นจุดประสงค์ส่วนใหญ่แล้วเวอร์ชั่นกิกะบิตของ 338 ที่คุณแนะนำมากที่สุด? $ 300 ไม่เลวเลย
Rex M
ดูเหมือนว่ามัน และอีกครั้งฉันชอบผลิตภัณฑ์นี้มาก มันฉลาดเกี่ยวกับการเชื่อมต่ออีกครั้ง - ฉันสามารถจ่ายไฟให้กับเคเบิลโมเด็มของฉันและไม่ต้องแตะกล่องนี้ ที่จริงแล้วฉันคิดว่ามีเพียงครั้งเดียวที่ฉันต้องใช้พลังรอบตัวมันคือการอัพเดตเฟิร์มแวร์ครั้งล่าสุดของฉัน สิ่งที่ดีที่สุดเกี่ยวกับกล่องนี้คือคุณไม่ต้องคิด
Christopher_G_Lewis
1

OpenBSD นั้นดีเป็นอย่างยิ่งสำหรับการตั้งค่าไฟร์วอลล์เพราะมัน "ปลอดภัยโดยค่าเริ่มต้น" ซึ่งหมายความว่าไม่มีช่องโหว่หากคุณไม่สร้างมันขึ้นมา

นอกจากนี้การกำหนดค่าเองนั้นง่ายมากแม้ว่าคุณจะเจาะลึกลงใน NAT, IPsec VPN, ...

แน่นอนว่าคุณจะต้องรู้จักเครือข่ายด้วยกล่องใด ๆ (ความหมายของ NAT, พื้นฐานของวิธีการทำงานของ IPsec, พอร์ตใด, netmasks, ... )

slovon
แหล่งที่มา
0

หากคุณต้องการกล่องเดียวโดยทำทุกอย่างคุณสามารถใช้ Cisco 3750 (หรือสวิตช์ที่เทียบเคียงได้) มันสามารถทำไฟร์วอลล์ขั้นพื้นฐาน (เป็นที่ยอมรับมากขั้นพื้นฐาน) ไฟร์วอลล์ (เข้าถึงรายการไม่ต้องคิดอะไรมาก) และเส้นทางแพ็คเก็ต ไม่ทราบว่าพวกเขามีการกำหนดค่า VPN "แบบง่าย" แต่คุณควรจะสามารถกำหนดค่าจุดสิ้นสุด IPSEC ได้ตามต้องการ

แต่ตามความจริงแล้วคุณน่าจะทำสิ่งเหล่านี้เป็นกล่องแยก

Vatine
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.