Grundlegende Firewall, Switch & Router-Gerät? [geschlossen]

Ich bin ein Entwickler und habe mich seit Jahren nicht mehr mit Serveradministratoren oder Netzwerken befasst, daher ist "rostig" sehr großzügig. Ich richte einen neuen Webserver-Cluster ein (beginnend mit zwei 1U-Webservern und einem DB-Server). Da ich dies seit einigen Jahren nicht mehr getan habe, weiß ich nicht wirklich, welche Optionen heute verfügbar sind.

Ich möchte alles in einem Gerät:

• Kleiner, einfacher Gbit-Switch
• Kleine, einfache Firewall
• Kleiner, einfacher Router / DHCP / Gateway
• Kleiner, einfacher VPN-Zugang
• Passt in einen 1U Raum

Etwas Einfaches mit einer minimalen Weboberfläche, die ich einrichten und dann vergessen kann - 2 Schritte über einem Heimrouter, nehme ich an.

Bearbeiten: Die anfängliche Reaktion von Sysadmins ist oft "no way", weil für sie Geräte, die all dies tun, normalerweise Mist sind. Bitte beachten Sie für meine Zwecke, dass dies derzeit in Ordnung ist. Mein Setup (und mein Budget) sind einfach nicht groß genug, um dedizierte Geräte zu rechtfertigen, die diese Dinge wirklich gut machen . Ich brauche nur etwas, das dieses Zeug überhaupt macht .

Empfehlungen?

Folgendes würde ich empfehlen:

1. Halten Sie sich um jeden Preis von Linksys Consumer-Routern fern (selbst wenn Sie DD-WRT usw. darauf setzen), sie werden unter Last und fortgeschritteneren Szenarien (VPN usw.) schuppig, und ich habe einen kleinen Haufen toter / gemauerter . Sie wurden für den Heimgebrauch hergestellt und Sie sollten es so halten.
2. Trennen Sie den Switch von der Firewall / dem Gateway. Ein Consumer / Prosumer-Gigabit-Switch wäre hierfür wahrscheinlich in Ordnung (dh ein Netgear 5-Port). In dem von Ihnen gewünschten Setup ist einfach und effizient besser - wenn Sie Ihre Server auf einem einfachen, schnellen Layer 2-Switch zusammenstellen, erhalten Sie ein solides und einfaches Backbone, und einige Firewalls oder All-in-One-Systeme erhöhen den Overhead ihrer gebauten Server -in Switchports und / oder Layer 3-Funktionen, die Sie hier nicht benötigen.
3. Für die Firewall / DHCP / Gateway / VPN - Einige der Cisco All-in-One-Geräte sind großartig, verfügen jedoch möglicherweise über mehr Funktionen und Unternehmen, als Sie suchen. Schauen Sie sich einen Juniper SSG-5 an. Dies war früher Netscreen NS5-GT, bis Juniper Netscreen kaufte. Ich denke, die SSG-5 kosten etwa 600 US-Dollar pro Stück. Wenn Sie möchten, können Sie jetzt einen eBay Netscreen NS5-GT für unter 200 US-Dollar finden und sicherstellen, dass Sie die "Unlimited User" -Version finden.
4. VPN - Juniper / Netscreen führt VPN aus, Sie benötigen jedoch die Netscreen-Client-Software. Alternativ können Sie Routing und RAS auf einem Windows-Server einrichten, damit ein einfaches PPTP-VPN ohne Client-Software verwendet werden kann. Wenn Sie noch mehr "einfach zum Laufen bringen" möchten, verwenden Sie Hamachi von LogMeIn, das funktioniert hervorragend.
5. Unter Windows-Netzwerklastenausgleich - Dies funktioniert in Ordnung, funktioniert jedoch in einigen Fällen NICHT gut mit dem Cisco Layer 3-Routing (da es einige Zaubertricks mit ARP-Caching erfordert, um eine IPv4-Adresse zwischen Servern freizugeben, und Cisco-Geräte dies als böse Kraft, die gestoppt werden muss). Wenn Sie sich also für Cisco entscheiden, stellen Sie sicher, dass Sie das Cisco-Gerät dafür richtig konfiguriert haben (es gibt eine Reihe von Artikeln).

Mit einem Juniper / Netscreen + 5-Port-Gigabit-Switch sollten Sie in der Lage sein, beide in 1U zu integrieren, und Sie verfügen über eine einfache, schnelle und zuverlässige Infrastruktur, die bei Bedarf einige ziemlich fortschrittliche Aufgaben ausführen kann.

Ich hoffe, das hilft!

PS / edit: - Ein paar Leute empfehlen Vyatta, Linux usw .: Das sind keine schlechten Lösungen (auch das Angebot von Untangle.com scheint Potenzial zu haben), und ich habe sie verwendet und liebe sie für Office-Endpoint-Router. Ich habe diese Art von Lösung jedoch nicht empfohlen, da dies ein Anwendungshosting-Szenario ist. Im Prinzip besteht die Idee hinter modularer Software, die auf generischer Hardware ausgeführt wird, darin, alle normalerweise "teuren" Funktionen, die Sie können, in die kostengünstigste Hardware mit dem kleinsten gemeinsamen Nenner zu integrieren. Ich denke, dies ist in Ordnung für den Benutzerendpunkt (Heim-, Büro-, Zweigstellen-VPN usw.), aber selbst für kleine / grundlegende Hosting-Szenarien ist meiner Meinung nach auf der Seite des Rechenzentrums eine speziell entwickelte Hardware in Verbindung mit einer speziell entwickelten Firmware erforderlich.

Werfen Sie einen Blick auf Vyatta. Sie haben ein ziemlich umfassendes Produkt, das Linux-Kernel verwendet und Dinge wie VPN, Router, NAT, DNS-Weiterleitung, DHCP-Server und mehr bietet ... www.vyatta.com oder www.vyatta.org für die Community-Versionen. Sie können es auf ihrer Appliance, Ihrer eigenen Hardware oder als VM ausführen. Das Gerät des Modells 514 ist mit RIPv2, OSPF und BGP, OpenVPN, IPSEC VPN usw. für <800,00 USD ausgestattet.

Dieser Link ist ziemlich beeindruckend: http://www.vyatta.com/products/product_comparison.php

Linksys hat einige anständige Router, die sich über einem Heimrouter befinden, aber unter einem Full-On-Kick-A ** -Router. So etwas wie der WRV54G. Es ist klein, unterstützt IPSec VPN, ist ein Router, DHCP usw. Der einzige Teil, der nicht passt, ist, dass es 100 Meg. Aber um 100 Meg zu überlasten, müssen Sie viel Verkehr schieben.

Dies würde das Load Ballancing handhaben (was nicht in Ihrer Anforderungsliste enthalten war, aber bei zwei Webservern gehe ich davon aus, dass dies erforderlich ist, sodass Sie etwas finden müssen, um dies zu handhaben).

Ich sehe zwei Möglichkeiten:

1. Mit dem Cisco-Router. Es kann alles oben und tut dies sehr gut, kostet aber $$
2. Mach es selbst. Kaufen Sie einen 1U-Server, setzen Sie NICs ein und richten Sie BSD / Linux ein. Es kann alles über + viel mehr tun (dh Loadbalansing)

PS. Benötigen Sie wirklich All-in-One? Möglicherweise ist es akzeptabel, Router und Switch zu trennen?

PPS. zu den Favoriten hinzugefügt, falls Sie billige und coole Hardware finden.

Ich würde ein Sonicwall-Gerät in der Kategorie SMB vorschlagen . Ich habe einige dieser Geräte verwaltet und sie haben mich nicht EINMAL im Stich gelassen. Die Oberfläche ist etwas besser als die typischen Linksys.

Ich werde nicht der erste sein, der vorschlägt, dies nur als Gateway / VPN / Firewall-Gerät zu verwenden. Natürlich müssen alle 24-Port-Geräte alle schweren Schaltvorgänge ausführen.

Um die Liste hinzuzufügen, wäre meine persönliche Präferenz die Juniper SRX-Linie.

Sobald Sie jedoch mehr Ports benötigen, verwenden Sie einen echten Switch. Fügen Sie keine weiteren Module hinzu.

Ich hatte viel Glück mit meinem NetGear ProSafe FVS338 . NetGear hat auch einen Gb-Schalter - FVS336G . 200 US-Dollar bzw. 300 US-Dollar.

Ziemlich genau das, wofür Sie es brauchen, und bricht nicht die Bank.

ps Ich führe Windows NLB dahinter aus. Überhaupt keine große Sache - ich musste nichts tun.

OpenBSD eignet sich besonders zum Einrichten einer Firewall, da es "standardmäßig sicher" ist. Dies bedeutet, dass keine Lücken vorhanden sind, wenn Sie diese nicht erstellen.

Auch die Konfiguration selbst ist sehr einfach, selbst wenn Sie sich eingehender mit NAT, IPsec VPN, ...

Natürlich müssen Sie die Vernetzung mit jeder Box kennen (was NAT bedeutet, Grundlagen der Funktionsweise von IPSec, was sind Ports, Netzmasken, ...).

Sie könnten an pfSense interessiert sein .

Wenn Sie wirklich eine einzelne Box möchten, können Sie sich für einen Cisco 3750 (oder einen vergleichbaren Switch) entscheiden, der grundlegende (zugegebenermaßen SEHR grundlegende) Firewall-Funktionen (Zugriffslisten, nichts Besonderes) und Pakete weiterleitet. Sie wissen nicht, inwieweit sie eine "einfache" VPN-Konfiguration bereitstellen, aber Sie sollten in der Lage sein, IPSEC-Endpunkte nach Bedarf zu konfigurieren.

Aber um ehrlich zu sein, ist es wahrscheinlich besser, dies als separate Boxen zu tun.