我心中有一个项目,我很想听听关于一些使用 COTS 硬件的开源解决方案的想法。
我有几个 24 和/或 48 端口管理的第 2 层交换机,每个端口上都有可能的客户(尽管通常大约有 20-30 个)。现在,交换机有一个桥接网络,并将流量回传到我们的核心到集中式 DHCP 服务器。我需要将它们移动到 NAT 解决方案,同时,我想保护每个端口上的客户免受其他端口上的客户流量的影响。我还需要能够从防火墙/nat 盒的公共端端口转发到 nat 机器内部的特定硬件(我知道这很容易)。
我的第一个想法是构建一个类似设备的盒子(移动部件越少越好),它可以进行过滤和 NAT,使用 rfc1918 地址范围通过设备上的 DHCP 服务器分发。设备上的缓存 DNS 服务器将是一个优点,因为我们将所有内容回传到核心。我想运行 FreeBSD,但我持开放态度。
现在,为了尝试限制可见的广播流量,我考虑将交换机上的每个端口作为不同的 vlan,并让交换机中继到 FreeBSD/设备上的专用 NIC。我可能需要在 freebsd NIC 上做一些魔术才能使其正常工作,但它应该可以。
我们有构建这些系统的部件。那么,这有意义吗?有没有其他解决方案,我们不必花钱,但可以使用我们的部件来创建一些东西?有没有好的发行版可以做到这一点(monowall)?我可能会或可能不会管理这个解决方案,因此在其他管理员看来,安全的 Web 配置和管理工具将是一个加分项。
有什么想法吗?