Pare-feu, commutateur et routeur de base? [fermé]

Je suis développeur et je n'ai pas traité d'administrateur de serveur ou de réseau depuis des années, donc "rusty" est très généreux. Je configure un nouveau cluster de serveurs Web (en commençant par deux serveurs Web 1U et un serveur DB). Comme je ne l'ai pas fait depuis quelques années, je ne sais pas vraiment quelles options sont disponibles aujourd'hui.

Je voudrais tout en un:

• Petit commutateur gbit de base
• Petit pare-feu de base
• Petit routeur / DHCP / passerelle de base
• Petit accès VPN de base
• Convient à un espace 1U

Quelque chose de simple avec une interface Web minimale que je peux configurer, puis oublier - 2 étapes au-dessus d'un périphérique de routeur domestique, je suppose.

Edit: la réaction initiale des administrateurs système est souvent "impossible" car pour eux, les appareils qui font tout cela sont généralement de la merde. S'il vous plaît, réalisez pour mes besoins, c'est actuellement OK. Ma configuration (et mon budget) n'est tout simplement pas assez grande pour justifier un équipement dédié qui fait très bien ce genre de choses . Je dois juste quelque chose qui fait ce genre de choses du tout .

Des recommandations?

Voici ce que je recommanderais:

1. Éloignez-vous des routeurs consommateurs Linksys (même en y mettant DD-WRT, etc.) à tout prix pour n'importe quel scénario de serveur, ils deviennent fragiles sous charge et des scénarios plus avancés (VPN, etc.) et j'ai un petit tas de morts / maçonnés . Ils ont été faits pour un usage domestique et vous devriez le garder ainsi.
2. Séparez le commutateur du pare-feu / passerelle. Un commutateur gigabit grand public / consommateur conviendrait probablement pour cela (c'est-à-dire un Netgear 5 ports). Dans la configuration que vous demandez, simple et efficace est préférable - le fait de rassembler vos serveurs sur un simple commutateur rapide de couche 2 vous donne une épine dorsale solide et simple, et certains pare-feu ou tout-en-un ajouteront des frais supplémentaires à leur construction -dans les ports de commutation et / ou les fonctionnalités de couche 3 dont vous n'avez pas besoin ici.
3. Pour le pare-feu / DHCP / passerelle / VPN - Certains des tout-en-un Cisco sont excellents, mais peuvent avoir plus de fonctionnalités et d'entreprise que vous n'en recherchez. Découvrez un Juniper SSG-5. Il s'agissait du Netscreen NS5-GT jusqu'à ce que Juniper achète Netscreen. Je pense que les SSG-5 coûtent environ 600 $ et si vous le souhaitez, vous pouvez trouver un eBay Netscreen NS5-GT pour moins de 200 $ maintenant, et assurez-vous de trouver la version "Unlimited User".
4. VPN - Juniper / Netscreen fera du VPN, mais vous avez besoin du logiciel client Netscreen. Alternativement, vous pouvez simplement configurer Routage et accès distant sur un serveur Windows pour un simple VPN PPTP à utiliser sans aucun logiciel client. Si vous voulez aller encore plus "juste pour que ça marche", utilisez Hamachi de LogMeIn, ça marche très bien.
5. Sur l'équilibrage de la charge réseau Windows - Cela fonctionne bien mais dans certains cas, ne fonctionne pas bien avec le routage Cisco Layer 3 (car il repose sur des astuces magiques avec la mise en cache ARP pour `` partager '' une adresse IPv4 sur les serveurs, et les périphériques Cisco considèrent cela comme un force maléfique qui doit être arrêtée). Donc, si vous suivez la route Cisco, assurez-vous de configurer correctement le périphérique Cisco pour cela (il y a un tas d'articles dessus).

Avec un commutateur Gigabit Juniper / Netscreen + 5 ports, vous devriez pouvoir vous adapter à la fois en 1U et vous aurez une infrastructure simple, rapide et fiable qui peut faire des choses assez avancées si vous en avez besoin.

J'espère que ça t'as aidé!

PS / edit: - Quelques personnes recommandant Vyatta, Linux, etc.: Ce ne sont pas de mauvaises solutions, (aussi, l'offre Untangle.com semble avoir du potentiel), et je les ai utilisées et les aime pour les routeurs de point de terminaison de bureau .. . mais je n'ai pas recommandé ce type de solution car il s'agit d'un scénario d'hébergement d'applications; en principe, l'idée derrière un logiciel modulaire fonctionnant sur du matériel générique est de regrouper toutes les fonctionnalités normalement «chères» que vous pouvez dans le matériel à dénominateur commun le plus économique et le plus bas. Je pense que cela convient pour le point de terminaison utilisateur (domicile, bureau, VPN de succursale, etc.), mais même pour les petits scénarios d'hébergement de base, je pense que le côté `` centre de données '' garantit un matériel spécialement conçu couplé à un micrologiciel spécialement conçu.

Allez jeter un œil à Vyatta. Ils ont un produit assez complet qui utilise le noyau Linux, offrant des choses telles que VPN, routeur, NAT, transfert DNS, serveur DHCP, etc. www.vyatta.com ou www.vyatta.org pour les versions communautaires. Vous pouvez l'exécuter sur leur appliance, votre propre matériel ou en tant que VM. Leur appareil modèle 514 est complet avec RIPv2, OSPF et BGP, OpenVPN, IPSEC VPN, etc. pour <800,00 $.

Ce lien est assez impressionnant: http://www.vyatta.com/products/product_comparison.php

Linksys a quelques routeurs décents qui sont au-dessus d'un routeur domestique, mais en dessous d'un routeur complet sur coup de pied **. Quelque chose comme le WRV54G. Il est petit, prend en charge le VPN IPSec, est un routeur, DHCP, etc. La seule partie qui ne convient pas est qu'il s'agit de 100 Meg. Mais pour surcharger 100 Meg, vous devrez pousser beaucoup de trafic.

Cela ne gérerait pas l'équilibrage de la charge (ce qui n'était pas dans votre liste d'exigences, mais avec deux serveurs Web, je suppose que cela est nécessaire, vous devrez donc trouver quelque chose pour gérer cela).

Je vois deux façons:

1. Par routeur Cisco. Il peut tout faire ci-dessus et le fait très bien mais coûte $$
2. Fais le toi-même. Achetez un serveur 1U, installez des cartes réseau et configurez BSD / Linux. Il peut faire tout ce qui précède + beaucoup plus (par exemple, équilibrage de charge)

PS. Avez-vous vraiment besoin d'un tout-en-un? La séparation du routeur et du commutateur est-elle acceptable?

PPS. ajouté aux favoris au cas où vous trouveriez du matériel bon marché.

Je suggère un appareil Sonicwall dans la catégorie SMB . J'ai géré quelques-uns de ces appareils, et ils ne m'ont pas laissé tomber UNE FOIS. L'interface est un peu meilleure que le Linksys typique.

Je ne serai pas le premier à suggérer de ne l'utiliser que comme passerelle / VPN / pare-feu. Bien sûr, toutes les commutations lourdes doivent être effectuées par les périphériques à 24 ports.

Pour ajouter la liste, ma préférence personnelle serait la gamme Juniper SRX.

Mais dès que vous avez besoin de plus de ports, utilisez un vrai commutateur, ne continuez pas à ajouter des modules.

J'ai eu beaucoup de chance avec mon NetGear ProSafe FVS338 . NetGear dispose également d'un commutateur Gb - FVS336G . 200 $ US et 300 $ respectivement.

Fait à peu près ce dont vous avez besoin pour faire, et ne casse pas la banque.

ps je lance Windows NLB derrière cela. Pas grand-chose du tout - je n'avais rien à faire.

OpenBSD est particulièrement agréable pour configurer un pare-feu car il est "sécurisé par défaut", ce qui signifie qu'il n'y a pas de trous si vous ne les faites pas.

De plus, la configuration elle-même est très facile, même lorsque vous creusez plus profondément dans NAT, VPN IPsec, ...

Bien sûr, vous devrez connaître la mise en réseau avec n'importe quelle boîte (ce que signifie NAT, les bases du fonctionnement d'IPsec, quels sont les ports, les masques de réseau, ...).

Vous pourriez être intéressé par pfSense .

Si vous voulez vraiment une seule boîte, faisant tout cela, vous pouvez opter pour un Cisco 3750 (ou un commutateur comparable), il peut faire un pare-feu de base (certes TRÈS basique) (listes d'accès, rien de vraiment sophistiqué) et acheminer des paquets. Je ne sais pas dans quelle mesure ils fournissent une configuration VPN "simple", mais vous devriez pouvoir configurer les points de terminaison IPSEC selon vos besoins.

Mais, pour être honnête, vous feriez probablement mieux de les faire comme des boîtes séparées.