我需要建立幾個不同的 VLAN,並提供一種方式讓流量在它們之間移動。 「棒上的路由器」方法似乎很理想:
網際網路
|
具有中繼功能的路由器(「棒上的路由器」)
*
* 路由器與交換器之間的中繼
*
具有集群功能的交換機
| | | | |
| | | | |
|區域網路2 |區域網路4 |
| 10.0.2.0/24 | 10.0.2.0/24 10.0.4.0/24 | 10.0.4.0/24
| | |
區域網路 1 區域網路 3 區域網路 5
10.0.1.0/24 10.0.3.0/24 10.0.5.0/24
我們有支援中繼的二層交換器。問題是用什麼作為棒上的路由器。我的選擇似乎是:
- 使用現有的 Cisco 5505 ASA 防火牆。 ASA 似乎可以進行路由,但它是 100Mbps 設備,因此充其量似乎不是最佳選擇
- 買個路由器。這似乎太過分了。
- 購買三層交換器。也顯得矯枉過正。
- 使用現有的共享 Linux Box 作為路由器(例如 NIS 伺服器)
- 使用專用的Linux盒子作為路由器
- 我沒有想到的事情
我認為(4)或(5)是我最好的選擇,但我不知道如何在它們之間進行選擇。我預計必須穿過 VLAN 的流量會稍微小一些,但會出現突發情況。路由會為 CentOS 機器增加多少負載?
答案1
選項 1 的優點是:
- ASA 硬體非常可靠,如果您有 CSC 等附加模組,那麼您可以在 LAN 之間獲得防毒保護(僅適用於 HTTP/FTP/SMTP/POP3)。
- 如果您使用 ASA,則可以減少故障點,並且您已經熟悉 ASA 防火牆語法。
由於成本開銷,選項 2 和 3 並不可取。
選項4和5都可以。如果您的 NIS 伺服器大部分時間都保持運作且不需要修補。如果您使用 NIS 伺服器進行 VLAN 間路由,那麼每當您重新啟動伺服器進行維護時,網路都會停止運作。如果 NIS 伺服器不可靠或需要頻繁重新啟動,則專用伺服器會更好。再次取決於一台額外伺服器的成本有多少。
如果您只想允許某些類型的 VLAN 間流量,選項 4 和 5 將允許您將基本防火牆規則放入 iptables 中。您也可以使用 tcpdump/wireshark 擷取封包並在出現問題時進行分析。對於那些想要透過捕獲和分析資料包來學習網路診斷的人來說,擁有一台 Linux 機器作為主路由器將是天堂。您也可以在本機上執行 DHCP 伺服器,因為您沒有第 3 層交換機,所以無法指定“ip helper-address”,因此這是在沒有第 3 層交換機的情況下擁有集中式 DHCP 伺服器的唯一方法。
答案2
我建議選擇 1 或 5,其中 1 是首選。即使具有 100Mbps 介面的 Cisco ASA 也應該能夠處理 VLAN 之間的路由。如果您不希望跨 VLAN 出現大量流量,那麼為什麼您覺得它無法處理這種負載? ASA 上目前的 cpu/mem 使用率是否那麼高?您使用什麼類型的網路連線?
我建議使用現有 ASA 的原因是: 1. 不需要購買新硬體或重新部署目前硬體。 2. 減少潛在故障點的數量。是的,現在一切都依賴 ASA,但這比不必擔心 ASA 和充當路由器的專用 Linux 伺服器要好。您將來只需購買另一個 ASA 並設定 HA。
答案3
我會使用專用設備-第 3 層交換器、路由器或專用商用 PC。
使用專用設備的最大好處是,您不會因為定期維護事件(例如伺服器電腦修補/重新啟動)而遺失 VLAN 內路由。一個足夠精簡的Linux 或OpenBSD 安裝,不運行不必要的服務,幾乎不需要定期修補和重新啟動(與大多數專用嵌入式設備不同),並且您可以使用比硬碟驅動器更少的易失性存儲技術,例如從快閃記憶體或光學媒體啟動。
我不會依賴任何現成的基準,而是對您期望移動的流量的類型和數量進行一些內部測試。特別是在共享伺服器/路由器場景中,特定伺服器電腦現有工作負載和 NIC 驅動程式的特性將對效能發揮重要作用。
我之前的經驗表明,如果輕負載伺服器電腦正在處理小型突發路由流量,那麼您不會期望看到它的其他任務的效能受到明顯影響。不過,YMMV,你應該測試一下看看。