"막대형 라우터"로 사용할 장치/시스템

"막대형 라우터"로 사용할 장치/시스템

여러 개의 개별 VLAN을 생성하고 트래픽이 VLAN 간에 이동할 수 있는 방법을 제공해야 합니다. "막대형 라우터" 접근 방식이 이상적입니다.

                                인터넷
                                   |
                      트렁킹 기능이 있는 라우터("막대형 라우터")
                                   *
                                   * 라우터와 스위치 사이의 트렁크
                                   *
                      트렁킹 기능이 있는 스위치
                       | | | | |
                       | | | | |
                       | 랜 2 | 랜 4 |
                       | 10.0.2.0/24 | 10.0.4.0/24 |
                       | | |
                     랜 1 랜 3 랜 5
                  10.0.1.0/24 10.0.3.0/24 10.0.5.0/24

트렁크 가능 Layer-2 스위치가 있습니다. 문제는 스틱의 라우터로 무엇을 사용할 것인가입니다. 내 선택은 다음과 같습니다.

  1. 기존 Cisco 5505 ASA 방화벽을 사용합니다. ASA가 라우팅을 수행할 수 있는 것으로 보이지만 100Mbps 장치이므로 기껏해야 차선책인 것 같습니다.
  2. 라우터를 구입하세요. 이건 너무 지나친 것 같아요.
  3. Layer-3 스위치를 구입하세요. 역시 과한 것 같습니다.
  4. 기존 공유 Linux Box를 라우터(예: NIS 서버)로 사용
  5. 전용 Linux 박스를 라우터로 사용
  6. 뭔가 내가 생각하고 있지 않은 것 같아

(4) 또는 (5) 중 하나가 최선의 선택이라고 생각하지만 둘 중 하나를 선택하는 방법을 잘 모르겠습니다. VLAN을 통과해야 하는 트래픽의 양은 다소 적지만 폭증할 것으로 예상됩니다. 라우팅은 CentOS 시스템에 얼마나 많은 로드를 추가합니까?

답변1

옵션 1은 다음과 같이 좋습니다.

  1. ASA 하드웨어는 매우 안정적이며 CSC와 같은 추가 모듈이 있는 경우 LAN 간 안티바이러스 보호 기능을 사용할 수 있습니다(HTTP/FTP/SMTP/POP3에만 해당).
  2. ASA를 사용하는 경우 실패 지점이 줄어들며 이미 ASA 방화벽 구문에 익숙할 것입니다.

옵션 2와 3은 비용 부담으로 인해 바람직하지 않습니다.

옵션 4와 5 모두 괜찮습니다. NIS 서버가 대부분의 시간 동안 작동하고 수정이 필요하지 않은 경우. InterVLAN 라우팅에 NIS 서버를 사용하는 경우 유지 관리를 위해 서버를 재부팅할 때마다 네트워크 작동이 중지됩니다. NIS 서버가 안정적이지 않거나 자주 재부팅해야 하는 경우 전용 서버가 더 좋습니다. 다시 한 대의 추가 서버 비용이 얼마나 중요한지에 따라 달라집니다.

옵션 4와 5를 사용하면 특정 유형의 InterVLAN 트래픽만 허용하려는 경우 iptables에 기본 방화벽 규칙을 넣을 수 있습니다. tcpdump/wireshark를 사용하여 패킷을 캡처하고 문제가 있는 경우 분석할 수도 있습니다. Linux 시스템을 메인 라우터로 사용하는 것은 패킷을 캡처하고 분석하여 네트워크 진단을 배우려는 사람들에게 천국이 될 것입니다. 레이어 3 스위치가 없기 때문에 'ip helper-address'를 지정할 수 없으므로 이 시스템에서 DHCP 서버를 실행할 수도 있습니다. 따라서 이것이 L3 스위치 없이 중앙 집중식 DHCP 서버를 보유할 수 있는 유일한 방법입니다.

답변2

나는 1 또는 5를 제안하고 1이 선호됩니다. 100Mbps 인터페이스를 갖춘 Cisco ASA는 VLAN 간의 라우팅을 처리할 수 있어야 합니다. VLAN을 통해 많은 트래픽이 발생할 것으로 예상하지 않는다면 왜 이 부하를 처리할 수 없다고 생각하십니까? ASA의 현재 CPU/mem 사용량이 그렇게 높습니까? 어떤 유형의 인터넷 연결을 사용하고 있나요?

기존 ASA 사용을 제안하는 이유: 1. 새 하드웨어를 구입하거나 현재 하드웨어를 재배포할 필요가 없습니다. 2. 잠재적인 실패 지점의 수를 줄입니다. 예, 이제 모든 것이 ASA에 의존하지만 ASA와 라우터 역할을 하는 전용 Linux 서버에 대해 걱정하는 것보다 선호됩니다. 나중에 다른 ASA를 구입하여 HA를 설정할 수도 있습니다.

답변3

저는 레이어 3 스위치, 라우터, 전용 상용 PC 등 전용 장치를 사용하겠습니다.

전용 장치를 사용할 때 가장 좋은 점은 서버 컴퓨터 패치/재부팅과 같은 정기적인 유지 관리 이벤트로 인해 VLAN 내 라우팅이 손실되지 않는다는 것입니다. 불필요한 서비스를 실행하지 않고 충분히 제거된 Linux 또는 OpenBSD 설치는 정기적인 패치 및 재부팅 방식이 거의 필요하지 않으며(대부분의 특수 목적 내장 장치와 다르지 않음) 하드 디스크 드라이브보다 휘발성이 덜한 저장 기술을 사용할 수 있습니다. 플래시 또는 광학 미디어에서 부팅합니다.

기성 벤치마크에 의존하기보다는 이동할 것으로 예상되는 트래픽 유형과 양에 대해 내부 테스트를 수행하겠습니다. 특히 공유 서버/라우터 시나리오에서는 특정 서버 컴퓨터의 기존 작업 부하와 NIC 드라이버의 특성이 성능에 큰 역할을 합니다.

내 이전 경험에 따르면 서버 컴퓨터가 소규모의 버스트 라우팅 트래픽을 처리하는 경우 부하가 적은 서버 컴퓨터의 다른 작업에 대한 성능이 눈에 띄게 저하될 것으로 예상하지 않습니다. 하지만 YMMV는 테스트해보고 확인해야 합니다.

관련 정보