Firewall, switch e router di base? [chiuso]

Sono uno sviluppatore e non mi occupo dell'amministratore del server o della rete da anni, quindi "arrugginito" è molto generoso. Sto configurando un nuovo cluster di server Web (a partire da due server Web 1U e un server DB). Dato che non lo faccio da alcuni anni, non so davvero quali opzioni siano disponibili oggi.

Vorrei tutto in un unico dispositivo:

• Piccolo interruttore gbit di base
• Piccolo firewall di base
• Piccolo router / DHCP / gateway di base
• Piccolo accesso VPN di base
• Si adatta in uno spazio 1U

Qualcosa di semplice con un'interfaccia web minimale che posso impostare e poi dimenticare - 2 passaggi sopra un dispositivo router domestico, suppongo.

Modifica: la reazione iniziale dei amministratori di sistema è spesso "impossibile" perché per loro, i dispositivi che fanno tutto questo di solito sono una schifezza. Per favore, renditi conto per i miei scopi, al momento va bene. La mia configurazione (e il mio budget) non sono abbastanza grandi da giustificare un'attrezzatura dedicata che fa queste cose davvero bene . Ho solo bisogno di qualcosa che fa queste cose a tutti .

Raccomandazioni?

Ecco cosa consiglierei:

1. Stare lontano dai router consumer Linksys (anche inserendo DD-WRT su di esso, ecc.) A tutti i costi per qualsiasi scenario di server, diventano instabili sotto carico e scenari più avanzati (VPN, ecc.) E ho un mucchio di quelli morti / in muratura . Sono stati fatti per uso domestico e dovresti tenerlo così.
2. Separare lo switch dal firewall / gateway. Uno switch Gigabit consumer / prosumer probabilmente andrebbe bene per questo (cioè un Netgear a 5 porte). Nella configurazione che stai chiedendo, semplice ed efficiente è meglio: mettere insieme i tuoi server su un semplice switch Layer 2 veloce ti dà una spina dorsale solida e semplice e alcuni firewall o all-in-one aggiungeranno un sovraccarico aggiuntivo al loro build -in switchports e / o funzionalità Layer 3 che non ti servono qui.
3. Per firewall / DHCP / gateway / VPN - Alcuni all-in-one Cisco sono fantastici, ma potrebbero avere più funzionalità e intraprendenza di quelle che stai cercando. Dai un'occhiata a Juniper SSG-5. Questi erano Netscreen NS5-GT fino a quando Juniper non acquistò Netscreen. Penso che i SSG-5 siano circa $ 600 un pezzo nuovo e, se lo desideri, potresti trovare un eBay Netscreen NS5-GT per meno di $ 200 ora e assicurarti di trovare la versione "Unlimited User".
4. VPN - Juniper / Netscreen eseguirà la VPN, ma è necessario il software client Netscreen. In alternativa, puoi semplicemente impostare Routing e Accesso remoto su un server Windows per una semplice VPN PPTP da utilizzare senza alcun software client. Se vuoi andare ancora di più "solo farlo funzionare", usa Hamachi di LogMeIn, funziona alla grande.
5. Su Windows Bilanciamento carico di rete - Funziona bene, ma in alcuni casi NON funziona bene con il routing Cisco Layer 3 (poiché si basa su alcuni trucchi magici con la memorizzazione nella cache ARP per "condividere" un indirizzo IPv4 tra server e i dispositivi Cisco lo vedono come un forza malvagia che deve essere fermata). Quindi, se segui il percorso Cisco, assicurati di configurare correttamente il dispositivo Cisco per questo (ci sono un sacco di articoli su di esso).

Con uno switch gigabit Juniper / Netscreen + a 5 porte dovresti essere in grado di adattarti a entrambi in 1U e avrai un'infrastruttura semplice, veloce e affidabile che può fare cose piuttosto avanzate se mai ne hai bisogno.

Spero che aiuti!

PS / modifica: - Un paio di persone che raccomandano Vyatta, Linux, ecc. Quelle non sono cattive soluzioni (anche l'offerta di Untangle.com sembra avere un potenziale), e le ho usate e le adoro per i router endpoint dell'ufficio. ma non ho raccomandato questo tipo di soluzione perché si tratta di uno scenario di hosting di applicazioni; in linea di principio, l'idea alla base del software modulare in esecuzione su hardware generico è quella di spremere tutte le funzionalità normalmente "costose" che è possibile ottenere nell'hardware denominatore comune più economico e più basso. Penso che questo vada bene per l'endpoint utente (casa, ufficio, VPN di succursale, ecc.), Ma anche per scenari di hosting piccoli / di base penso che il lato 'datacenter' garantisca hardware appositamente progettato abbinato a firmware appositamente progettato.

Dai un'occhiata a Vyatta. Hanno un prodotto piuttosto completo che utilizza il kernel Linux, offrendo cose come VPN, router, NAT, inoltro DNS, server DHCP e altro ... www.vyatta.com o www.vyatta.org per le versioni della comunità. Puoi eseguirlo sul loro dispositivo, sul tuo hardware o come VM. Il loro dispositivo modello 514 è completo con RIPv2, OSPF e BGP, OpenVPN, VPN IPSEC, ecc. Per <$ 800,00.

Questo link è piuttosto impressionante: http://www.vyatta.com/products/product_comparison.php

Linksys ha alcuni router decenti che si trovano sopra un router domestico, ma sotto un router completo. Qualcosa come il WRV54G. È piccolo, supporta IPSec VPN, è un router, DHCP, ecc. L'unica parte che non si adatta è che è 100 Meg. Ma per sovraccaricare 100 Meg dovrai spingere molto traffico.

Questo avrebbe gestito il bilanciamento del carico (che non era nell'elenco dei requisiti, ma con due server Web suppongo sia necessario, quindi dovrai trovare qualcosa per gestirlo).

Vedo due modi:

1. Dal router Cisco. Può fare tutto quanto sopra e lo fa molto bene, ma costa $$
2. Fallo da solo. Acquista un server 1U, inserisci le schede NIC e configura BSD / Linux. Può fare tutto sopra + molto di più (es. Bilanciamento del carico)

PS. Hai davvero bisogno del tutto in uno? La separazione tra router e switch è accettabile?

PPS. aggiunto ai preferiti nel caso in cui troverai hardware economico e di qualità.

Suggerirei un dispositivo Sonicwall nella categoria SMB . Ho gestito alcuni di questi dispositivi e non mi hanno deluso. L'interfaccia è leggermente migliore rispetto al tipico Linksys.

Non sarò il primo a suggerire di usarlo solo come dispositivo gateway / VPN / firewall. Ovviamente tutti i pesanti switch devono essere effettuati dai dispositivi a 24 porte.

Per aggiungere l'elenco la mia preferenza personale sarebbe la linea Juniper SRX.

Ma non appena hai bisogno di più porte usa un vero switch, non continuare ad aggiungere moduli.

Ho avuto molta fortuna con il mio NetGear ProSafe FVS338 . NetGear ha anche uno switch Gb - FVS336G . $ 200 e $ 300 rispettivamente.

Praticamente fa quello che ti serve per fare e non rompe la banca.

ps eseguo Windows NLB dietro questo. Non è un grosso problema - non ho dovuto fare nulla.

OpenBSD è particolarmente utile per impostare un firewall in quanto è "sicuro per impostazione predefinita", il che significa che non ci sono buchi se non li crei.

Inoltre, la configurazione stessa è molto semplice, anche quando si approfondisce NAT, IPsec VPN, ...

Ovviamente dovrai conoscere la rete con qualsiasi box (cosa significa NAT, nozioni di base su come funziona IPsec, cosa sono le porte, le maschere di rete, ...).

Potresti essere interessato a pfSense .

Se vuoi davvero un singolo box, facendo tutto ciò, potresti optare per un Cisco 3750 (o switch comparabile), può fare un firewall di base (certamente MOLTO di base) (liste di accesso, niente di veramente fantasioso) e pacchetti di route. Non so fino a che punto forniscono una "semplice" configurazione VPN, ma dovresti essere in grado di configurare gli endpoint IPSEC secondo necessità.

Ma, ad essere onesti, probabilmente stai meglio facendo queste come scatole separate.