Recebi a tarefa de configurar um rack bastante direto em um data center (nem precisamos de um rack inteiro, mas esse é o menor lote disponível). Em poucas palavras, 4 a 6 servidores precisam ser capazes de atingir 2 (talvez 3) fornecedores. Os servidores precisam ser acessados pela internet.
Um pouco mais detalhadamente - as redes que os servidores precisam acessar estão dentro do data center e são "confiáveis". As conexões a essas redes serão obtidas através de conexões cruzadas intra-data center. É como uma linha de fabricação onde recebemos dados de um fornecedor (com capacidade de até 200 Mbits), passamos por ele nos servidores e depois enviamos dados para outro fornecedor (até 20 Mbits). Esta série de eventos é muito sensível à latência, tanto que é prática comum não usar o NAT ou um firewall nesses segmentos (pelo menos é o que eu escuto).
Para alcançar os servidores pela internet, planejo usar um site para o site VPN. (Esta parte só é relevante no que diz respeito à seleção de hardware).
Eu tenho duas configurações em mente:
- Cisco 2911 (2921) (com o módulo de portas wan adicionais) e um comutador de camada 2 - nesse cenário, eu usaria o roteador também para VPN.
- Switch Cisco 3560 de camada 3 para interconectar as redes dentro do data center e um ASA 5510 (que é um total exagero, mas o 5505 não pode ser montado em rack) como um firewall para o lado Wan (internet) e VPN. Eu imagino que a configuração seja a seguinte:
Internet - > ASA - > 3560
Fornecedores - > 3560 - > Servidores
A ideia geral é que o ASA atua como um firewall e dispositivo VPN e o 3560 faz todo o trabalho pesado.
O primeiro é uma configuração bastante tradicional, mas minha preocupação é o desempenho. O segundo é pouco ortodoxo, pois os fornecedores estão diretamente conectados ao switch da camada 3 sem passar por um firewall. Com base no meu entendimento, no entanto, um switch de camada 3 terá um desempenho substancialmente melhor, uma vez que fará a troca de hardware (ASIC) vs. software. (Observe que o número 2 está um pouco acima do orçamento, mas não impraticável (duplo negativo, ugh))
Como esta é minha primeira vez lidando com um data center, não tenho certeza de como será o espaço IP. Eu suspeito que vou manter um bloco (s) de IPs públicos, vlan-los para interfaces individuais para as conexões de fornecedores e os servidores (que não será alcançável do lado wan claro) e roteamento de instalação no switch.
Então, aqui estão minhas perguntas:
- Existe uma diferença substancial de desempenho entre 1 e 2, ou seja, comutação baseada em hardware em uma camada 3 versus uma base de software no 2911? Eu trolei a internet e encontrei muita literatura da Cisco, mas nada que eu realmente pudesse usar para ter um bom controle.
- Os fornecedores aos quais nos conectamos são seguros e confiáveis (famosas últimas palavras) e, do meu ponto de vista, é prática comum não vincular NAT ou firewall (devido à sensibilidade de latência mencionada anteriormente). Mas o que tipo de latência estamos realmente falando se eu empurrar os dados através de um roteador (ou até mesmo ASA para esse assunto)? Para nossos propósitos, 5 ms não nos matam, 20 ou 30 podem ser muito caros. Outros medem em microssegundos, mas estão fora de nosso alcance.
- Há algum problema com o uso de IPs públicos em um switch da camada 3?
Certamente não sou casado com nenhuma dessas configurações e estou totalmente aberto a qualquer ideia. Meu conhecimento (e eu uso o termo vagamente) é em grande parte de livros, então eu agradeço qualquer conselho / insight.
Obrigado antecipadamente.