Firewall básico, switch e dispositivo roteador? [fechadas]

Sou desenvolvedor e não lida com administração de servidores ou rede há anos, então "enferrujado" é muito generoso. Estou configurando um novo cluster de servidores Web (começando com dois servidores Web 1U e um servidor DB). Como não faço isso há alguns anos, não sei realmente quais opções estão disponíveis hoje.

Eu gostaria de tudo em um dispositivo:

• Chave pequena e básica de gbit
• Firewall pequeno e básico
• Roteador / DHCP / gateway pequeno e básico
• Acesso VPN pequeno e básico
• Cabe em um espaço de 1U

Algo simples com uma interface web mínima que posso configurar e depois esquecer - 2 etapas acima de um dispositivo roteador doméstico, suponho.

Edit: a reação inicial dos administradores de sistemas geralmente não é "de jeito nenhum" porque, para eles, os dispositivos que fazem tudo isso geralmente são uma porcaria. Perceba, para os meus propósitos, que atualmente está OK. Minha configuração (e orçamento) não são grandes o suficiente para justificar equipamentos dedicados que fazem essas coisas muito bem . Eu só preciso de algo que faz essas coisas em tudo .

Recomendações?

Aqui está o que eu recomendaria:

1. Fique longe dos roteadores de consumo da Linksys (mesmo colocando DD-WRT nele, etc) a todo custo em qualquer cenário de servidor, eles ficam esquisitos sob carga e em cenários mais avançados (VPN, etc.) e eu tenho um pouco de pilha morta / em tijolos . Eles foram feitos para uso doméstico e você deve mantê-lo assim.
2. Separe o switch do firewall / gateway. Um switch gigabit de consumidor / prosumer provavelmente seria bom para isso (ou seja, um Netgear de 5 portas). Na configuração que você está solicitando, simples e eficiente é melhor - montar seus servidores em um switch rápido simples da Camada 2 fornece um backbone sólido e simples, e alguns firewalls ou multifuncionais adicionam uma sobrecarga adicional aos seus em switchports e / ou funcionalidade da camada 3 que você não precisa aqui.
3. Para o firewall / DHCP / gateway / VPN - algumas das multifuncionais da Cisco são ótimas, mas podem ter mais funcionalidade e capacidade de negócios do que você procura. Confira um Juniper SSG-5. Eles costumavam ser o Netscreen NS5-GT até a Juniper comprar o Netscreen. Eu acho que os SSG-5 custam cerca de US $ 600 por peça e, se você quiser, poderá encontrar um eBay Netscreen NS5-GT por menos de US $ 200 agora e encontrar a versão "Usuário ilimitado".
4. VPN - O Juniper / Netscreen fará VPN, mas você precisa do software cliente Netscreen. Como alternativa, você pode configurar o Roteamento e acesso remoto em um servidor Windows para que uma VPN PPTP simples seja usada sem nenhum software cliente. Se você quiser ir ainda mais "apenas fazer funcionar", use o Hamachi do LogMeIn, funciona muito bem.
5. No balanceamento de carga de rede do Windows - isso funciona bem, mas em alguns casos NÃO funciona bem com o roteamento da camada 3 da Cisco (pois depende de fazer alguns truques de mágica com o cache do ARP para "compartilhar" um endereço IPv4 entre os servidores, e os dispositivos Cisco veem isso como um força do mal que deve ser parada). Portanto, se você seguir a rota da Cisco, certifique-se de configurar o dispositivo Cisco corretamente para isso (há vários artigos).

Com um comutador Juniper / Netscreen + 5 portas gigabit, você poderá caber em 1U e terá uma infraestrutura simples, rápida e confiável que pode fazer coisas bastante avançadas, se você precisar.

Espero que ajude!

PS / edit: - Algumas pessoas recomendando Vyatta, Linux, etc: Essas não são soluções ruins (também, a oferta do Untangle.com parece ter potencial), e eu as usei e as amei para roteadores de pontos de extremidade de escritório. mas não recomendei esse tipo de solução porque esse é um cenário de hospedagem de aplicativos; em princípio, a idéia por trás do software modular em execução em hardware genérico é compactar todos os recursos normalmente "caros" que você pode usar no hardware de menor denominador comum mais econômico e com menor custo. Acho que isso é bom para o ponto de extremidade do usuário (casa, escritório, VPN da filial etc.), mas mesmo para cenários de hospedagem pequenos / básicos, acho que o lado do 'datacenter' garante hardware especificamente projetado, juntamente com firmware especificamente projetado.

Dê uma olhada em Vyatta. Eles têm um produto bastante abrangente que usa o Linux Kernel, oferecendo coisas como VPN, roteador, NAT, encaminhamento de DNS, servidor Mais ... DHCP e Mais ... www.vyatta.com ou www.vyatta.org para as versões da comunidade. Você pode executá-lo em seu dispositivo, seu próprio hardware ou como VM. O dispositivo modelo 514 possui recursos completos com RIPv2, OSPF e BGP, OpenVPN, IPSEC VPN etc. por <$ 800,00.

Este link é bastante impressionante: http://www.vyatta.com/products/product_comparison.php

A Linksys possui alguns roteadores decentes que estão acima de um roteador doméstico, mas abaixo de um roteador ** completo. Algo como o WRV54G. É pequeno, suporta IPSec VPN, é um roteador, DHCP, etc. A única parte que não se encaixa é que são 100 Meg. Mas para sobrecarregar 100 Meg, você terá que empurrar muito tráfego.

Isso não manipulará o balanceamento de carga (que não estava na sua lista de requisitos, mas com dois servidores Web, presumo que seja necessário, então você precisará encontrar algo para lidar com isso).

Eu vejo duas maneiras:

1. Pelo roteador Cisco. Ele pode fazer tudo acima e faz isso muito bem, mas custa $$
2. Faça Você Mesmo. Compre um servidor 1U, insira NICs e configure o BSD / Linux. Pode fazer tudo acima + muito mais (por exemplo, balanceamento de carga)

PS. Você realmente precisa de um multifuncional? Pode estar separando roteador e switch é aceitável?

PPS. adicionado aos favoritos caso você encontre hardware barato e bacana.

Eu sugeriria um dispositivo Sonicwall na categoria SMB . Eu gerenciei alguns desses dispositivos e eles nunca me decepcionaram. A interface é um pouco melhor que a típica Linksys.

Não serei o primeiro a sugerir o uso apenas como dispositivo de gateway / VPN / firewall. É claro que toda a troca pesada precisa ser feita pelos dispositivos de 24 portas.

Para adicionar a lista, minha preferência pessoal seria a linha Juniper SRX.

Mas assim que você precisar de mais portas, use um switch real, não continue adicionando módulos.

Tive muita sorte com meu NetGear ProSafe FVS338 . O NetGear também possui um switch Gb - FVS336G . US $ 200 e US $ 300 respectivamente.

Praticamente faz o que você precisa e não quebra o banco.

ps Eu corro o Windows NLB por trás disso. Nada demais - eu não precisava fazer nada.

O OpenBSD é especialmente bom para configurar um firewall, pois é "seguro por padrão", o que significa que não há falhas se você não as criar.

Além disso, a configuração em si é muito fácil, mesmo quando você se aprofunda em NAT, VPN IPsec, ...

É claro que você precisará conhecer a rede com qualquer caixa (o que significa NAT, noções básicas sobre o funcionamento do IPsec, o que são portas, máscaras de rede, ...).

Você pode estar interessado no pfSense .

Se você realmente quer uma única caixa, fazendo tudo isso, pode optar por um Cisco 3750 (ou switch comparável), ele pode executar firewalls básicos (reconhecidamente MUITO básicos) (listas de acesso, nada realmente sofisticado) e pacotes de rota. Não saiba até que ponto eles fornecem uma configuração de VPN "simples", mas você deve poder configurar os pontos de extremidade IPSEC conforme necessário.

Mas, para ser sincero, provavelmente é melhor fazer isso como caixas separadas.