Preciso criar várias VLANs distintas e fornecer uma maneira de o tráfego circular entre elas. Uma abordagem de "roteador portátil" parece ideal:
Internet | Roteador com capacidade de trunking ("roteador em um stick") * * Tronco entre roteador e switch * Switch com capacidade de trunking | | | | | | | | | | | LAN2 | LAN4 | | 10.0.2.0/24 | 10.0.4.0/24 | | | | LAN 1 LAN 3 LAN 5 10.0.1.0/24 10.0.3.0/24 10.0.5.0/24
Temos switches Layer-2 com capacidade de tronco. A questão é o que usar como roteador em um stick. Minhas escolhas parecem ser:
- Use um firewall Cisco 5505 ASA existente. Parece que o ASA pode fazer o roteamento, mas é um dispositivo de 100 Mbps e, portanto, parece abaixo do ideal, na melhor das hipóteses
- Compre um roteador. Isso parece um exagero.
- Compre um switch Layer-3. Também parece um exagero.
- Use uma Linux Box compartilhada existente como roteador (por exemplo, o servidor NIS)
- Use uma caixa Linux dedicada como roteador
- Algo em que não estou pensando
Acho que (4) ou (5) é minha melhor opção, mas não sei como escolher entre elas. Espero que a quantidade de tráfego que precisa cruzar as VLANs seja um pouco pequena, mas em rajadas. Quanta carga o roteamento adiciona a uma máquina CentOS?
Responder1
A opção 1 é boa como:
- O hardware ASA é muito confiável e se você tiver um módulo complementar como CSC, você obterá proteção antivírus entre LANs (somente para HTTP/FTP/SMTP/POP3).
- Se você estiver usando o ASA, você reduzirá os pontos de falha e já estará familiarizado com a sintaxe do firewall ASA.
As opções 2 e 3 não são desejáveis devido aos custos indiretos.
As opções 4 e 5 estão ok. Se o seu servidor NIS permanecer ativo a maior parte do tempo e não precisar de ajustes. Se você usar o servidor NIS para roteamento entre VLANs, sempre que reinicializar o servidor para manutenção, a rede irá parar de funcionar. Se o servidor NIS não for confiável ou exigir reinicializações frequentes, então o servidor dedicado é melhor. Novamente, depende de quanto o custo de um servidor adicional é importante.
As opções 4 e 5 permitirão que você coloque regras básicas de firewall no iptables se desejar permitir apenas determinado tipo de tráfego entre VLANs. Você também pode capturar pacotes usando tcpdump/wireshark e analisar em caso de problemas. Ter uma máquina Linux como roteador principal seria um paraíso para quem deseja aprender diagnóstico de rede capturando e analisando pacotes. Você também pode executar o servidor DHCP nesta máquina, como não possui o switch da Camada 3, você não pode especificar 'ip helper-address', portanto, esta é a única maneira de ter um servidor DHCP centralizado sem ter um switch L3.
Responder2
Eu sugeriria 1 ou 5, sendo 1 o preferido. O Cisco ASA, mesmo com a interface de 100 Mbps, deve ser capaz de lidar com o roteamento entre suas vlans. Se você não espera muito tráfego entre vlans, por que acha que não será capaz de lidar com essa carga? O uso atual de CPU/mem no ASA é tão alto? Que tipo de conexão com a Internet você tem?
A razão pela qual eu sugeriria usar seu ASA existente: 1. Não é necessário comprar novo hardware ou reimplantar o hardware atual. 2. Reduz o número de possíveis pontos de falha. Sim, agora tudo depende do ASA, mas é preferível ter que se preocupar com o ASA e um servidor Linux dedicado atuando como roteador. Você poderia simplesmente comprar outro ASA no futuro e configurar o HA.
Responder3
Eu usaria um dispositivo dedicado - um switch de camada 3, roteador ou PC dedicado.
A melhor coisa sobre o uso de um dispositivo dedicado é que você não perde seu roteamento intra-VLAN devido a eventos regulares de manutenção, como patches/reinicializações do computador do servidor. Uma instalação Linux ou OpenBSD suficientemente simplificada, sem executar serviços desnecessários, precisará de muito pouco em termos de patches e reinicializações regulares (não muito diferente da maioria dos dispositivos embarcados especialmente desenvolvidos), e você pode usar tecnologias de armazenamento menos voláteis do que unidades de disco rígido, como inicialize a partir de mídia flash ou óptica.
Em vez de confiar em quaisquer benchmarks prontos para uso, eu faria alguns testes internos com os tipos e quantidades de tráfego que você espera movimentar. Particularmente em um cenário de servidor/roteador compartilhado, o caráter da carga de trabalho existente do seu computador servidor específico e dos drivers NIC desempenhará um grande papel no desempenho.
Minha experiência anterior sugere que você não esperaria ver uma queda perceptível no desempenho de outras tarefas de um computador servidor com carga leve se ele estivesse processando tráfego de roteamento pequeno e intermitente. YMMV, porém, e você deveria testá-lo e ver.