我期待本论坛成员能提供一些智慧之言。
我为同一栋大楼里的三家相关非营利组织提供咨询服务。这三家公司决定共用同一条互联网管道,并委托我建造一个新的网关盒。我计划购买一个 1U SuperMicro Atom 盒,并配备一个附加卡,总共有 6 个物理网络端口。
该网关将用于在非营利组织之间划分互联网,提供一些基本的流量整形,并使用 DansGuardian 过滤内容。
现在我正在尝试弄清楚如何设置软件,并希望得到一些建议。我看到的一些选项是:
直接在盒子上安装 Ubuntu,并使用 iptables、Squid 和 DansGuardian 完成所有任务。我以前做过这个,熟悉设置。
在裸机上安装 ESXi 并运行 Ubuntu VM 来执行上述操作。
在裸机上安装 ESXi,并为防火墙/路由器运行 pfSense VM,并将端口 80 数据包传递到另一台运行带有 Squid 和 DansGuardian 的 Ubuntu 的 VM。我以前没有使用过 pfSense,但似乎我可以很容易地掌握它。
如果我选择选项 3,是否有考虑运行 3 个独立的 Ubuntu VM,以便每个非营利组织都有自己的 DansGuadian 实例,而不是运行一个实例并使用过滤器组。
一个网络上大约有 50 个用户,第二个网络上有 20 个用户,第三个网络上有 5 个用户。互联网管道是 50Mbit 下行/12Mbit 上行电缆连接。
如对上述内容有任何建议或任何人推荐其他选项,我们将不胜感激。
谢谢。
答案1
您不需要具有 6 个端口的 NIC - 具有单个端口的 NIC 和支持 VLAN 的管理型交换机在这里就可以做得更好。
如果您计划为路由服务设置管理分离,那么您只需要任何类型的虚拟化解决方案 - 例如,如果三个非营利组织需要能够管理他们自己的路由器,更改数据包过滤规则,在那里设置自己的服务等。您需要能够获得一个 IP 子网来容纳至少您的三个主机加上 ISP 的路由器地址 - 总共 4 个主机、一个网络和一个广播地址,因此至少需要一个 /28 网络 - 在这种情况下。
即使您对数据包过滤服务进行了管理分离,单点管理的用例也会是 QoS 设置 - 如果您需要保证带宽或某种公平使用策略,其中任何一个组织都不应该能够使用太多的带宽以至于使其他两个组织挨饿,您不可避免地会得到至少一个这三个组织都依赖的路由设备,而这些路由设备无法分开管理。
您不一定需要一台服务器来执行这些任务 - 有很多路由器设备比商品 PC 板更具弹性。其中一些能够拆分成“虚拟路由器”或“虚拟系统”,例如Juniper Netscreen 设备或“安全上下文”Cisco ASA 设备- 与虚拟化安装的方式非常相似,但省去了 ESXi 的所有负担,也无需管理三个正在运行的操作系统实例。我认为这种方法最优雅,但它要求您熟悉系统或聘请另一位顾问/工程师来进行设置。
答案2
很大程度上取决于您预计要花多少时间来维护/修复此解决方案;如果您想尽可能少地花费时间,我建议安装专用的路由器/防火墙发行版(例如您上面提到的 pfsense)作为路由组件,并在第二台虚拟机上设置其他所有组件。与
其他部分相比,路由器部分所需的资源很少,并且 pfsense 或其他专用路由发行版将不间断运行多年;对于提供代理甚至更多功能的成熟服务器,通常情况并非如此。
在不了解更多有关客户要求或预期负载的情况下,选项 3 似乎是最灵活的选择。
哦,是的,ESXi 5。
但是,这在 Atom 上运行效果不佳 - 我建议改用 Sandy Bridge i3 2100T(仅 35W)。
它将击败两块 Atom 主板。
哦,还有用于网络的 Intel PRO NIC,如果必须提到的话 - 虽然 100mbit 就足以满足流量要求,但 GbE 提供了更好的延迟。