Load balancing multiple networks

Navegue suas respostas
2

Esta questão não é sobre como fazer isso, mas sobre o que deve ser feito.

A situação é a seguinte:

  • Um site da empresa de pequeno / médio porte
  • Várias conexões à Internet por DSL e por cabo (nada melhor disponível, exceto por 10x o preço)
  • Múltiplas redes internas
  • A necessidade dos recursos de rede tradicionais: DHCP, VPN, nat, firewall, etc.
  • O desejo por recursos mais avançados: DPI, filtragem de sites maliciosos, análise de tráfego

O que é um bom caminho, hardware e software, para conectar tudo? (Eu não vou elaborar sobre a "solução" atual porque é horrível)

  • Eu quero ter roteamento inter-lan de velocidade gigabit, pelo menos entre três das LANs.
  • A velocidade total de download de todas as conexões de internet é de quase 500 MBit / s.
  • As VPNs não são muito usadas; a taxa de transferência total da VPN está na faixa de 50 MBit / s, mas a latência deve ser mantido baixo.
  • As redes (LAN-LAN e WAN-LAN) devem ser com firewall.
  • QoS / Traffic Shaping nas WANs (com balanceamento de carga) é desejável, uma vez que os dispositivos têm padrões de carga muito diferentes. Ele varia de fluxos de vídeo 24/7 com baixa prioridade para aplicativos comerciais com baixo consumo de largura de banda que desejam baixa latência.
  • O HA seria desejável, mas provavelmente não é viável para as linhas DSL baseadas em PPPOE com um único IP. Mas há algo mais que manteria o tempo de inatividade no mínimo em caso de falha?

Eu considerei soluções:

A) Use um roteador grande

Isso significaria conectar todas as WANs e todas as LANs / VLANs a um único roteador que faria tudo. Mas é viável?

Usar um firewall de software como o pfSense ou o sophos ofereceria muitos recursos. Mas seria necessário um servidor com pelo menos 8 portas gigabit e pode ser lento. De tudo o que pude encontrar, usar várias rotas a uma velocidade de gigabit usa bastante potência de CPU, que se torna o gargalo.

B) combinando dois roteadores

Um roteador pode lidar com o lado da WAN, fazer o balanceamento de carga, firewall da WAN, Traffic Shaping, etc. Uma solução de software como o pfSense poderia lidar com isso em um hardware não tão caro?

Outro roteador, em seguida, seria útil para as LANs internas. Talvez algo como um Edgerouter de 8 portas pudesse lidar com isso. Ele tem um firewall que é complexo o suficiente para a parte inter-lan (mas muito simples para a parte WAN) e pode descarregar o hardware.

Isso funcionaria?

Como sobre as conexões VPN? Como as outras funções (DNS, DHCP) devem ser divididas entre os roteadores? O NAT funcionaria? (Como os clientes e o pfSense estariam em redes diferentes)

Existem outras soluções melhores?

    
por masgo 10.01.2018 / 02:27

2 respostas

1

Solução C:

Dois grandes roteadores / firewalls em HA com pfsense. Agora no meu centro de dados eu uso 2 pfsense virtual para gerenciar tudo:

  • 16VLAN marcado
  • 180 servidores virtuais + 19 servidores físicos
  • 16 IPs públicos + 254 IPs públicos
  • IPS + IDS
  • 8 VPN IPSec
  • 21 OpenVPN para clinet remoto
  • NAT, modelagem de tráfego
  • Balanceador de carga e failover (para site público) ecc ecc ...

Internet de 10 Gbit / 500 Mbit e velocidade LAN 10G / 10G.

    
por 10.01.2018 / 12:02
1

Quanto vale o seu tempo? Eu simplificaria.

  • Use as duas conexões mais rápidas, mais estáveis e diversas ; por exemplo. cabo coaxial e o melhor DSL.
  • Compre um firewall razoável de nova geração. Um Cisco Meraki MX64 ou MX84 são bons candidatos.
  • Um Meraki MX64 custa US $ 1200 com todos os recursos de filtragem de conteúdo e IDS. Uma unidade de espera custa US $ 400.

Configure seus uplinks da WAN. PPPoE é suportado.

Configure o Meraki para as VLANs e ACLs apropriadas.

DefinasuasvelocidadesdeWAN...

Definaumapolíticadebalanceamentodecarga...

Crieregrasdemodelagemdetráfego...

A VPN cliente está integrada. A VPN site a site está disponível. Você não esclareceu o que precisava.

Você não explicou se tem serviços de entrada para suporte. O balanceamento de carga é transparente para conexões de saída. A entrada precisaria de alguma forma de balanceamento de carga de DNS (eu uso o AWS Route53, 30 segundo TTL e verificações de integridade).

    
por 11.01.2018 / 17:37

Tags

Configurando uma cadeia alternativa no fail2ban para uso manual Quais são alguns dos motivos pelos quais o uso de um retransmissor SMTP não seria desejável?