Que dispositivo / sistema usar como um “roteador no palito”

1

Eu preciso criar várias VLANs distintas e fornecer uma maneira de o tráfego se mover entre elas. Uma abordagem "roteador em um palito" parece ideal:


                                Internet
                                   |
                      Router with Trunking Capability ("router on a stick")
                                   *
                                   *  Trunk between router and switch
                                   *
                      Switch with Trunking Capability
                       |      |       |      |      |
                       |      |       |      |      |
                       |    LAN 2     |    LAN 4    |
                       | 10.0.2.0/24  | 10.0.4.0/24 |
                       |              |             |
                     LAN 1          LAN 3         LAN 5
                  10.0.1.0/24    10.0.3.0/24   10.0.5.0/24

Temos switches Layer-2 compatíveis com tronco. A questão é o que usar como o roteador em uma vara. Minhas escolhas parecem ser:

  1. Use um firewall Cisco 5505 ASA existente. Parece que o ASA pode fazer o roteamento, mas é um dispositivo de 100 Mbps, e assim parece sub-ótimo na melhor das hipóteses
  2. Compre um roteador. Isso parece um exagero.
  3. Compre um switch de camada 3. Também parece um exagero.
  4. Use um Linux Box existente e compartilhado como um roteador (por exemplo, o servidor NIS)
  5. Use uma caixa Linux dedicada como roteador
  6. Algo em que não estou pensando

Acho que (4) ou (5) é a minha melhor opção, mas não sei como escolher entre elas. Espero que a quantidade de tráfego que tem que atravessar as VLANs seja um pouco pequena, mas com rajadas. Quanta carga o roteamento adiciona a uma máquina do CentOS?

    
por Jeff Leyser 07.06.2010 / 01:16

3 respostas

1

A opção 1 é boa como:

  1. O hardware ASA é muito confiável e, se você tiver um módulo complementar como o CSC, obterá proteção antivírus entre LANs (Apenas para HTTP / FTP / SMTP / POP3).
  2. Se você estiver usando o ASA, reduz os pontos de falha e já estaria familiarizado com a sintaxe do firewall ASA.

As opções 2 e 3 não são desejáveis devido ao custo acima da cabeça.

As opções 4 e 5 estão bem. Se o seu servidor NIS permanece ativo a maior parte do tempo e não requer ajustes. Se você usar o servidor NIS para roteamento interVLAN, sempre que reiniciar o servidor para manutenção, a rede parará de funcionar. Se o servidor NIS não for confiável ou exigir reinicializações frequentes, o servidor dedicado será melhor. Novamente, depende de quanto custa um servidor adicional é importante.

As opções 4 e 5 permitem que você coloque regras básicas de firewall no iptables, se você quiser permitir apenas um determinado tipo de tráfego interVLAN. Você também pode capturar pacotes usando tcpdump / wireshark e analisar em caso de problemas. Ter uma máquina Linux como roteador principal seria o paraíso para pessoas que desejam aprender diagnósticos de rede capturando e analisando pacotes. Você também pode executar o servidor DHCP nesta máquina, desde que você não tenha a opção de Camada 3, você não pode especificar 'ip helper-address', então esta é a única forma de ter um servidor DHCP centralizado sem ter um switch L3.

    
por 07.06.2010 / 11:35
2

Eu sugeriria 1 ou 5, sendo 1 preferido. O Cisco ASA, mesmo com a interface de 100 Mbps, deve ser capaz de lidar com o roteamento entre suas vlans. Se você não espera muito tráfego nas vlans, por que acha que não conseguirá lidar com essa carga? O atual uso de cpu / mem no ASA é tão alto? Que tipo de conexão com a Internet você tem?

A razão pela qual sugiro usar seu ASA existente: 1. Não precisa adquirir novo hardware ou reimplantar o hardware atual. 2. Reduz o número de possíveis pontos de falha. Sim, agora tudo depende do ASA, mas isso é preferível ao invés de ter que se preocupar com o ASA e um servidor Linux dedicado agindo como um roteador. Você poderia comprar outro ASA no futuro e configurar o HA.

    
por 07.06.2010 / 01:59
1

Eu usaria um dispositivo dedicado - um switch de camada 3, um roteador ou um PC dedicado.

A melhor coisa sobre o uso de um dispositivo dedicado é que você não perde seu roteamento intra-VLAN devido a eventos de manutenção regulares, como patches / reinicializações do computador servidor. Uma instalação Linux ou OpenBSD suficientemente reduzida, sem serviços desnecessários, precisará de muito pouco em termos de correção e reinicialização regulares (não muito diferente da maioria dos dispositivos incorporados criados especificamente), e você pode usar tecnologias de armazenamento menos voláteis do que discos rígidos, como inicializar a partir de mídia flash ou óptica.

Em vez de depender de benchmarks disponíveis no mercado, eu faria alguns testes internos com os tipos e quantidades de tráfego que você espera se movimentar. Particularmente em um cenário de servidor / roteador compartilhado, o caractere da carga de trabalho e dos drivers de NIC do seu computador servidor em particular desempenharão um grande papel no desempenho.

Minha experiência anterior sugere que você não esperaria ver um impacto notável no desempenho de outras tarefas de um computador servidor levemente carregado se estivesse processando tráfego de roteamento pequeno e em rajadas. YMMV, no entanto, e você deveria testá-lo e ver.

    
por 07.06.2010 / 01:59

Tags