Друзья, у меня есть сабдж и я хочу его задать умному человеку.
Имеется LAN на пару сотен клиентов из нескольких сегментов, включая DMZ, имеется пара удаленных сетей поменьше, имеются два канала наружу емкостью до 100Мбит. Главным маршрутизатором для этого дела является исторически сложившийся линуксбокс с пятью-шестью сетевыми картами, который обеспечивает, собственно, статическую маршрутизацию, брандмауэр, управляет NAT для клиентов, держит несколько VPN (racoon, vtun), обеспечивает PPtP и динамическую маршрутизацию (quagga, ospf). Работает хорошо, стоит дешево, обслуживается просто.
Имеется аппаратное ограничение по количеству слотов для сетевых карт на этом линуксбоксе, которое уже достигнуто. Имеется также желание, во-первых, подключить еше несколько аппаратных интерфейсов и, во-вторых, по возможности привести это наколенное решение в пристойный вид, соответствующий Высоким Корпоративным и Отраслевым Стандартам. Бюджет при этом довольно сильно ограничен.
Аппаратное ограничение можно обойти с помощью инсталляции в PC нескольких мультипортовых сетевых карт, но я хотел бы рассмотреть и альтернативные решения.
Насколько осмысленно в моем случае смотреть в сторону аппаратных решений? Если да — что именно из маршрутизаторов мне нужно рассматривать в качестве замены моему линуксбоксу?
VLAN же, на гигабитном интерфейса.
Вариант, да. Но в некоторых случаях оно не очень поможет — к примеру, точки доступа WiFi, вынесенные в отдельную сеть (на предмет как-бы-чего-не-вышло), AFAIR, не умеют VLAN, а их замена тоже потребует сил и средств.
а как это связано?
просто ты вместо пачки сетевух ставишь свитч с vlan перед роутером, и у тебя вместо eth0…ethN будет eth0.1…eth0.N
Тьфу, да. Верно.
Спасибо. :)
Тебя спасёт простой управляемый свитч длинк (решение для бедных) или циско каталист (для тру).
Тыкаешь до 48 портов с вланами, до 4000 вланов. На линухе лепишь интерфейс для вланов и у тебя счастье.
Но можно выкинуть линукс и поставить джунипер, например или ту же кошку. Но свитч оставить, если надо много разных портов физически. Поднимать громоздкие решения на каталисте можно, но надо ли?
Ага, понял, спасибо. Я исходил из того, чтобы объединить все это в одном девайсе, а такое решение мне в голову не приходило. Насколько я понимаю, если делать решение на цисках, то каталист в моем случае даже избыточен — с задачей справится даже наш SF300.
Ушел внедрять. :)
vlan — это наше всё.
Удачи!
Ну под каталист можно и еще что нить внедрить попутно. Скажем 802.1x развернуть там, если трудностей не хватает ;)
на молотке можно задешево взять cisco 2924 б/у или тоже дешево но поновее (2950,3550,… там даже 5ти тонник был, AFAIR). Я себе домой купил 2924 взамен сдохшего когда-то подаренного мне 3com’а 24 port с vlan.
Беда в том, что покупку б/у на молотке не одобрит бухгалтерия. :)
Для решения задачи оказалось, как я и писал, вполне достаточно имевшегося SF300, который, к тому же, сейчас меняется на 3650.
Есть ещё минкротики, нынче в моде. стоят недорого, умеют много. мозг не парят. опять же, нет смысла громоздить всё (!) в одну (!) железку.
Которые Mikrotik? Спасибо, гляну.
О, до чего техника дошла. Оно даже на x86 ставится.
Любопытно, спасибо еще раз.
http://mikrotik.ru/
Ага, я уже нагуглил, спасибо.
Умеет почти все, 40M младшая модель держит спокойно, загрузка при этом 20-40%, часть этих 40M зашифрованы IPSec. До слухам, младшая версия держит до 70M. Так что бери старшую модель и не мучайся. В старшей модели и портов больше, и аппаратная криптография, и проц получше, и в стойку становится.
Подарить тебе карточку на 4x100Mbit ?