Que hardware ou software do roteador deve ser usado quando vários IPs públicos são roteados na mesma LAN?

Navegue suas respostas
3

Estou procurando recomendações para substituir um conjunto de roteadores de nível de consumidor (Linksys, Netgear, Belkin) por algo que possa manipular mais tráfego ao rotear mais de um IP público estático para o mesmo espaço de endereço da LAN.

Temos um bloco de IPs públicos estáticos, 5 utilizáveis, com a Comcast Business. Atualmente, quatro deles estão em uso para:

  1. Acesso ao escritório geral
  2. servidor da web
  3. Servidores de email e DNS
  4. Download e backup do servidor da web para negócios separados

Todos os sistemas (uma mistura de físico e virtual) estão no mesmo espaço de endereço da LAN (10.x.y.0 / 24) para permitir fácil acesso entre eles dentro do escritório. Existem 30 ou mais sistemas em uso, dependendo de quais máquinas virtuais estão ativas no momento. Temos uma mistura de Windows, Linux, FreeBSD e Solaris.

Atualmente, um roteador de nível de consumidor separado é usado para cada um dos quatro endereços estáticos, com seu endereço de WAN configurado para o endereço estático específico e um endereço de gateway diferente para cada:

  1. usa 10.x.y.1 - várias portas são encaminhadas para vários IPs da LAN em sistemas com gateway 10.x.y.1
  2. usa 10.x.y.254 - a porta 80 é encaminhada para um servidor com gateway 10.x.y.254
  3. usa 10.x.y.253 - as portas para correio e o dns são encaminhadas para um servidor com gateway 10.x.y.253
  4. usa 10.x.y.252 - as portas, conforme necessário, são encaminhadas para o servidor com o gateway 10.x.y.252

Somente o roteador 1. tem permissão para servir DHCP e a reserva de endereço com base no MAC é usada para a maioria dos endereços IP internos de "servidor", portanto, eles estão em valores fixos. [Alguns são configurados estáticos devido a limitações nos recursos de reserva de endereço do roteador 1.]

E, sim, isso realmente funciona! Mas ... eu estou procurando:

  • melhor DHCP com reserva de endereço mais capaz
  • maior capacidade, então não preciso alternar periodicamente os roteadores

Uma melhoria óbvia seria ter um servidor DHCP real e não usar um roteador de nível de consumidor para essa finalidade.

Estou dividido entre comprar um roteador "profissional", como Cisco ou Juniper, ou o Sonic Wall verus Learning para configurar alguns hardwares extras para executar essa função.

O preço sobe extremamente rápido com recursos para roteadores comerciais! Pior, alguns roteadores exigem licenciamento com base no número de clientes - um desastre em nosso ambiente com tantas máquinas virtuais.

Desculpe por uma postagem tão longa, mas estou ficando cansado de ter que ligar os roteadores e lidar com os endereços IP que mudaram depois!

    
por lcbrevard 06.01.2011 / 16:34

5 respostas

3

você pode obter um roteador DrayTek 2950, suporta vários endereços IP públicos entre outros recursos. suporta túneis vpn (200) sem comprar licenças extras.

link

Você pode procurar um revendedor draytek na sua região.

O Draytek fará todo o encaminhamento de portas, você pode conectar várias conexões WAN, executá-las no modo failover ou balanceamento de carga, você pode atribuir Aliases de IP WAN (Endereços IP Públicos). Você pode até mesmo atribuir um IP estático público aos seus servidores e inserir a sub-rede e a máscara de sub-rede corretas em seu roteador, de forma que ele também roteie sua sub-rede IP pública.

Espero que ajude

    
por 06.01.2011 / 16:47
3

Eu recomendaria pfSense ou Vyatta em hardware de sua escolha. Dependendo de quão grande é a sua tabela de estados e / ou de quanto tráfego você está realizando, você pode se safar com um ALIX dispositivo para ~ $ 200 ou upgrade para um servidor básico de 1U da Dell, HP ou a caixa branca etc. com um NIC duplo. Estou usando um Hamakua da Netgate.com ($ 600USD) agora mesmo para um cliente maior isso empurrando muitos dados com muitas estações de trabalho (tabela de estado grande) e servidores e a coisa mal muda, CPU / memória. A qualidade de construção é excelente; resfriamento passivo, baixo consumo de energia.

    
por 06.01.2011 / 18:05
2

Confira o Cisco ASA, 5505 são razoáveis. Usamos tanto o 5505 quanto o 5510. O 5510 é excelente para utilizar vários IPs públicos, firewall, roteamento, DMZ, Vlan, etc.

    
por 06.01.2011 / 16:52
1

Qualquer um dos melhores roteadores que executarão DD-WRT, OpenWRT ou firmware similar deve ser capaz de lidar com isso. Eu vi relatos de que alguns dos mais novos roteadores são distribuídos com o DD-WRT.

Qualquer pequeno computador que possa rodar o Linux com duas ou três boas interfaces ethernet (compre e adicione boas placas, se necessário).

Eu executaria Shorerwall como o firewall em ambos. A solução OpenWRT exigiria o Shorewall-lite com um sistema separado para compilar as regras de firewall.

Você deve considerar a configuração de uma DMZ para os servidores acessíveis pela Internet.

    
por 06.01.2011 / 17:54
1

O $ empregador costumava ter um tipo semelhante de configuração (exceto sem os múltiplos roteadores - isso soa maluco para mim!). Nós os substituímos por um Cisco 1801 e não olhamos para trás. Demorou um pouco para definir as regras de firewall e aprender como a Cisco as aplica (os pares de zonas e os mapas de políticas são ótimos, mas eu não os encontrei antes), mas acho que os benefícios de ter uma configuração simples pagar dividendos a longo prazo.

    
por 07.01.2011 / 15:59

Tags

Como posso evitar que os arquivos de log do meu servidor da web fiquem muito grandes? porque o tracert não mostra o mesmo endereço de gateway que no ipconfig