「スティック型ルーター」として使用するデバイス/システム

「スティック型ルーター」として使用するデバイス/システム

複数の異なる VLAN を作成し、それらの間でトラフィックを移動する方法を提供する必要があります。「スティック上のルータ」アプローチが理想的です。

                                インターネット
                                   |
                      トランキング機能付きルーター(「スティック型ルーター」)
                                   *
                                   * ルータとスイッチ間のトランク
                                   *
                      トランキング機能付きスイッチ
                       | | | | |
                       | | | | |
                       | LAN 2 | LAN 4 |
                       | 10.0.2.0/24 | 10.0.4.0/24 |
                       | | |
                     LAN 1 LAN 3 LAN 5
                  10.0.1.0/24 10.0.3.0/24 10.0.5.0/24

トランク対応のレイヤー 2 スイッチがあります。問題は、スティック上のルータとして何を使用するかです。私の選択肢は次のようになります。

  1. 既存の Cisco 5505 ASA ファイアウォールを使用します。ASA はルーティングを実行できるようですが、100Mbps のデバイスなので、せいぜい最適とは言えません。
  2. ルーターを購入してください。これはやりすぎのようです。
  3. レイヤー 3 スイッチを購入します。これもやりすぎのようです。
  4. 既存の共有 Linux ボックスをルーターとして使用する (例: NIS サーバー)
  5. 専用のLinuxボックスをルーターとして使用する
  6. 考えていないこと

(4) または (5) が最良の選択肢だと思いますが、どちらを選択すればよいかわかりません。VLAN を通過するトラフィックの量は多少少ないものの、バースト性があると予想しています。ルーティングによって CentOS マシンにどの程度の負荷がかかりますか?

答え1

オプション 1 は次の点で優れています。

  1. ASA ハードウェアは非常に信頼性が高く、CSC などのアドオン モジュールがあれば、LAN 間のウイルス対策保護が得られます (HTTP/FTP/SMTP/POP3 のみ)。
  2. ASA を使用している場合は障害ポイントが減り、ASA ファイアウォール構文にすでに精通しているはずです。

オプション 2 と 3 は、コストがかかることから望ましくありません。

オプション 4 と 5 はどちらも問題ありません。NIS サーバーがほとんどの時間稼働していて、調整が必要ない場合。インター VLAN ルーティングに NIS サーバーを使用する場合、メンテナンスのためにサーバーを再起動するたびに、ネットワークが機能しなくなります。NIS サーバーが信頼できないか、頻繁に再起動する必要がある場合は、専用サーバーの方が適しています。これも、1 台のサーバーの追加にかかるコストがどの程度重要かによって異なります。

オプション 4 と 5 を使用すると、特定のタイプの VLAN 間トラフィックのみを許可する場合に、iptables に基本的なファイアウォール ルールを設定できます。また、tcpdump/wireshark を使用してパケットをキャプチャし、問題が発生した場合に分析することもできます。Linux マシンをメイン ルーターとして使用すると、パケットをキャプチャして分析することでネットワーク診断を学習したい人にとっては最適です。このマシンで DHCP サーバーを実行することもできます。レイヤー 3 スイッチがないため、「ip helper-address」を指定できないため、これが L3 スイッチを使用せずに集中型 DHCP サーバーを設定する唯一の方法です。

答え2

1 または 5 をお勧めしますが、1 が望ましいです。Cisco ASA は、100Mbps インターフェイスでも、VLAN 間のルーティングを処理できるはずです。VLAN 間で大量のトラフィックが発生すると予想されない場合、なぜこの負荷を処理できないと思うのですか? ASA の現在の CPU/メモリ使用率はそれほど高いのですか? どのようなタイプのインターネット接続を使用していますか?

既存の ASA の使用を推奨する理由: 1. 新しいハードウェアを購入したり、現在のハードウェアを再展開したりする必要はありません。 2. 潜在的な障害点の数を減らします。 はい、現在はすべて ASA に依存していますが、ASA とルーターとして機能する専用の Linux サーバーについて心配するよりも、その方が望ましいです。 将来、別の ASA を購入して HA をセットアップすることもできます。

答え3

専用のデバイス(レイヤー 3 スイッチ、ルーター、または専用の汎用 PC のいずれか)を使用します。

専用デバイスを使用する最大の利点は、サーバー コンピューターのパッチ適用や再起動などの定期的なメンテナンス イベントによって、VLAN 内ルーティングが失われないことです。不要なサービスを実行していない、十分に簡素化された Linux または OpenBSD インストールでは、定期的なパッチ適用や再起動はほとんど必要ありません (ほとんどの専用組み込みデバイスと同様)。また、フラッシュや光学メディアからのブートなど、ハード ディスク ドライブよりも揮発性の低いストレージ テクノロジを使用できます。

既製のベンチマークに頼るのではなく、予想されるトラフィックの種類と量で社内テストを実施することをお勧めします。特に共有サーバー/ルーターのシナリオでは、特定のサーバー コンピューターの既存のワークロードと NIC ドライバーの特性がパフォーマンスに大きな役割を果たします。

私のこれまでの経験からすると、負荷の軽いサーバー コンピューターが小規模でバースト的なルーティング トラフィックを処理している場合、他の作業でパフォーマンスに顕著な影響が出るとは考えられません。ただし、結果は人によって異なるため、実際にテストして確認する必要があります。

関連情報