基本的防火墙，交换机和路由器设备？[关闭]

我是一名开发人员，多年来没有处理服务器管理员或网络事务，因此“生锈”非常慷慨。我正在设置一个新的Web服务器群集（从两个1U Web服务器和一个DB服务器开始）。几年来我还没有这样做，所以我真的不知道今天有哪些可用的选项。

我想要一台设备中的所有设备：

• 小型基本型gbit开关
• 小型基本防火墙
• 小型基本路由器/ DHCP /网关
• 小型的基本VPN访问
• 适用于1U空间

我可以通过最小的Web界面进行一些简单的设置，然后省去-我想是家用路由器设备上方的两个步骤。

编辑：来自sysadmins的最初反应通常是“无路可走”，因为对他们来说，执行所有这些操作的设备通常都是垃圾。请意识到出于我的目的，目前可以。我的设置（和预算）还不够大，不足以证明能够很好地完成此工作的专用设备。我只是需要的东西做这个东西，在所有。

建议？

这是我的建议：

1. 对于任何服务器方案，都要不惜一切代价远离Linksys消费者路由器（甚至将DD-WRT放在上面，等等），它们在负载和更高级的方案（VPN等）下会变得不稳定，而且我有些死板了。它们是供家庭使用的，您应该保持这种状态。
2. 将交换机与防火墙/网关分开。消费者/消费者千兆交换机可能对此很好（即Netgear 5端口）。在您要求的设置中，简单高效是更好的选择-将服务器放在一个快速的第2层交换机上即可为您提供坚实而简单的主干网，而某些防火墙或一体式防火墙会为其构建增加额外的开销-在此不需要的交换端口和/或第3层功能。
3. 对于防火墙/ DHCP /网关/ VPN-某些Cisco多合一的产品非常出色，但可能具有比您想要的功能和企业精​​神更多的功能。查看Juniper SSG-5。在Juniper购买Netscreen之前，它们曾经是Netscreen NS5-GT。我认为SSG-5的价格约为每台600美元，如果您希望现在可以以200美元以下的价格找到eBay Netscreen NS5-GT，并确保找到“无限用户”版本。
4. VPN-Juniper / Netscreen可以使用VPN，但是您需要Netscreen客户端软件。另外，您可以只在Windows服务器上设置路由和远程访问，以使简单的PPTP VPN无需任何客户端软件即可使用。如果您想更多地“让它工作”，可以使用LogMeIn的Hamachi，效果很好。
5. 在Windows网络上的负载平衡-可以正常工作，但在某些情况下不能与Cisco第3层路由很好地配合使用（因为它依靠ARP缓存来做一些魔术，才能在服务器之间“共享” IPv4地址，并且Cisco设备将其视为必须制止的邪恶力量）。因此，如果您走思科路线，请确保为此正确配置了思科设备（上面有很多文章）。

使用Juniper / Netscreen + 5端口千兆交换机，您应该能够同时安装在1U中，并且您将拥有简单，快速，可靠的基础架构，如果需要，它可以完成一些高级工作。

希望有帮助！

PS / edit：-几个人推荐Vyatta，Linux等：那些不是不好的解决方案，（而且Untangle.com产品看起来很有潜力），我已经使用它们并将其用于办公室端点路由器。 。，但我不建议使用这种解决方案，因为这是一个应用程序托管方案；原则上，在通用硬件上运行模块化软件背后的想法是将所有通常可以使用的“昂贵”功能压缩到最具成本效益和最低公分母的硬件中。我认为这对于用户端点（家庭，办公室，分支机构VPN等）是很好的，但是即使对于小型/基本托管方案，我也认为“数据中心”方面需要专门设计的硬件以及专门设计的固件。

去看看Vyatta。他们有一个使用Linux内核的相当全面的产品，提供了诸如VPN，路由器，NAT，DNS转发，DHCP服务器以及更多... 社区版本的www.vyatta.com或www.vyatta.org等功能。您可以在其设备，您自己的硬件或VM上运行它。他们的514型设备功能齐全，具有RIPv2，OSPF和BGP，OpenVPN，IPSEC VPN等，价格低于$ 800.00。

该链接令人印象深刻：http : //www.vyatta.com/products/product_comparison.php

Linksys有一些不错的路由器，它们在家用路由器之上，但在全开路由器以下。像WRV54G一样。它很小，支持IPSec VPN，是路由器，DHCP等。它不适合的部分是100 Meg。但是要使100 Meg过载，您将不得不增加大量流量。

这将可以处理负载平衡（这不在您的需求列表中，但是我假设有两个Web服务器是必需的，因此您需要找到一些解决方法）。

我看到两种方式：

1. 通过思科路由器。它可以做以上所有事情，并且做得很好，但要花费$$
2. 自己做。购买1U服务器，放入NIC并设置BSD / Linux。它可以做以上所有事情，甚至更多（例如，负载均衡）

PS。您真的需要多合一吗？可以将路由器和交换机分开是可以接受的吗？

PPS。添加到收藏夹，以防您发现便宜的'n很酷的硬件。

我建议在SMB类别中使用Sonicwall设备。我已经管理了其中一些设备，但是它们并没有让我失望。该接口比典型的Linksys更好。

我不会第一个建议仅将其用作网关/ VPN /防火墙设备的人。当然，所有繁重的交换工作都需要由24端口设备完成。

要添加该列表，我个人的喜好是Juniper SRX系列。

但是，一旦您需要更多端口使用真正的交换机，就不要继续添加模块。

我的NetGear ProSafe FVS338非常幸运。NetGear还具有Gb交换机-FVS336G。分别为200美元和300美元。

几乎可以做您需要做的事情，并且不会破坏资金。

ps我确实在此后面运行Windows NLB。没什么大不了的-我不需要做任何事情。

OpenBSD特别适合设置防火墙，因为它“默认情况下是安全的”，这意味着如果不做的话就没有漏洞。

此外，即使您深入研究NAT，IPsec VPN等，配置本身也非常容易。

当然，您必须知道与任何设备联网（NAT的含义，IPsec的工作原理，端口，网络掩码等）。

您可能对pfSense感兴趣。

如果您真的想要一个机箱，那么可以使用Cisco 3750（或类似的交换机），它可以进行基本的（绝对是非常基本的）防火墙（访问列表，没有什么花哨的功能）并路由数据包。不知道它们在多大程度上提供了“简单的” VPN配置，但是您应该能够根据需要配置IPSEC端点。

但是，老实说，最好将它们作为单独的盒子来做。