基本的なファイアウォール、スイッチ、ルーターデバイス?
私は開発者であり、何年もサーバー管理やネットワーキングを扱っていないので、「さびた」は非常に寛大です。新しいWebサーバークラスターをセットアップしています(2つの1U Webサーバーと1つのDBサーバーから開始)。私は数年でこれを行っていないので、今日どのようなオプションが利用できるのか本当にわかりません。
すべてを1つのデバイスに入れたい:
- 小型で基本的なギガビットスイッチ
- 小さくて基本的なファイアウォール
- 小型の基本的なルーター/ DHCP /ゲートウェイ
- 小規模な基本的なVPNアクセス
- 1Uスペースに収まる
最小限のWebインターフェイスを備えたシンプルなもので、セットアップして忘れることができます。ホームルーターデバイスの2ステップ上にあると思います。
編集:システム管理者からの最初の反応は、多くの場合「仕方がない」です。なぜなら、システム管理者にとって、これらすべてを実行するデバイスは通常がらくただからです。私の目的のために、それは現在大丈夫だということを理解してください。私のセットアップ(および予算)は、このようなことを行う専用の機器を正当化するのに十分な大きさではありません本当にうまく。私はこれを行う何かが必要ですすべてで。
推奨事項?
これが私がお勧めするものです:
- Linksysコンシューマールーター(DD-WRTを搭載するなど)には絶対に近づかないでください。負荷がかかると、より高度なシナリオ(VPNなど)で不安定になり、死んだ/壊れたものが少し山積みになります。 。それらは家庭用に作られました、そしてあなたはそれをそのように保つべきです。
- スイッチをファイアウォール/ゲートウェイから分離します。コンシューマ/プロシューマのギガビットスイッチはおそらくこれで問題ありません(つまり、Netgear 5ポート)。求めている設定では、シンプルで効率的です。サーバーをシンプルな高速レイヤ2スイッチにまとめることで、強固でシンプルなバックボーンが得られます。一部のファイアウォールまたはオールインワンは、ビルドに追加のオーバーヘッドを追加します-ここでは必要のないスイッチポートやレイヤー3機能。
- ファイアウォール/ DHCP /ゲートウェイ/ VPNの場合-一部のCiscoオールインワンの機能は優れていますが、探している機能よりも多くの機能性とエンタープライズ性を備えている場合があります。ジュニパーSSG-5をご覧ください。ジュニパーがNetscreenを購入するまで、これらは以前はNetscreen NS5-GTでした。 SSG-5は1個あたり約600ドルの新品だと思います。必要に応じて、eBay Netscreen NS5-GTを200ドル未満で見つけて、「無制限ユーザー」バージョンを見つけてください。
- VPN-ジュニパー/ネットスクリーンはVPNを実行しますが、ネットスクリーンクライアントソフトウェアが必要です。または、単純なPPTP VPNをクライアントソフトウェアなしで使用するために、Windowsサーバーでルーティングとリモートアクセスを設定することもできます。さらに「機能させるだけ」にしたい場合は、 LogMeInのHamachiを使用してください。
- Windowsネットワーク負荷分散の場合-これは問題なく機能しますが、Ciscoレイヤー3ルーティングではうまく機能しない場合があります(サーバー間でIPv4アドレスを「共有」するためにARPキャッシングでいくつかの魔法のトリックを実行することに依存しているため、Ciscoデバイスはこれを止めなければならない邪悪な力)。したがって、Ciscoルートを使用する場合は、これに対してCiscoデバイスが正しく構成されていることを確認してください(多数の記事があります)。
ジュニパー/ネットスクリーン+5ポートギガビットスイッチを使用すると、両方を1Uに収めることができ、必要に応じてかなり高度な処理を実行できる、シンプルで高速かつ信頼性の高いインフラストラクチャを利用できます。
お役に立てば幸いです。
PS /編集:-Vyatta、Linuxなどを推奨するカップルの人々:これらは悪い解決策ではありません(また、Untangle.comの提供には可能性があるように見えます)。私はそれらを使用しており、オフィスのエンドポイントルーターに愛用しています。 。しかし、これはアプリケーションホスティングのシナリオであるため、このタイプのソリューションはお勧めしませんでした。原則として、汎用ハードウェアで実行されるモジュラーソフトウェアの背後にある考え方は、通常は「高価な」機能をすべて、最も費用効果が高く、最も一般的な分母のハードウェアに詰め込むことです。これはユーザーエンドポイント(ホーム、オフィス、ブランチオフィスのVPNなど)には問題ないと思いますが、小規模/基本的なホスティングシナリオでも、「データセンター」側は特別に設計されたハードウェアと特別に設計されたファームウェアを組み合わせる必要があると思います。
Vyattaを覗いてみてください。 Linuxカーネルを使用する非常に包括的な製品があり、VPN、ルーター、NAT、DNS転送、DHCPサーバーなどを提供しています... www.vyatta.com または www .vyatta.org コミュニティバージョンの場合。アプライアンス、独自のハードウェア、またはVMとして実行できます。彼らのモデル514デバイスは、RIPv2、OSPF、BGP、OpenVPN、IPSEC VPNなどを備え、80ドル未満でフル機能を備えています。
このリンクはかなり印象的です: http://www.vyatta.com/products/product_comparison.php
Linksysには、ホームルーターの上にあるが、フルオンキック**ルーターの下にあるまともなルーターがいくつかあります。 WRV54Gのようなもの。小さく、IPSec VPNをサポートし、ルーター、DHCPなどです。適合しない部分は100メガです。しかし、100 Megを過負荷にするには、大量のトラフィックをプッシュする必要があります。
これはロードバランシングを処理します(これは要件リストにはありませんでしたが、2つのWebサーバーでは必要だと思いますので、それを処理するための何かを見つける必要があります)。
私には2つの方法があります。
- Ciscoルーターによる。上記のすべてを実行でき、これは非常に優れていますが、コストは$$です
- 自分でやれ。 1Uサーバーを購入し、NICを取り付け、BSD/Linuxをセットアップします。上記のすべてを実行できます+はるかに多くのこと(つまり、ロードバランシング)
PS。本当にオールインワンが必要ですか?ルーターとスイッチを分離してもかまいませんか?
PPS。安価でクールなハードウェアが見つかる場合に備えて、お気に入りに追加しました。
SMBカテゴリ のSonicwallデバイス)をお勧めします。これらのデバイスのいくつかを管理しましたが、一度も失望しませんでした。インターフェイスは典型的なLinksysよりも少し優れています。
これをゲートウェイ/ VPN /ファイアウォールデバイスとしてのみ使用することを最初に提案することはしません。もちろん、すべての重い切り替えは、24ポートデバイスによって実行される必要があります。
リストを追加するために、私の個人的な好みはジュニパーSRXラインになります。
ただし、実際のスイッチを使用するポートがさらに必要になった場合は、モジュールを追加し続けないでください。
あなたは pfSense に興味があるかもしれません。
OpenBSDは「デフォルトで安全」であるため、ファイアウォールの設定に特に適しています。つまり、ファイアウォールを作成しなければ穴はありません。
また、NATやIPsec VPNなどを深く掘り下げても、設定自体は非常に簡単です。
もちろん、任意のボックスを使用したネットワークについて知っておく必要があります(NATの意味、IPsecの動作の基本、ポート、ネットマスクなど)。
本当に単一のボックスが必要な場合は、それをすべて実行すると、Cisco 3750(または同等のスイッチ)を使用できます。これにより、基本的な(確かに非常に基本的な)ファイアウォール(アクセスリスト、実際には特別なものはありません)およびルーティングパケットを実行できます。それらが「単純な」VPN構成をどの程度提供するかはわかりませんが、必要に応じてIPSECエンドポイントを構成できるはずです。
しかし、正直に言うと、これらを別々のボックスとして実行する方がおそらく良いでしょう。