什么设备/系统用作“棒上的路由器”

我需要创建几个不同的VLAN，并提供一种使流量在它们之间移动的方法。“坚持使用路由器”方法似乎很理想：

                                互联网
                                   |
                      具有中继功能的路由器（“棒上的路由器”）
                                   *
                                   *路由器与交换机之间的中继
                                   *
                      具有中继功能的交换机
                       | | | | |
                       | | | | |
                       | 局域网2 | 局域网4 |
                       | 10.0.2.0/24 | 10.0.4.0/24 |
                       | | |
                     局域网1局域网3局域网5
                  10.0.1.0/24 10.0.3.0/24 10.0.5.0/24

我们有支持中继的第2层交换机。问题是用什么作为棍子上的路由器。我的选择似乎是：

1. 使用现有的Cisco 5505 ASA防火墙。看起来ASA可以执行路由，但它是100Mbps的设备，因此看起来充其量不是最佳选择
2. 购买路由器。这似乎太过分了。
3. 购买三层交换机。也显得矫kill过正。
4. 使用现有的共享Linux Box作为路由器（例如NIS服务器）
5. 使用专用的Linux盒作为路由器
6. 我没想到的事

我认为（4）或（5）是我最好的选择，但是我不确定如何在它们之间进行选择。我预计必须通过VLAN的流量会很小，但会突然增加。路由给CentOS计算机增加了多少负载？

选项1的优点是：

1. ASA硬件非常可靠，如果您具有CSC这样的附加模块，则可以在LAN之间获得防病毒保护（仅适用于HTTP / FTP / SMTP / POP3）。
2. 如果您使用的是ASA，则可以减少故障点，并且您已经熟悉ASA防火墙语法。

由于开销成本，不希望使用选项2和3。

选项4和5都可以。如果您的NIS服务器在大多数情况下都保持运行并且不需要修补。如果将NIS服务器用于VLAN间路由，则每当您重新引导服务器进行维护时，网络都会停止工作。如果NIS服务器不可靠或需要频繁重启，则专用服务器会更好。同样取决于一台附加服务器的成本多少。

如果您只想允许某些类型的VLAN间通信，则选项4和5将允许您将基本防火墙规则放在iptables中。您还可以使用tcpdump / wireshark捕获数据包，并在出现问题时进行分析。对于希望通过捕获和分析数据包来学习网络诊断的人们来说，拥有一台Linux机器作为主要路由器将是天堂。您也可以在此计算机上运行DHCP服务器，因为您没有第3层交换机，因此无法指定“ ip helper-address”，因此这是不使用L3交换机而具有集中式DHCP服务器的唯一方法。

我建议1或5，最好是1。即使具有100Mbps接口的Cisco ASA也应能够处理VLAN之间的路由。如果您不希望各个VLAN之间有大量流量，那么为什么您会感觉它无法处理此负载？ASA上当前的cpu / mem使用率很高吗？您拥有哪种类型的Internet连接？

我建议您使用现有ASA的原因：1.无需购买新硬件或重新部署当前硬件。2.减少潜在故障点的数量。是的，现在一切都依赖于ASA，但这比不必担心ASA和充当路由器的专用linux服务器更为可取。您将来可以只购买另一个ASA并设置HA。

我会使用专用设备-第3层交换机，路由器或专用商用PC。

使用专用设备的最好之处在于，不会因为常规维护事件（例如服务器计算机补丁/重启）而丢失VLAN内路由。充分精简的Linux或OpenBSD安装程序无需运行不必要的服务，就不需要定期修补和重新引导（与大多数专用嵌入式设备不同），并且您可以使用比硬盘驱动器少的易失性存储技术，例如从闪存或光学介质引导。

与其依靠任何现成的基准测试，不如对您希望流转的流量的类型和数量进行一些内部测试。特别是在共享服务器/路由器方案中，特定服务器计算机现有工作负载和NIC驱动程序的特性将在性能中发挥重要作用。

我以前的经验表明，如果轻负载的服务器计算机正在处理小的突发性路由通信，则不会对性能造成明显影响。但是，YMMV，您应该对其进行测试并查看。