networkingconfiguration/齿轮问题

我的任务是在数据中心build立一个相当简单的机架（我们甚至不需要整个机架，但这是最小的分配）。 简而言之，4到6台服务器需要能够达到2个（也许3个）供应商。 服务器需要通过互联网连接。

详细一点 – 服务器需要到达的networking在数据中心内部，并且是“可信”的。 这些networking的连接将通过数据中心交叉连接来实现。 这就像一条生产线，我们从一个供应商那里接收数据（突发能力高达200兆比特），在服务器上通过它，然后向另一个供应商发送数据（突发高达20兆比特）。 这一系列事件对延迟非常敏感，所以通常不要在这些段上使用NAT或防火墙（或者我听到）。

要通过互联网访问服务器，我打算使用站点到站点VPN。 （这个部分只是硬件select相关的）。

我有两种configuration：

• SSH断开连接问题 – TCP RST数据包
• CRC Checksum mismatch将大文件传输到NAS
• 非现场networking/数据中心进行灾难恢复
• SLES 10 SP1 domU eth0在引导时未启动
• 模拟通用企业内部网

1. Cisco 2911（2921）（带有额外的WAN端口模块）和一个第2层交换机 – 在这种情况下，我将使用路由器也用于VPN。
2. 思科3560三层交换机将数据中心内部的networking和ASA 5510（这是完全过度的，但5505不是机架安装的）作为万方（互联网）和VPN的防火墙互连。 我想设置如下：

互联网 – > ASA – > 3560

供应商 – > 3560 – >服务器

总体思路是，ASA充当防火墙和VPN设备，3560完成所有繁重工作。

首先是一个相当传统的设置，但我关心的是性能。 第二个是有点不正规的，因为厂商直接连接到第三层交换机而不通过防火墙。 然而根据我的理解，第三层交换机的性能会比硬件（ASIC）和软件交换更好。 （请注意，数字2略高于预算，但不可行（双重否定，呃））

由于这是我第一次处理数据中心，所以我不确定IP空间是怎么样的。 我怀疑我会保留一个公共IP地址的块，将它们分别映射到供应商连接和服务器的各个接口（当然不能从WAN端访问），并在交换机上设置路由。

所以这里是我的问题：

1. 1和2之间是否存在显着的性能差异，即基于硬件的第3层切换与2911上的软件切换？ 我曾经在互联网上find了很多思科的文献，但没有任何可以用来处理的思想。
2. 我们连接到的供应商是安全和可信的（着名的遗言），据我所知，通常的做法是不NAT或防火墙这些连接（由于上述延迟敏感性）。 但是，如果我通过路由器（甚至ASA）推送数据，我们究竟在讨论什么types的延迟？ 为了我们的目的，5毫秒不会杀了我们，20或30可以是非常昂贵的。 其他的测量在微秒，但他们已经不在我们的联盟。
3. 在第3层交换机上使用公共IP有任何问题吗？

我当然不会与这些configuration中的任何一个结婚，而且我完全接受任何想法。 我的知识（和我使用的术语松散）主要来自书籍，所以我欢迎任何build议/见解。

提前致谢。