以下是我的三个选择:
现在我有一个思科 ASA,用于防火墙、VLAN 路由器、网关和 ISP 故障转移。ASA 中没有足够的控制来满足我的需求,而且许可证非常昂贵。因此,升级该许可证是我最不喜欢的选择。我的思科也只有 100Mb 接口,所以我的两个 VLAN 之间的文件传输会非常慢。
我正在考虑买一个戴尔 poweredge R210 II处理所有这些任务。它是戴尔最低规格的机架式服务器。我只需添加一个 4 端口千兆网卡。我将使用它来设置我的两个 VLAN 之间的路由、防火墙和 ISP 故障转移,所有这些都使用 IPTables。
有人建议我将这台服务器包含到我的虚拟服务器中,该虚拟服务器是一台具有相同物理备份的大型 4u 服务器,但将域控制器和应用程序服务器与防火墙和 DMZ 服务器放在同一物理设备上似乎是个坏主意。
我想选择第二种方案,因为它将连接服务器与我的其他服务器分开。它也便宜得多,而且我可以通过 IPTables 完全控制。我们的网络中有大约 200 个设备,在如此低端的服务器上似乎很容易处理。我是否遗漏了什么,还是应该继续使用带有 IPTables 的单独 Linux 服务器?
答案1
Cisco ASA 完全可以胜任您列出的任务。我倾向于使用外部负载均衡器但是对于互联网连接来说。
那么在这种情况下,Cisco ASA 的缺点是什么?
您缺乏可支持性,并且使用服务器而不是专用硬件会创建稍微复杂一些的解决方案。但这确实是一个商业决策。
答案2
需要考虑的一些事项...
- 任何带有旋转磁盘的设备(戴尔服务器)都不如使用闪存的设备(如 Cisco ASA)可靠。如果您选择这种方式(即不使用 SATA),则应该使用 SAS 磁盘。
- 除非您在系统中安装正品戴尔部件,否则戴尔支持往往会变得挑剔(思科也是如此)。
- 其他人已经提到了冗余电源,如果你使用戴尔服务器,你肯定应该得到冗余电源
- 如果你决定使用服务器,我会购买真正的英特尔网卡;我对 Broadcom 的驱动程序没有很好的体验(见当我更改 MTU 时,这个问题涉及到 Broadcom 上的死锁)
- 支持是该计划的一个大问题。有些人会争辩说你可以通过 RedHat 获得付费的 Linux 支持;然而,大多数像你这样规模的公司的人对 RedHat 的支持水平并不满意。
- 如果你开始需要 Linux 中的动态 IP 路由协议,那么这个 Linux 计划就会变得非常混乱。有一些选项(鸟/斑驴),但当你这样做的时候,你才真正变得专业化。
答案3
您是否想用防火墙将两个子网隔离开来?如果不是,为什么不为内部子网配备具有 L3 功能的交换机,并使用现有的防火墙进行外部连接。100M 通常足以满足这种需求,而且没有 VLAN 限制。这样的交换机最终可能比 FW 许可证或服务器更便宜,而且扩展性肯定比这两者都更好。