对多个网络进行负载平衡

对多个网络进行负载平衡

这个问题不是关于如何做,而是关于应该做什么。

情况如下:

  • 中小型公司网站
  • 多种 DSL 和有线互联网连接(除了 10 倍的价格外没有更好的选择)
  • 多个内部网络
  • 需要传统的网络功能:DHCP、VPN、nat、防火墙等。
  • 需要更多高级功能:DPI、恶意网站过滤、流量分析

从硬件和软件角度来看,将一切连接在一起的好方法是什么?(我不会详细说明当前的“解决方案”,因为它很糟糕)

  • 我想要拥有千兆速度的局域网间路由,至少在三个局域网之间。
  • 所有互联网连接的总下载速度接近 500 MBit/s。
  • VPN 使用并不频繁;总 VPN 吞吐量在 50 MBit/s 范围内,但延迟应该保持在较低水平。
  • 网络(LAN-LAN 和 WAN-LAN)应该有防火墙。
  • 由于设备的负载模式差异很大,因此在(负载平衡)WAN 上进行 QoS/流量整形是必要的。它包括优先级较低的全天候视频流,以及需要低延迟的低带宽消耗业务应用程序。
  • HA 是理想的,但对于基于 PPPOE 且具有单个 IP 的 DSL 线路来说可能不可行。但是,是否有其他方法可以在发生故障时将停机时间降至最低?

我已经考虑过解决方案:

A)使用一个大型路由器

这意味着将所有 WAN 和所有 LAN/VLAN 连接到一个可以完成所有工作的路由器。但这可行吗?

使用 pfSense 或 sophos 等软件防火墙可以提供很多功能。但它需要一台至少有 8 个千兆端口的服务器,而且速度可能会太慢。据我所知,使用千兆速度的多个路由会消耗大量 CPU 功率,从而成为瓶颈。

B)组合两个路由器

一个路由器可以处理 WAN 端,进行负载平衡、WAN 防火墙、流量整形等。像 pfSense 这样的软件解决方案可以在不太昂贵的硬件上处理这些问题吗?

然后,另一个路由器将处理内部 LAN。也许像 8 端口 Edgerouter 这样的设备可以处理这个问题。它有一个防火墙,对于局域网间部分来说足够复杂(但对于 WAN 部分来说太简单了),并且可以进行硬件卸载。

这有用吗?

VPN 连接怎么样?其他功能(DNS、DHCP)应如何在路由器之间划分?NAT 能工作吗?(因为客户端和 pfSense 位于不同的网络中)

还有其他更好的解决方案吗?

答案1

解决方案C:

两个大型路由器/防火墙在 HA 中带有 pfSense。现在在我的数据中心,我使用 2 个虚拟 pfSense 来管理所有:

  • 16VLAN 标记
  • 180 台虚拟服务器 + 19 台物理服务器
  • 16 个公网 IP + 254 个公网 IP
  • 入侵防御系统
  • 8 IPSec VPN
  • 21 OpenVPN 用于远程客户端
  • NAT,流量整形
  • 负载均衡器和故障转移(用于公共网站)ecc ecc ...

10Gbit/500Mbit 互联网馈送和 10G/10G LAN 速度。

答案2

你的时间值多少钱?我想简单点。

  • 使用两个最快、最稳定和各种各样的连接;例如同轴电缆和最好的 DSL。
  • 购买一款合理的新一代防火墙。思科 Meraki MX64或者MX84都是不错的候选人。
  • Meraki MX64 配备所有内容过滤和 IDS 功能,售价 1200 美元。备用设备售价 400 美元。

配置您的 WAN 上行链路。支持 PPPoE。

为适当的 VLAN 和 ACL 配置 Meraki。

在此处输入图片描述

设置您的 WAN 速度...

在此处输入图片描述

设置负载平衡策略...

在此处输入图片描述

建立流量整形规则...

在此处输入图片描述

客户端 VPN 已内置。站点到站点 VPN 可用。你没有明确说明你需要什么。

您没有说明是否有要支持的入站服务。负载平衡对于出站连接是透明的。入站需要某种形式的 DNS 负载平衡(我使用 AWS Route53、30 秒 TTL 和健康检查)。

相关内容