Welches Gerät/System soll als „Router on a Stick“ verwendet werden?

Welches Gerät/System soll als „Router on a Stick“ verwendet werden?

Ich muss mehrere unterschiedliche VLANs erstellen und eine Möglichkeit für den Datenverkehr zwischen ihnen bereitstellen. Ein „Router on a Stick“-Ansatz scheint ideal:

                                Internet
                                   |
                      Router mit Trunking-Funktion („Router on a Stick“)
                                   *
                                   * Trunk zwischen Router und Switch
                                   *
                      Switch mit Trunking-Funktion
                       | | | | |
                       | | | | |
                       | LAN 2 | LAN 4 |
                       | 10.0.2.0/24 | 10.0.4.0/24 |
                       | | |
                     LAN 1 LAN 3 LAN 5
                  10.0.1.0/24 10.0.3.0/24 10.0.5.0/24

Wir haben trunkfähige Layer-2-Switches. Die Frage ist, was wir als Router auf einem Stick verwenden sollen. Meine Auswahl scheint zu sein:

  1. Verwenden Sie eine vorhandene Cisco 5505 ASA-Firewall. Es scheint, dass die ASA das Routing durchführen kann, aber es ist ein 100-MBit/s-Gerät und scheint daher bestenfalls suboptimal zu sein
  2. Kaufen Sie einen Router. Das scheint übertrieben.
  3. Kaufen Sie einen Layer-3-Switch. Scheint auch übertrieben.
  4. Eine vorhandene, gemeinsam genutzte Linux-Box als Router verwenden (z. B. den NIS-Server)
  5. Verwenden Sie eine dedizierte Linux-Box als Router
  6. Etwas, woran ich nicht denke

Ich denke, entweder (4) oder (5) ist meine beste Option, aber ich bin mir nicht sicher, welche ich wählen soll. Ich gehe davon aus, dass die Menge des Datenverkehrs, der die VLANs passieren muss, eher gering, aber stoßweise sein wird. Wie viel Last fügt das Routing einer CentOS-Maschine hinzu?

Antwort1

Option 1 ist gut, weil:

  1. ASA-Hardware ist sehr zuverlässig und wenn Sie ein Zusatzmodul wie CSC haben, erhalten Sie Virenschutz zwischen LANs (nur für HTTP/FTP/SMTP/POP3).
  2. Wenn Sie ASA verwenden, reduzieren Sie Fehlerquellen und sind bereits mit der ASA-Firewall-Syntax vertraut.

Option 2 und 3 sind aufgrund der Mehrkosten nicht wünschenswert.

Option 4 und 5 sind beide in Ordnung. Wenn Ihr NIS-Server die meiste Zeit aktiv bleibt und keine Änderungen erforderlich sind. Wenn Sie den NIS-Server für das Inter-VLAN-Routing verwenden, funktioniert das Netzwerk nicht mehr, wenn Sie den Server zur Wartung neu starten. Wenn der NIS-Server nicht zuverlässig ist oder häufige Neustarts erfordert, ist ein dedizierter Server besser. Hängt wiederum davon ab, wie viel die Kosten eines zusätzlichen Servers ausmachen.

Mit Option 4 und 5 können Sie grundlegende Firewall-Regeln in iptables festlegen, wenn Sie nur bestimmte Arten von Inter-VLAN-Verkehr zulassen möchten. Sie können Pakete auch mit tcpdump/wireshark erfassen und bei Problemen analysieren. Ein Linux-Rechner als Hauptrouter wäre ideal für Leute, die Netzwerkdiagnose durch Erfassen und Analysieren von Paketen erlernen möchten. Sie können auf diesem Rechner auch einen DHCP-Server ausführen. Da Sie keinen Layer-3-Switch haben, können Sie keine „IP-Hilfsadresse“ angeben. Dies ist also die einzige Möglichkeit, einen zentralisierten DHCP-Server ohne L3-Switch zu haben.

Antwort2

Ich würde entweder 1 oder 5 vorschlagen, wobei 1 vorzuziehen ist. Die Cisco ASA sollte selbst mit der 100-Mbit/s-Schnittstelle in der Lage sein, das Routing zwischen Ihren VLANs zu handhaben. Wenn Sie nicht viel Verkehr über VLANs erwarten, warum glauben Sie dann, dass sie diese Last nicht bewältigen kann? Ist die aktuelle CPU-/Speicherauslastung der ASA so hoch? Welche Art von Internetverbindung haben Sie?

Der Grund, warum ich die Verwendung Ihres vorhandenen ASA vorschlagen würde: 1. Sie müssen keine neue Hardware kaufen oder vorhandene Hardware neu bereitstellen. 2. Reduziert die Anzahl potenzieller Fehlerquellen. Ja, jetzt hängt alles vom ASA ab, aber das ist besser, als sich um den ASA und einen dedizierten Linux-Server kümmern zu müssen, der als Router fungiert. Sie könnten in Zukunft einfach ein weiteres ASA kaufen und HA einrichten.

Antwort3

Ich würde ein dediziertes Gerät verwenden – entweder einen Layer-3-Switch, einen Router oder einen dedizierten Standard-PC.

Das Beste an der Verwendung eines dedizierten Geräts ist, dass Sie Ihr Intra-VLAN-Routing nicht aufgrund regelmäßiger Wartungsereignisse wie Patches/Neustarts von Servercomputern verlieren. Eine ausreichend abgespeckte Linux- oder OpenBSD-Installation, auf der keine unnötigen Dienste ausgeführt werden, erfordert nur sehr wenige regelmäßige Patches und Neustarts (ähnlich wie bei den meisten speziell entwickelten eingebetteten Geräten), und Sie können weniger flüchtige Speichertechnologien als Festplattenlaufwerke verwenden, z. B. Booten von Flash- oder optischen Medien.

Anstatt mich auf handelsübliche Benchmarks zu verlassen, würde ich einige interne Tests mit den Arten und Mengen von Datenverkehr durchführen, die Sie voraussichtlich bewegen werden. Insbesondere in einem Szenario mit gemeinsam genutztem Server/Router werden die Art der vorhandenen Arbeitslast Ihres jeweiligen Servercomputers und die NIC-Treiber eine große Rolle für die Leistung spielen.

Aus meiner Erfahrung weiß ich, dass Sie bei anderen Aufgaben eines leicht ausgelasteten Servercomputers keine spürbaren Leistungseinbußen erwarten würden, wenn dieser kleinen, stoßweise Routing-Datenverkehr verarbeiten würde. Ihre Ergebnisse können jedoch abweichen und Sie sollten es ausprobieren und sehen.

verwandte Informationen