Grundlegende Firewall, Switch & Router-Gerät? [geschlossen]

10

Ich bin ein Entwickler und habe mich seit Jahren nicht mehr mit Serveradministratoren oder Netzwerken befasst, daher ist "rostig" sehr großzügig. Ich richte einen neuen Webserver-Cluster ein (beginnend mit zwei 1U-Webservern und einem DB-Server). Da ich dies seit einigen Jahren nicht mehr getan habe, weiß ich nicht wirklich, welche Optionen heute verfügbar sind.

Ich möchte alles in einem Gerät:

  • Kleiner, einfacher Gbit-Switch
  • Kleine, einfache Firewall
  • Kleiner, einfacher Router / DHCP / Gateway
  • Kleiner, einfacher VPN-Zugang
  • Passt in einen 1U Raum

Etwas Einfaches mit einer minimalen Weboberfläche, die ich einrichten und dann vergessen kann - 2 Schritte über einem Heimrouter, nehme ich an.

Bearbeiten: Die anfängliche Reaktion von Sysadmins ist oft "no way", weil für sie Geräte, die all dies tun, normalerweise Mist sind. Bitte beachten Sie für meine Zwecke, dass dies derzeit in Ordnung ist. Mein Setup (und mein Budget) sind einfach nicht groß genug, um dedizierte Geräte zu rechtfertigen, die diese Dinge wirklich gut machen . Ich brauche nur etwas, das dieses Zeug überhaupt macht .

Empfehlungen?

Rex M.
quelle
Wenn Sie einen finden, lassen Sie es uns wissen - ich habe auch nach etwas Ähnlichem Ausschau gehalten!
Mark Henderson

Antworten:

15

Folgendes würde ich empfehlen:

  1. Halten Sie sich um jeden Preis von Linksys Consumer-Routern fern (selbst wenn Sie DD-WRT usw. darauf setzen), sie werden unter Last und fortgeschritteneren Szenarien (VPN usw.) schuppig, und ich habe einen kleinen Haufen toter / gemauerter . Sie wurden für den Heimgebrauch hergestellt und Sie sollten es so halten.
  2. Trennen Sie den Switch von der Firewall / dem Gateway. Ein Consumer / Prosumer-Gigabit-Switch wäre hierfür wahrscheinlich in Ordnung (dh ein Netgear 5-Port). In dem von Ihnen gewünschten Setup ist einfach und effizient besser - wenn Sie Ihre Server auf einem einfachen, schnellen Layer 2-Switch zusammenstellen, erhalten Sie ein solides und einfaches Backbone, und einige Firewalls oder All-in-One-Systeme erhöhen den Overhead ihrer gebauten Server -in Switchports und / oder Layer 3-Funktionen, die Sie hier nicht benötigen.
  3. Für die Firewall / DHCP / Gateway / VPN - Einige der Cisco All-in-One-Geräte sind großartig, verfügen jedoch möglicherweise über mehr Funktionen und Unternehmen, als Sie suchen. Schauen Sie sich einen Juniper SSG-5 an. Dies war früher Netscreen NS5-GT, bis Juniper Netscreen kaufte. Ich denke, die SSG-5 kosten etwa 600 US-Dollar pro Stück. Wenn Sie möchten, können Sie jetzt einen eBay Netscreen NS5-GT für unter 200 US-Dollar finden und sicherstellen, dass Sie die "Unlimited User" -Version finden.
  4. VPN - Juniper / Netscreen führt VPN aus, Sie benötigen jedoch die Netscreen-Client-Software. Alternativ können Sie Routing und RAS auf einem Windows-Server einrichten, damit ein einfaches PPTP-VPN ohne Client-Software verwendet werden kann. Wenn Sie noch mehr "einfach zum Laufen bringen" möchten, verwenden Sie Hamachi von LogMeIn, das funktioniert hervorragend.
  5. Unter Windows-Netzwerklastenausgleich - Dies funktioniert in Ordnung, funktioniert jedoch in einigen Fällen NICHT gut mit dem Cisco Layer 3-Routing (da es einige Zaubertricks mit ARP-Caching erfordert, um eine IPv4-Adresse zwischen Servern freizugeben, und Cisco-Geräte dies als böse Kraft, die gestoppt werden muss). Wenn Sie sich also für Cisco entscheiden, stellen Sie sicher, dass Sie das Cisco-Gerät dafür richtig konfiguriert haben (es gibt eine Reihe von Artikeln).

Mit einem Juniper / Netscreen + 5-Port-Gigabit-Switch sollten Sie in der Lage sein, beide in 1U zu integrieren, und Sie verfügen über eine einfache, schnelle und zuverlässige Infrastruktur, die bei Bedarf einige ziemlich fortschrittliche Aufgaben ausführen kann.

Ich hoffe, das hilft!

PS / edit: - Ein paar Leute empfehlen Vyatta, Linux usw .: Das sind keine schlechten Lösungen (auch das Angebot von Untangle.com scheint Potenzial zu haben), und ich habe sie verwendet und liebe sie für Office-Endpoint-Router. Ich habe diese Art von Lösung jedoch nicht empfohlen, da dies ein Anwendungshosting-Szenario ist. Im Prinzip besteht die Idee hinter modularer Software, die auf generischer Hardware ausgeführt wird, darin, alle normalerweise "teuren" Funktionen, die Sie können, in die kostengünstigste Hardware mit dem kleinsten gemeinsamen Nenner zu integrieren. Ich denke, dies ist in Ordnung für den Benutzerendpunkt (Heim-, Büro-, Zweigstellen-VPN usw.), aber selbst für kleine / grundlegende Hosting-Szenarien ist meiner Meinung nach auf der Seite des Rechenzentrums eine speziell entwickelte Hardware in Verbindung mit einer speziell entwickelten Firmware erforderlich.

routeNpingme
quelle
Ich werde das Stück "separate Komponenten" unterstützen. Wenn Sie wirklich eine Firewall verwenden (Stateful Inspection, nicht nur Zugriffslisten), wird alles, was sie durchläuft, nicht in die Nähe von Gigabit gelangen, wahrscheinlich nicht einmal 100 Mbit / s. Das Gleiche gilt für das VPN. Hardware, die Stateful Inspection und Verschlüsselung mit Gig-Geschwindigkeit ermöglicht, liegt weit über Ihrem Budget. Behalten Sie also die lokalen Server, die eine schnelle Verbindung benötigen, auf dem Switch und stellen Sie die Firewall / das VPN an Ihren langsameren Rand (z. B. Internetverbindung)
Geoff
4

Werfen Sie einen Blick auf Vyatta. Sie haben ein ziemlich umfassendes Produkt, das Linux-Kernel verwendet und Dinge wie VPN, Router, NAT, DNS-Weiterleitung, DHCP-Server und mehr bietet ... www.vyatta.com oder www.vyatta.org für die Community-Versionen. Sie können es auf ihrer Appliance, Ihrer eigenen Hardware oder als VM ausführen. Das Gerät des Modells 514 ist mit RIPv2, OSPF und BGP, OpenVPN, IPSEC VPN usw. für <800,00 USD ausgestattet.

Dieser Link ist ziemlich beeindruckend: http://www.vyatta.com/products/product_comparison.php

netlinxman
quelle
1
Die Einstiegs-Appliance ist die 514 und verfügt über vier 10/100-Ports, die entweder geschaltet oder geroutet werden können. Es gibt einen zusätzlichen PCI-Steckplatz, über den Sie auch Ihre eigene 1- / 2- oder 4-Port-Gig-E-Karte hinzufügen können, sodass Sie diese Appliance wirklich gut erweitern können. Geringer Strom. Kleiner Fußabdruck. Sehr flexibel.
Netlinxman
3

Linksys hat einige anständige Router, die sich über einem Heimrouter befinden, aber unter einem Full-On-Kick-A ** -Router. So etwas wie der WRV54G. Es ist klein, unterstützt IPSec VPN, ist ein Router, DHCP usw. Der einzige Teil, der nicht passt, ist, dass es 100 Meg. Aber um 100 Meg zu überlasten, müssen Sie viel Verkehr schieben.

Dies würde das Load Ballancing handhaben (was nicht in Ihrer Anforderungsliste enthalten war, aber bei zwei Webservern gehe ich davon aus, dass dies erforderlich ist, sodass Sie etwas finden müssen, um dies zu handhaben).

mrdenny
quelle
1
100mb Teil ist ein wenig besorgniserregend, da ich hoffe, die DB von Anfang an in das gleiche Netzwerk zu stellen. Vielleicht kann ich einen 1-GB-Schalter und diesen Kerl auf das gleiche Regal stellen. RE Load Balancing, das sind Windows-Server, also dachte ich, ich würde Windows NLB zum Starten verwenden. Irgendwelche weiteren Gedanken?
Rex M
Sie können Windows NLB verwenden, um dies zu handhaben. Es gibt auch einen kleinen Load-Ballancer namens Pen, den ich verwendet habe (über eine Linux-VM unter ESX, der aber wahrscheinlich für Windows neu kompiliert werden könnte), der mit Cisco-Geräten viel besser funktioniert. Ich benutze NLB für einige interne Dinge und hatte Probleme damit dank der Cisco-Switches, die so auf Pen umgestellt wurden. Wenn Sie glauben, dass Sie mehr als 100 Megabyte intern übertragen, wählen Sie einen Gig-Switch, der an den Front-End-Router angeschlossen ist. Dies sollte gut funktionieren.
Mrdenny
2

Ich sehe zwei Möglichkeiten:

  1. Mit dem Cisco-Router. Es kann alles oben und tut dies sehr gut, kostet aber $$
  2. Mach es selbst. Kaufen Sie einen 1U-Server, setzen Sie NICs ein und richten Sie BSD / Linux ein. Es kann alles über + viel mehr tun (dh Loadbalansing)

PS. Benötigen Sie wirklich All-in-One? Möglicherweise ist es akzeptabel, Router und Switch zu trennen?

PPS. zu den Favoriten hinzugefügt, falls Sie billige und coole Hardware finden.

SaveTheRbtz
quelle
2

Ich würde ein Sonicwall-Gerät in der Kategorie SMB vorschlagen . Ich habe einige dieser Geräte verwaltet und sie haben mich nicht EINMAL im Stich gelassen. Die Oberfläche ist etwas besser als die typischen Linksys.

Ich werde nicht der erste sein, der vorschlägt, dies nur als Gateway / VPN / Firewall-Gerät zu verwenden. Natürlich müssen alle 24-Port-Geräte alle schweren Schaltvorgänge ausführen.

p.campbell
quelle
2

Um die Liste hinzuzufügen, wäre meine persönliche Präferenz die Juniper SRX-Linie.

Sobald Sie jedoch mehr Ports benötigen, verwenden Sie einen echten Switch. Fügen Sie keine weiteren Module hinzu.

LapTop006
quelle
2

Ich hatte viel Glück mit meinem NetGear ProSafe FVS338 . NetGear hat auch einen Gb-Schalter - FVS336G . 200 US-Dollar bzw. 300 US-Dollar.

Ziemlich genau das, wofür Sie es brauchen, und bricht nicht die Bank.

ps Ich führe Windows NLB dahinter aus. Überhaupt keine große Sache - ich musste nichts tun.

Christopher_G_Lewis
quelle
Der FVS336G ist also für die meisten Zwecke die Gigabit-Version Ihres empfohlenen 338? 300 Dollar sind nicht schlecht.
Rex M
Schaut so aus. Und wieder mag ich dieses Produkt wirklich. Es ist intelligent in Bezug auf Wiederverbindungen - ich kann mein Kabelmodem aus- und wieder einschalten und muss diese Box nicht berühren. Tatsächlich denke ich, dass das einzige Mal, dass ich das Gerät aus- und wieder einschalten musste, mein letztes Firmware-Update ist. Das Beste an dieser Box ist, dass Sie einfach nicht darüber nachdenken müssen.
Christopher_G_Lewis
1

OpenBSD eignet sich besonders zum Einrichten einer Firewall, da es "standardmäßig sicher" ist. Dies bedeutet, dass keine Lücken vorhanden sind, wenn Sie diese nicht erstellen.

Auch die Konfiguration selbst ist sehr einfach, selbst wenn Sie sich eingehender mit NAT, IPsec VPN, ...

Natürlich müssen Sie die Vernetzung mit jeder Box kennen (was NAT bedeutet, Grundlagen der Funktionsweise von IPSec, was sind Ports, Netzmasken, ...).

Slovon
quelle
1

Sie könnten an pfSense interessiert sein .

Joe Internet
quelle
0

Wenn Sie wirklich eine einzelne Box möchten, können Sie sich für einen Cisco 3750 (oder einen vergleichbaren Switch) entscheiden, der grundlegende (zugegebenermaßen SEHR grundlegende) Firewall-Funktionen (Zugriffslisten, nichts Besonderes) und Pakete weiterleitet. Sie wissen nicht, inwieweit sie eine "einfache" VPN-Konfiguration bereitstellen, aber Sie sollten in der Lage sein, IPSEC-Endpunkte nach Bedarf zu konfigurieren.

Aber um ehrlich zu sein, ist es wahrscheinlich besser, dies als separate Boxen zu tun.

Vatine
quelle