服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 基本的防火墙,交换机和路由器设备?
Intereting Posts
有关丢失的SSH密钥的理论情况 无法结合RewriteRule和标题集 RewriteEngine追加/%25 /到我的目录http-> https 只允许某些发件人使用Exchange的电子邮件地址? 403尽pipeFollowSymLinks已启用,但仍处于禁用状态 debuggingJBoss 100%的CPU使用率 什么是星型查询优化? SQL Server相关的perfmon计数器在远程机器上移植0 RewriteRule将请求传递给index.php 通过SSL保护主机 使用来自linux的OSX主目录 debian 6丢失了大量的数据包 IIS重写基于语言的规则和默认语言 Ramnode被黑客利用SolusVM零日攻击(我应该怎么做?) gentoo zlib删除= portage损坏

基本的防火墙,交换机和路由器设备?

我是一个开发人员,并没有多年处理服务器pipe理员或networking,所以“生锈”是非常慷慨的。 我正在build立一个新的Web服务器集群(从两个1U Web服务器和一个DB服务器开始)。 由于我几年没有这样做,我不知道今天有什么select。

我想在一个设备中的所有:

  • 小型,基本千兆比特交换机
  • 小型的基本防火墙
  • 小,基本的路由器/ DHCP /网关
  • 小型,基本的VPN访问
  • 适合1U空间

我可以设置一个简单的网页界面,然后忘记 – 在家庭路由器设备上方2步,我想。

编辑:从系统pipe理员的最初反应往往是“没有办法”,因为对他们来说,做这一切的设备通常是废话。 请意识到我的目的,这是目前确定。 我的设置(和预算)只是不够大,足以certificate这些东西真的很好 。 我只是需要一些这样做的东西。

build议?

以下是我的build议:

  1. 远离Linksys的消费者路由器(甚至把DD-WRT放在它上面等等),不惜一切代价为任何服务器场景,在负载和更高级的场景(VPN等)下都会变得脆弱,而且我还有一堆死亡/砖块。 他们是为家庭使用,你应该保持这种方式。
  2. 将交换机与防火墙/网关分开。 一个消费者/消费者千兆交换机可能会很好(即一个NETGEAR 5端口)。 在你所要求的设置中,简单高效更好 – 将服务器放在一个简单快速的第2层交换机上,为您提供坚实而简单的骨干,一些防火墙或多function一体机将增加额外的开销在这里你不需要的交换机端口和/或第三层function。
  3. 对于防火墙/ DHCP /网关/ VPN – 一些Cisco all-in-one的function非常强大,但是可能比您想要的function更多,更具企业性。 查看Juniper SSG-5。 这些曾经是Netscreen NS5-GT,直到Juniper购买了Netscreen。 我认为SSG-5的售价大约是600美元,如果你想要的话,你可以在200美元以下findeBay Netscreen NS5-GT,并确保你find了“Unlimited User”版本。
  4. VPN – Juniper / Netscreen将执行VPN,但您需要Netscreen客户端软件。 或者,您可以在Windows服务器上设置“路由和远程访问”,以便使用简单的PPTP VPN,而无需使用任何客户端软件。 如果你想更进一步的“使其工作”,使用LogMeIn中的Hamachi,效果很好。
  5. 在Windowsnetworking负载平衡 – 这工作正常,但在某些情况下,不能很好地与思科第三层路由(因为它依靠ARPcaching一些魔术技巧跨服务器共享一个IPv4地址,思科设备视为一个必须停止的邪恶力量)。 所以,如果你去思科路由,请确保你正确configuration思科设备(有一堆文章)。

使用瞻博networking/ Netscreen + 5端口千兆交换机,您应该能够兼容1U,并且您将拥有一个简单,快速和可靠的基础架构,如果您需要它,可以执行一些相当先进的任务。

希望有所帮助!

PS /编辑: – 几个人推荐Vyatta,Linux等:这些都不是坏的解决scheme,(也是,Untangle.com产品看起来像它有潜力),我用它们,并喜欢他们的办公室端点路由器..但是我不推荐这种types的解决scheme,因为这是一个应用程序托pipescheme; 原则上,在通用硬件上运行的模块化软件背后的想法是将所有通常“昂贵”的function都挤在最具成本效益和最低公分母的硬件上。 我认为这对于用户端点(家庭,办公室,分支机构VPN等)来说很好,但即使对于小型/基本的托pipescheme,我认为“数据中心”方面也保证专门devise的硬件与专门devise的固件相结合。

去看看Vyatta。 他们有一个非常全面的产品,使用Linux内核,提供诸如VPN,路由器,NAT,DNS转发,DHCP服务器等。www.vyatta.com或www.vyatta.org社区版本。 您可以在他们的设备,自己的硬件或虚拟机上运行它。 他们的514型号设备function齐全,支持RIPv2,OSPF和BGP,OpenVPN,IPSEC VPN等,价格低于800.00美元。

这个链接是相当令人印象深刻的: http : //www.vyatta.com/products/product_comparison.php

Linksys有一些体面的路由器,它们位于家庭路由器的上面,但是在路由器的下面是一个完整的路由器。 像WRV54G的东西。 它很小,支持IPSec VPN,是一个路由器,DHCP等,只有部分它不适合的是,它是100兆。 但是,要超过100兆,你将不得不推动大量的stream量。

这不是你的需求列表,而是两个Web服务器,我认为这是需要的,所以你需要find一些东西来处理这个问题。

我看到两种方式:

  1. 由Cisco路由器。 它可以做上面的所有事情,做的非常好,但花费$$
  2. 自己做。 购买1U服务器,放入网卡并设置BSD / Linux。 它可以做更多的事情+更多(即loadbalansing)

PS。 你真的需要一个吗? 可能分离路由器和交换机是可以接受的?

PPS。 添加到collections夹,如果你会find便宜的'酷酷的硬件。

我build议在SMB类别中使用Sonicwall设备 。 我已经pipe理了这些设备中的一些,但他们并没有让我失望。 接口比典型的Linksys要好一点。

我不会第一个build议只将它用作网关/ VPN /防火墙设备。 当然,所有重要的交换都需要由24端口设备完成。

要添加列表,我的个人偏好是Juniper SRX系列。

但只要你需要更多的端口使用真正的开关,不要添加模块。

我的NetGear ProSafe FVS338运气很好 。 NetGear也有一个千兆交换机 – FVS336G 。 200美元和300美元。

你所需要做的事情几乎没有,也没有打破银行。

ps我在这之后运行Windows NLB。 没什么大不了的 – 我什么都不用做。

OpenBSD对于设置防火墙特别好,因为它是“默认安全的”,这意味着如果你不制造它们,那么就没有漏洞。

另外,configuration本身非常简单,即使您深入了解NAT,IPsec VPN,…

当然,你必须知道任何盒子的联网(NAT意味着什么,IPsec的工作原理,端口,networking掩码等等)。

您可能对pfSense感兴趣。

如果你真的想要一个单一的盒子,可以做一个思科3750(或类似的交换机),它可以做基本的(确实是非常基本的)防火墙(访问列表,没有什么真正的幻想)和路由数据包。 不知道他们提供了什么程度的“简单”的VPNconfiguration,但你应该能够根据需要configurationIPSEC端点。

但是,说实话,你可能更好的做这些作为单独的盒子。