Necesito crear varias VLAN distintas y proporcionar una forma para que el tráfico se mueva entre ellas. Un enfoque de "enrutador en un dispositivo" parece ideal:
Internet
|
Enrutador con capacidad de enlace ("enrutador en un dispositivo")
*
*Troncal entre router y switch
*
Switch con capacidad de enlace troncal
| | | | |
| | | | |
| LAN 2 | LAN 4 |
| 10.0.2.0/24 | 10.0.4.0/24 |
| | |
LAN 1 LAN 3 LAN 5
10.0.1.0/24 10.0.3.0/24 10.0.5.0/24
Contamos con conmutadores de Capa 2 con capacidad troncal. La pregunta es qué usar como enrutador en un dispositivo. Mis opciones parecen ser:
- Utilice un firewall ASA Cisco 5505 existente. Parece que el ASA puede hacer el enrutamiento, pero es un dispositivo de 100 Mbps, por lo que, en el mejor de los casos, parece subóptimo.
- Compra un enrutador. Esto parece excesivo.
- Compre un conmutador de capa 3. También parece excesivo.
- Utilice una Linux Box compartida existente como enrutador (por ejemplo, el servidor NIS)
- Utilice una caja Linux dedicada como enrutador
- Algo en lo que no estoy pensando
Creo que (4) o (5) es mi mejor opción, pero no estoy seguro de cómo elegir entre ellas. Espero que la cantidad de tráfico que tiene que cruzar las VLAN sea algo pequeña, pero en ráfagas. ¿Cuánta carga agrega el enrutamiento a una máquina CentOS?
Respuesta1
La opción 1 es buena como:
- El hardware ASA es muy confiable y si tiene un módulo adicional como CSC, obtendrá protección antivirus entre LAN (solo para HTTP/FTP/SMTP/POP3).
- Si está utilizando ASA, reducirá los puntos de falla y ya estará familiarizado con la sintaxis del firewall de ASA.
Las opciones 2 y 3 no son deseables debido a los costos generales.
Las opciones 4 y 5 están bien. Si su servidor NIS permanece activo la mayor parte del tiempo y no requiere modificaciones. Si utiliza el servidor NIS para el enrutamiento entre VLAN, cada vez que reinicie el servidor para mantenimiento, la red dejará de funcionar. Si el servidor NIS no es confiable o requiere reinicios frecuentes, entonces es mejor un servidor dedicado. Nuevamente depende de cuánto importe el costo de un servidor adicional.
Las opciones 4 y 5 le permitirán poner reglas básicas de firewall en iptables si desea permitir solo cierto tipo de tráfico entre VLAN. También puede capturar paquetes usando tcpdump/wireshark y analizarlos en caso de problemas. Tener una máquina Linux como enrutador principal sería el paraíso para las personas que desean aprender a diagnosticar redes capturando y analizando paquetes. También puede ejecutar el servidor DHCP en esta máquina, ya que no tiene un conmutador de Capa 3 y no puede especificar 'dirección auxiliar IP', por lo que esta es la única forma de tener un servidor DHCP centralizado sin tener un conmutador L3.
Respuesta2
Yo sugeriría 1 o 5, siendo preferido 1. El Cisco ASA, incluso con la interfaz de 100 Mbps, debería poder manejar el enrutamiento entre sus VLAN. Si no espera mucho tráfico a través de VLAN, ¿por qué cree que no podrá manejar esta carga? ¿Es tan alto el uso actual de CPU/memoria en el ASA? ¿Qué tipo de conexión a Internet tienes?
La razón por la que sugeriría usar su ASA existente: 1. No es necesario comprar hardware nuevo ni volver a implementar el hardware actual. 2. Reduce el número de posibles puntos de fallo. Sí, ahora todo depende del ASA, pero es preferible tener que preocuparse por el ASA y un servidor Linux dedicado que actúa como enrutador. Podrías comprar otro ASA en el futuro y configurar HA.
Respuesta3
Usaría un dispositivo dedicado, ya sea un conmutador de capa 3, un enrutador o una PC básica dedicada.
Lo mejor de usar un dispositivo dedicado es que no pierde su enrutamiento intra-VLAN debido a eventos de mantenimiento regulares, como parches o reinicios de la computadora del servidor. Una instalación de Linux u OpenBSD suficientemente simplificada que no ejecute servicios innecesarios necesitará muy pocos parches y reinicios regulares (al igual que la mayoría de los dispositivos integrados especialmente diseñados), y puede utilizar tecnologías de almacenamiento menos volátiles que las unidades de disco duro, como arrancar desde un medio flash o óptico.
En lugar de confiar en puntos de referencia disponibles, haría algunas pruebas internas con los tipos y cantidades de tráfico que espera que se muevan. Particularmente en un escenario de servidor/enrutador compartido, el carácter de la carga de trabajo existente de su computadora servidor en particular y los controladores NIC desempeñarán un papel importante en el rendimiento.
Mi experiencia previa sugiere que no se esperaría ver un impacto notable en el rendimiento de otras tareas de una computadora servidor con carga ligera si estuviera procesando tráfico de enrutamiento pequeño y en ráfagas. YMMV, sin embargo, deberías probarlo y ver.