一个设备用于路由/防火墙/ISP 平衡/网关

一个设备用于路由/防火墙/ISP 平衡/网关

以下是我的三个选择:

  1. 现在我有一个思科 ASA,用于防火墙、VLAN 路由器、网关和 ISP 故障转移。ASA 中没有足够的控制来满足我的需求,而且许可证非常昂贵。因此,升级该许可证是我最不喜欢的选择。我的思科也只有 100Mb 接口,所以我的两个 VLAN 之间的文件传输会非常慢。

  2. 我正在考虑买一个戴尔 poweredge R210 II处理所有这些任务。它是戴尔最低规格的机架式服务器。我只需添加一个 4 端口千兆网卡。我将使用它来设置我的两个 VLAN 之间的路由、防火墙和 ISP 故障转移,所有这些都使用 IPTables。

  3. 有人建议我将这台服务器包含到我的虚拟服务器中,该虚拟服务器是一台具有相同物理备份的大型 4u 服务器,但将域控制器和应用程序服务器与防火墙和 DMZ 服务器放在同一物理设备上似乎是个坏主意。

我想选择第二种方案,因为它将连接服务器与我的其他服务器分开。它也便宜得多,而且我可以通过 IPTables 完全控制。我们的网络中有大约 200 个设备,在如此低端的服务器上似乎很容易处理。我是否遗漏了什么,还是应该继续使用带有 IPTables 的单独 Linux 服务器?

答案1

Cisco ASA 完全可以胜任您列出的任务。我倾向于使用外部负载均衡器但是对于互联网连接来说。

那么在这种情况下,Cisco ASA 的缺点是什么?

您缺乏可支持性,并且使用服务器而不是专用硬件会创建稍微复杂一些的解决方案。但这确实是一个商业决策。

答案2

需要考虑的一些事项...

  1. 任何带有旋转磁盘的设备(戴尔服务器)都不如使用闪存的设备(如 Cisco ASA)可靠。如果您选择这种方式(即不使用 SATA),则应该使用 SAS 磁盘。
  2. 除非您在系统中安装正品戴尔部件,否则戴尔支持往往会变得挑剔(思科也是如此)。
  3. 其他人已经提到了冗余电源,如果你使用戴尔服务器,你肯定应该得到冗余电源
  4. 如果你决定使用服务器,我会购买真正的英特尔网卡;我对 Broadcom 的驱动程序没有很好的体验(见当我更改 MTU 时,这个问题涉及到 Broadcom 上的死锁
  5. 支持是该计划的一个大问题。有些人会争辩说你可以通过 RedHat 获得付费的 Linux 支持;然而,大多数像你这样规模的公司的人对 RedHat 的支持水平并不满意。
  6. 如果你开始需要 Linux 中的动态 IP 路由协议,那么这个 Linux 计划就会变得非常混乱。有一些选项(/斑驴),但当你这样做的时候,你才真正变得专业化。

答案3

您是否想用防火墙将两个子网隔离开来?如果不是,为什么不为内部子网配备具有 L3 功能的交换机,并使用现有的防火墙进行外部连接。100M 通常足以满足这种需求,而且没有 VLAN 限制。这样的交换机最终可能比 FW 许可证或服务器更便宜,而且扩展性肯定比这两者都更好。

相关内容