我需要创建几个不同的 VLAN,并提供一种在它们之间传输流量的方法。“单根路由器”方法似乎是理想的选择:
互联网
|
具有中继功能的路由器(“单根路由器”)
*
* 路由器和交换机之间的中继
*
具有中继功能的交换机
| | | | |
| | | | |
| 局域网 2 | 局域网 4 |
| 10.0.2.0/24 | 10.0.4.0/24 |
| | |
局域网 1 局域网 3 局域网 5
10.0.1.0/24 10.0.3.0/24 10.0.5.0/24
我们有支持中继的 2 层交换机。问题是使用什么作为单板路由器。我的选择似乎是:
- 使用现有的 Cisco 5505 ASA 防火墙。看起来 ASA 可以进行路由,但它是 100Mbps 设备,因此看起来充其量也算不上理想
- 购买路由器。这似乎有点过头了。
- 购买三层交换机。似乎也有点过头了。
- 使用现有的共享 Linux Box 作为路由器(例如 NIS 服务器)
- 使用专用的Linux机器作为路由器
- 我没想到的事情
我认为 (4) 或 (5) 是我的最佳选择,但我不确定如何在它们之间进行选择。我预计必须跨越 VLAN 的流量会比较小,但会突发。路由会给 CentOS 机器增加多少负载?
答案1
选项 1 很好,因为:
- ASA 硬件非常可靠,如果您有像 CSC 这样的附加模块,那么您就能获得 LAN 之间的防病毒保护(仅适用于 HTTP/FTP/SMTP/POP3)。
- 如果您使用 ASA,您可以减少故障点,并且您已经熟悉 ASA 防火墙语法。
由于成本过高,选项 2 和 3 并不理想。
选项 4 和 5 都不错。如果您的 NIS 服务器大部分时间都处于运行状态,不需要进行任何调整。如果您使用 NIS 服务器进行 VLAN 间路由,那么每当您重新启动服务器进行维护时,网络都会停止工作。如果 NIS 服务器不可靠或需要频繁重新启动,那么专用服务器会更好。同样,这取决于一台额外服务器的成本有多大。
如果您只想允许某些类型的 VLAN 间流量,选项 4 和 5 将允许您在 iptables 中放置基本的防火墙规则。您还可以使用 tcpdump/wireshark 捕获数据包并在出现问题时进行分析。对于想要通过捕获和分析数据包来学习网络诊断的人来说,拥有一台 Linux 机器作为主路由器将是天堂。您还可以在这台机器上运行 DHCP 服务器,因为您没有第 3 层交换机,所以您无法指定“ip helper-address”,所以这是在没有 L3 交换机的情况下拥有集中式 DHCP 服务器的唯一方法。
答案2
我建议 1 或 5,1 是首选。即使具有 100Mbps 接口,Cisco ASA 也应该能够处理您的 VLAN 之间的路由。如果您不期望跨 VLAN 的流量很大,那么您为什么认为它无法处理这种负载?ASA 上的当前 CPU/内存使用率这么高吗?您使用的是哪种类型的互联网连接?
我建议使用现有 ASA 的原因如下:1. 无需购买新硬件或重新部署现有硬件。2. 减少潜在故障点的数量。是的,现在一切都依赖于 ASA,但这比担心 ASA 和充当路由器的专用 Linux 服务器要好。您可以在将来购买另一个 ASA 并设置 HA。
答案3
我会使用专用设备——第三层交换机、路由器或者专用商品 PC。
使用专用设备的最大好处是,您不会因为服务器计算机补丁/重启等定期维护事件而丢失 VLAN 内路由。足够精简的 Linux 或 OpenBSD 安装不运行不必要的服务,几乎不需要定期修补和重启(与大多数专用嵌入式设备不同),并且您可以使用比硬盘驱动器更不易失的存储技术,例如从闪存或光学介质启动。
我不会依赖任何现成的基准测试,而是会针对您预计会移动的流量类型和数量进行一些内部测试。特别是在共享服务器/路由器场景中,特定服务器计算机的现有工作负载和 NIC 驱动程序的特性将在性能中发挥重要作用。
我之前的经验表明,如果轻负载服务器计算机正在处理小规模、突发的路由流量,则您不会看到其性能受到明显影响。不过,情况可能有所不同,您应该测试一下,看看是否可行。