Pergunta de configuração / engrenagem de rede

2

Recebi a tarefa de configurar um rack bastante direto em um data center (nem precisamos de um rack inteiro, mas esse é o menor lote disponível). Em poucas palavras, 4 a 6 servidores precisam ser capazes de atingir 2 (talvez 3) fornecedores. Os servidores precisam ser acessados pela internet.

Um pouco mais detalhadamente - as redes que os servidores precisam acessar estão dentro do data center e são "confiáveis". As conexões a essas redes serão obtidas através de conexões cruzadas intra-data center. É como uma linha de fabricação onde recebemos dados de um fornecedor (com capacidade de até 200 Mbits), passamos por ele nos servidores e depois enviamos dados para outro fornecedor (até 20 Mbits). Esta série de eventos é muito sensível à latência, tanto que é prática comum não usar o NAT ou um firewall nesses segmentos (pelo menos é o que eu escuto).

Para alcançar os servidores pela internet, planejo usar um site para o site VPN. (Esta parte só é relevante no que diz respeito à seleção de hardware).

Eu tenho duas configurações em mente:

  1. Cisco 2911 (2921) (com o módulo de portas wan adicionais) e um comutador de camada 2 - nesse cenário, eu usaria o roteador também para VPN.
  2. Switch Cisco 3560 de camada 3 para interconectar as redes dentro do data center e um ASA 5510 (que é um total exagero, mas o 5505 não pode ser montado em rack) como um firewall para o lado Wan (internet) e VPN. Eu imagino que a configuração seja a seguinte:

Internet - > ASA - > 3560

Fornecedores - > 3560 - > Servidores

A ideia geral é que o ASA atua como um firewall e dispositivo VPN e o 3560 faz todo o trabalho pesado.

O primeiro é uma configuração bastante tradicional, mas minha preocupação é o desempenho. O segundo é pouco ortodoxo, pois os fornecedores estão diretamente conectados ao switch da camada 3 sem passar por um firewall. Com base no meu entendimento, no entanto, um switch de camada 3 terá um desempenho substancialmente melhor, uma vez que fará a troca de hardware (ASIC) vs. software. (Observe que o número 2 está um pouco acima do orçamento, mas não impraticável (duplo negativo, ugh))

Como esta é minha primeira vez lidando com um data center, não tenho certeza de como será o espaço IP. Eu suspeito que vou manter um bloco (s) de IPs públicos, vlan-los para interfaces individuais para as conexões de fornecedores e os servidores (que não será alcançável do lado wan claro) e roteamento de instalação no switch.

Então, aqui estão minhas perguntas:

  1. Existe uma diferença substancial de desempenho entre 1 e 2, ou seja, comutação baseada em hardware em uma camada 3 versus uma base de software no 2911? Eu trolei a internet e encontrei muita literatura da Cisco, mas nada que eu realmente pudesse usar para ter um bom controle.
  2. Os fornecedores aos quais nos conectamos são seguros e confiáveis (famosas últimas palavras) e, do meu ponto de vista, é prática comum não vincular NAT ou firewall (devido à sensibilidade de latência mencionada anteriormente). Mas o que tipo de latência estamos realmente falando se eu empurrar os dados através de um roteador (ou até mesmo ASA para esse assunto)? Para nossos propósitos, 5 ms não nos matam, 20 ou 30 podem ser muito caros. Outros medem em microssegundos, mas estão fora de nosso alcance.
  3. Há algum problema com o uso de IPs públicos em um switch da camada 3?

Certamente não sou casado com nenhuma dessas configurações e estou totalmente aberto a qualquer ideia. Meu conhecimento (e eu uso o termo vagamente) é em grande parte de livros, então eu agradeço qualquer conselho / insight.

Obrigado antecipadamente.

    
por mcgee1234 26.06.2011 / 00:23

1 resposta

2

O termo "switch da camada 3" é na verdade apenas um roteador que é otimizado para redes LAN - não significa nada atualmente.

O 2900 diz: "Desempenho WAN de velocidade em circuito até 75 Mbps, além de variedade de serviços" assim você pode passar cerca de 75mps de tráfego "através" deste roteador a velocidades de comutação de software.

2) Desde que você não esteja extrapolando os limites do desempenho de encaminhamento do roteador, você está realmente falando < 1 ms

Se você precisa rotear 200mbps de tráfego, então você vai precisar de um 3560 ou algo para rotear entre os segmentos das outras conexões cruzadas que pousam em sua jaula versus os servidores em sua gaiola.

3) Nenhuma - roteadores e switches (simples, não de segurança 'new' ou 'enhanced') não se importam com IPs públicos vs privados.

Eu sugiro um 3560 e, em seguida, algum dispositivo que possa finalizar uma VPN para que você fique "dentro" da rede.

    
por 01.08.2011 / 18:32

Tags