Мне нужно создать несколько отдельных VLAN и предоставить возможность трафику перемещаться между ними. Подход «маршрутизатор на палке» кажется идеальным:
Интернет
|
Маршрутизатор с возможностью транкинга («маршрутизатор на палочке»)
*
* Канал между маршрутизатором и коммутатором
*
Коммутатор с возможностью транкинга
| | | | |
| | | | |
| ЛВС 2 | ЛВС 4 |
| 10.0.2.0/24 | 10.0.4.0/24 |
| | |
Локальная сеть 1 Локальная сеть 3 Локальная сеть 5
10.0.1.0/24 10.0.3.0/24 10.0.5.0/24
У нас есть коммутаторы Layer-2 с возможностью подключения к магистрали. Вопрос в том, что использовать в качестве маршрутизатора на палке. Мой выбор, похоже, такой:
- Используйте существующий межсетевой экран Cisco 5505 ASA. Похоже, что ASA может выполнять маршрутизацию, но это устройство на 100 Мбит/с, и поэтому в лучшем случае кажется неоптимальным
- Купите роутер. Это кажется излишеством.
- Купите коммутатор Layer-3. Тоже кажется излишеством.
- Использовать существующий общий Linux Box в качестве маршрутизатора (например, NIS-сервер)
- Используйте выделенный Linux-бокс в качестве маршрутизатора
- Что-то, о чем я не думаю.
Я думаю, что (4) или (5) — мой лучший вариант, но я не уверен, как выбрать между ними. Я ожидаю, что объем трафика, который должен пройти через VLAN, будет довольно небольшим, но неравномерным. Какую нагрузку маршрутизация добавляет к машине CentOS?
решение1
Вариант 1 хорош тем, что:
- Аппаратное обеспечение ASA очень надежно, и если у вас есть дополнительный модуль, такой как CSC, то вы получаете антивирусную защиту между локальными сетями (только для HTTP/FTP/SMTP/POP3).
- Если вы используете ASA, вы сокращаете количество точек отказа, и вы уже знакомы с синтаксисом межсетевого экрана ASA.
Варианты 2 и 3 нежелательны из-за высоких накладных расходов.
Варианты 4 и 5 оба подходят. Если ваш сервер NIS работает большую часть времени и не требует настройки. Если вы используете сервер NIS для маршрутизации interVLAN, то всякий раз, когда вы перезагружаете сервер для обслуживания, сеть перестает работать. Если сервер NIS ненадежен или требует частых перезагрузок, то лучше использовать выделенный сервер. Опять же, все зависит от того, насколько важна стоимость одного дополнительного сервера.
Варианты 4 и 5 позволят вам поместить основные правила брандмауэра в iptables, если вы хотите разрешить только определенный тип трафика interVLAN. Вы также можете захватывать пакеты с помощью tcpdump/wireshark и анализировать их в случае возникновения проблем. Наличие машины Linux в качестве основного маршрутизатора было бы раем для людей, которые хотят изучить диагностику сети, захватывая и анализируя пакеты. Вы также можете запустить DHCP-сервер на этой машине, поскольку у вас нет коммутатора уровня 3, вы не можете указать «ip helper-address», поэтому это единственный способ иметь централизованный DHCP-сервер без коммутатора уровня 3.
решение2
Я бы предложил 1 или 5, причем 1 предпочтительнее. Cisco ASA даже с интерфейсом 100 Мбит/с должен быть в состоянии обрабатывать маршрутизацию между вашими vlan. Если вы не ожидаете большого трафика через vlan, то почему вы считаете, что он не сможет справиться с этой нагрузкой? Текущее использование процессора/памяти на ASA настолько высоко? Какой тип интернет-подключения у вас?
Причина, по которой я бы рекомендовал использовать существующий ASA: 1. Не нужно покупать новое оборудование или переустанавливать текущее. 2. Уменьшает количество потенциальных точек отказа. Да, теперь все зависит от ASA, но это предпочтительнее, чем беспокоиться об ASA и выделенном сервере Linux, работающем в качестве маршрутизатора. Вы можете просто купить еще один ASA в будущем и настроить HA.
решение3
Я бы использовал выделенное устройство — либо коммутатор 3-го уровня, маршрутизатор, либо выделенный ПК общего назначения.
Самое приятное в использовании выделенного устройства — это то, что вы не теряете маршрутизацию внутри VLAN из-за регулярных событий обслуживания, таких как исправления/перезагрузки серверного компьютера. Достаточно урезанная установка Linux или OpenBSD, не запускающая ненужных служб, потребует очень мало регулярных исправлений и перезагрузок (как и большинство специализированных встраиваемых устройств), и вы можете использовать менее энергозависимые технологии хранения, чем жесткие диски, например, загрузку с флэш-памяти или оптических носителей.
Вместо того, чтобы полагаться на какие-либо готовые бенчмарки, я бы провел внутреннее тестирование с типами и объемами трафика, которые вы ожидаете перемещать. Особенно в сценарии с общим сервером/маршрутизатором, характер существующей рабочей нагрузки вашего конкретного серверного компьютера и драйверы NIC будут играть большую роль в производительности.
Мой предыдущий опыт показывает, что вы не ожидаете увидеть заметного снижения производительности для других задач слабо загруженного серверного компьютера, если он обрабатывает небольшой, прерывистый трафик маршрутизации. YMMV, однако, и вы должны протестировать это и посмотреть.