我的任务是在数据中心安装一个相当简单的机架(我们甚至不需要整个机架,但这是最小的可用配额)。简而言之,4 到 6 台服务器需要能够连接 2 个(也许 3 个)供应商。服务器需要通过互联网连接。
更详细一点 - 服务器需要访问的网络位于数据中心内部,并且是“受信任的”。这些网络的连接将通过数据中心内部交叉连接实现。这有点像一条生产线,我们从一个供应商接收数据(可突发高达 200 Mbits),在服务器上处理数据,然后将数据发送给另一个供应商(可突发高达 20 Mbits)。这一系列事件对延迟非常敏感,因此通常不在这些段上使用 NAT 或防火墙(至少我听说是这样)。
为了通过互联网访问服务器,我计划使用站点到站点 VPN。(这部分仅与硬件选择有关)。
我考虑了两种配置:
- Cisco 2911(2921)(带有附加 WAN 端口模块)和第 2 层交换机 - 在这种情况下,我也会将路由器用于 VPN。
- Cisco 3560 第 3 层交换机用于连接数据中心内部的网络,ASA 5510(完全是大材小用,但 5505 不是机架式的)用作广域网端(互联网)和 VPN 的防火墙。我设想的设置如下:
互联网 -> ASA -> 3560
供应商 -> 3560 -> 服务器
一般来说,ASA 充当防火墙和 VPN 设备,而 3560 承担所有繁重的工作。
第一种是相当传统的设置,但我担心的是性能。第二种有点不合常规,因为供应商直接连接到第 3 层交换机,而不通过防火墙。但根据我的理解,第 3 层交换机的性能会好得多,因为它将进行硬件(ASIC)而不是软件交换。(请注意,第二种方法有点超出预算,但并非不可行(双重否定,呃))
由于这是我第一次处理数据中心,我不确定 IP 空间会是什么样子。我怀疑我会保留一个(多个)公共 IP 块,将它们划分为单独的接口,用于供应商连接和服务器(当然,从 WAN 端无法访问),并在交换机上设置路由。
我的问题是:
- 1 和 2 之间是否存在显著的性能差异,即第 3 层基于硬件的交换与 2911 上基于软件的交换?我搜索了互联网并找到了很多有关 Cisco 的文献,但没有找到任何可以真正用来获得良好处理方法的资料。
- 我们连接的供应商是安全且值得信赖的(这句名言),据我所知,通常的做法是不对这些连接进行 NAT 或防火墙处理(因为前面提到的延迟敏感性)。但如果我将数据推送到路由器(或甚至 ASA)中,我们真正谈论的延迟到底是什么样的?就我们的目的而言,5 毫秒不会杀死我们,20 或 30 毫秒可能会非常昂贵。其他供应商以微秒为单位,但它们超出了我们的范围。
- 在第 3 层交换机上使用公共 IP 是否存在问题?
我当然不会拘泥于这两种配置,我完全愿意接受任何想法。我的知识(我使用这个词比较宽泛)主要来自书籍,因此我欢迎任何建议/见解。
提前致谢。
答案1
“第 3 层交换机”这个术语实际上只是针对 LAN 网络进行了优化的路由器 - 如今它已没有任何意义。
2900 的宣传语是:“电路速度 WAN 性能高达 75 Mbps,外加多种服务”,因此您可以以软件交换速度“通过”此路由器传输大约 75mps 的流量。
2)只要你不超出路由器转发性能的极限,那么实际时间就是<1 ms
如果您需要实际路由 200mbps 的流量,那么您将需要 3560 或类似设备来在您的笼子中的其他交叉连接的段与笼子中的服务器之间进行路由。
3)根本没有 - 路由器和交换机(普通的,而不是新式的“安全”或“增强”的)不关心公共 IP 和私有 IP。
我建议使用 3560,然后使用一些可以终止 VPN 的设备让您“进入”网络。