Здраствуйте уважаемые спецы ;)Нужен ваш совет.
Надумала моя голова избавиться как нить от шлюзов в виде обычных компов и виртуализировать их.
В связи с этим возник вопрос как это лучше сделать и можно ли вообще такое делать?
Исходная ситуация:
Есть три шлюза - обычные pc, каждый с двумя сетевыми. одна сетевая смотрит на ADSL модем провайдера установленный в режим BRIDGE. Вторая в локальную сеть, через интефейс которой все кому надо выходят в интернет.
Подымаються три виртуальные машины - что соответсвует моим 3 шлюзам.
Внутренние интерфейсы которых (т.е. локальная сеть) также работают внутри и для пользователей/машин локальной сети
А их внешние интерфейсы (т.е. теперь или в будущем такие же виртуальные как и внутренние) каким то образом должны быть проброшены/объединены (тут честно не знаю как правильно сказать) к 3 adsl модемам.
1. Возможно ли это сделать, и при помощи чего?
2. Насколько это безопасно ?
3. Стали бы Вы так делать, и если нет то почему ?os freebsd >=7.1
>>дурная голова рукам покоя не даёт ? )
>
>да ;)Присоединяюсь к товарищу Pahanivo...
Зачем Вам этот геморрой? Просто чтоб запихнуть 3 железки в одну? Ради экономии места?
Не стоит, поверьте на слово. При этом вылезет куча других проблем, с которыми ещё не известно как будете бороться. Например, настроили Вы всё как надо (а это ещё неизвестно как делать будете, ибо стандартных решений нет, а как извращаться - не понятно), и тут сдохла материнка или процессор... Все 3 канала лежат. Ваши действия?
У меня такое недавно было - центральный роутер между 4 апстримами, DMZ и локалкой пал смертью храбрых. Слава аллаху рядышком стоял уже настроеный резервный, который просто надо было включить.
Тоесть, Вам в таком раскладе нужно будет иметь под рукой 1 резервную машину в полной боевой готовности. Получится на 1 машину меньше, а геморроя по настройке - в несколько раз больше. Стоит оно того?В худшем случае можете поставить 4 сетевухи на 1 машину, на 3 из них посадить те же ADSL момеды в режиме роутеров, и настроить policy routing (благо, материалов на эту тему - туева хуча). В лучшем (сравнительно) случае - тот же роутер, но с 2 сетевухами и теми же модемами через свитч плюс policy routing.
При наличии 3 отдельных роутеров у Вас несравненно больше гибкости, а при некотором умении - и надёжности (почитайте про CARP, vrrpd).
respect,
ronin
Ой, уважаемые ГУРУ!!!
И мне интересен вопрос.
Только не обязательно ограничиваться freebsd
Интересует вообще в принципе возможность построения и практической эксплуатации системы такого рода.
Например на двух-трех имеющихся компах (которые сейчас являются шлюзом, почтовиком, файлошарой для офиса) развернуть vmware ESXi + и там уже виртуалки на linux и прошу прощения на w2k3Что скажут СПЕЦИАЛИСТЫ?
Upd: сорри топикстартеру за вторжение в тему. просто как раз задумался о такой проблеме и тут эта тема!!!
интересуют все стороны вопроса, в т.ч. и шлюзы. поэтому надеюсь почитать тут мнения специалистов по вашему вопросу.
>Ой, уважаемые ГУРУ!!!
>И мне интересен вопрос.
>Только не обязательно ограничиваться freebsd
>Интересует вообще в принципе возможность построения и практической эксплуатации системы такого рода.
>
>Например на двух-трех имеющихся компах (которые сейчас являются шлюзом, почтовиком, файлошарой для
>офиса) развернуть vmware ESXi + и там уже виртуалки на linux
>и прошу прощения на w2k3
>
>Что скажут СПЕЦИАЛИСТЫ?не прийми за обиду, но я создал тему, дабы обсудить только шлюзы и то как правильно перейти к виртуализации шлюзов с точки зрения безопасности и практического опыта других специалистов.
так что давайте обсуждать здесь именно ШЛЮЗЫ.
Можно. только вот не факт, что много пакетов эти шлюзы будут пропускать в еденицу времени. аппаратные прерывания - это не хрен собачий. А так - у меня на стенде работает не менее хитрое, в Вмваре сервере.
>Можно. только вот не факт, что много пакетов эти шлюзы будут пропускать
>в еденицу времени. аппаратные прерывания - это не хрен собачий. А
>так - у меня на стенде работает не менее хитрое, в
>Вмваре сервере.а много пакетов и не требуеться так как даже сейчас у них LA около 0.00, 0.00, 0.00
да и сколько там пакетов может быть при adsl канале
так что то что они сейчас только железяки лишние занимают уже будет большим плюсом
>2. Насколько это безопасно ?
>3. Стали бы Вы так делать, и если нет то почему ?
>
>
>os freebsd >=7.1а может, если ситуация позволяет, использовать один "железный" BSD-шлюз и три модема с балансировкой нагрузки по ним?
у меня такое работает на esxi - скорость гут и проблем не было.железо Dell PE 64** X 2 оба пашут одновременно один валится - ни кто не парится;)
если честно - лучше наверно заиметь хорошую машину под материнский хост со всякими рэйдами и аппаратной поддержкой вирта. и нормально настроив виртуальные коммутаторы - забыть о них всерьёз и надолго. хорошее решение. дорого, но инвестиции оправданы.
>если честно - лучше наверно заиметь хорошую машину под материнский хост со
>всякими рэйдами и аппаратной поддержкой вирта. и нормально настроив виртуальные коммутаторы
>- забыть о них всерьёз и надолго. хорошее решение. дорого, но
>инвестиции оправданы.+1
по сабжу, виртуализировал, но всего один шлюз
>>если честно - лучше наверно заиметь хорошую машину под материнский хост со
>>всякими рэйдами и аппаратной поддержкой вирта. и нормально настроив виртуальные коммутаторы
>>- забыть о них всерьёз и надолго. хорошее решение. дорого, но
>>инвестиции оправданы.
>
>+1
>
>по сабжу, виртуализировал, но всего один шлюзвопрос ко всем, кто виртуализировал уже!
как вы подключаете модемы ну или какие-нить другие устройства
т.е. как вы пробрасываете сеть в вуртуалку? используете ли VLAN ?
>как вы подключаете модемы ну или какие-нить другие устройства
>
>т.е. как вы пробрасываете сеть в вуртуалку? используете ли VLAN ?в моем случае было все просто, на сервере 2 сетевухи, а от прова шел ethernet'ный rj-45. ну и собственно одна сетевуха в инет, вторая внутрь сети, в виртуальной машине аналогично два интерфеса, связаных с этими сетевухами в bridge-режиме. никаких vlan
>>как вы подключаете модемы ну или какие-нить другие устройства
>>
>>т.е. как вы пробрасываете сеть в вуртуалку? используете ли VLAN ?
>
>в моем случае было все просто, на сервере 2 сетевухи, а от
>прова шел ethernet'ный rj-45. ну и собственно одна сетевуха в инет,
>вторая внутрь сети, в виртуальной машине аналогично два интерфеса, связаных с
>этими сетевухами в bridge-режиме. никаких vlanвам повезло ;)
>вам повезло ;)в голове мелькнула примерно такая мыслишка...
модемные провайдеры, заходят в модемы, от модемов наверняка идет витая пара, которая заходит в один комутатор (там провайдерские потоки разгарничиваются вланами) один провод из комутатора уходи в серверную сетевку, к которой прибриджен интерйес виртуальной машины, и уже к нему посредством вланов прилетаю пакеты от провов... немного сумбурно но както так..
Все стандартно. Вланы пробрасываются к дсл-ным железкам, езернет каналам и заводятся в виртуальный хост. и Вуаля - остаётся только настройка самого рутера, с которой, как правило сильных проблем не возникает. :) esxcfg... и поехали ;)
>Все стандартно. Вланы пробрасываются к дсл-ным железкам, езернет каналам и заводятся в
>виртуальный хост. и Вуаля - остаётся только настройка самого рутера, с
>которой, как правило сильных проблем не возникает. :) esxcfg... и поехали
>;)оно то заработает, я имею в виду у вас работает?
просто надо идти к шефу и просить Коммутатор 2-го уровня или хотя бы с поддрежкой vlan что нибудьи сидеть разбираться, просто будет не хорошо если я все это куплю и в конечном счете толку не будет
понимаете ?принять решение сам - не могу , опыта с Vlan нет, хотя и читал вот на днях про них вродк - ВЕсчЬ
802.1q поддерживает уже почти любая железка. Так что цена вопроса не такая уж и большая.
>просто надо идти к шефу и просить Коммутатор 2-го уровня или хотя
>бы с поддрежкой vlan что нибудьможно сделать комутатор 2-о уровня из дешевого компа, 4-5 сетевух, юниха\линуха)))
дешево и сердито
>>просто надо идти к шефу и просить Коммутатор 2-го уровня или хотя
>>бы с поддрежкой vlan что нибудь
>
>можно сделать комутатор 2-о уровня из дешевого компа, 4-5 сетевух, юниха\линуха)))
>дешево и сердитоНормальный свитч стоит 200$-250$. Зачем придумывать себе приключения на одно место?
D-Link DES-3550+DGS-36... в них заходят вланы с виртуалок, на другом конце акцессные порты для подключения непосредственно железок. Вам как вланы на длинках пробрасываются?
create vlan <TAB> и будет вам целая справка. так и сделайте.
>>>просто надо идти к шефу и просить Коммутатор 2-го уровня или хотя
>>>бы с поддрежкой vlan что нибудь
>>
>>можно сделать комутатор 2-о уровня из дешевого компа, 4-5 сетевух, юниха\линуха)))
>>дешево и сердито
>
>Нормальный свитч стоит 200$-250$. Зачем придумывать себе приключения на одно место?утож полностью согласен
>>>>просто надо идти к шефу и просить Коммутатор 2-го уровня или хотя
>>>>бы с поддрежкой vlan что нибудь
>>>
>>>можно сделать комутатор 2-о уровня из дешевого компа, 4-5 сетевух, юниха\линуха)))
>>>дешево и сердито
>>
>>Нормальный свитч стоит 200$-250$. Зачем придумывать себе приключения на одно место?
>
>утож полностью согласеня согласен что проще будет купить комутатор, это предложение было, какбэ собрать ком-ор из подручных железок, при этом не обращаясь к шефу... и впоследствии не запасаться вазелином если что то не получится с купленным свитчем)))
>[оверквотинг удален]
>>>>дешево и сердито
>>>
>>>Нормальный свитч стоит 200$-250$. Зачем придумывать себе приключения на одно место?
>>
>>утож полностью согласен
>
>я согласен что проще будет купить комутатор, это предложение было, какбэ собрать
>ком-ор из подручных железок, при этом не обращаясь к шефу... и
>впоследствии не запасаться вазелином если что то не получится с купленным
>свитчем)));) ;) ;)
>[оверквотинг удален]
>А их внешние интерфейсы (т.е. теперь или в будущем такие же виртуальные
>как и внутренние) каким то образом должны быть проброшены/объединены (тут честно
>не знаю как правильно сказать) к 3 adsl модемам.
>
>1. Возможно ли это сделать, и при помощи чего?
>2. Насколько это безопасно ?
>3. Стали бы Вы так делать, и если нет то почему ?
>
>
>os freebsd >=7.1А может проще все три шлюза объединить в один (если уж так хочется уменьшить кол-во системников)? Виртуализация сетевого оборудования ни есть гуд, сюда по моему опыту....
>[оверквотинг удален]
>>1. Возможно ли это сделать, и при помощи чего?
>>2. Насколько это безопасно ?
>>3. Стали бы Вы так делать, и если нет то почему ?
>>
>>
>>os freebsd >=7.1
>
>А может проще все три шлюза объединить в один (если уж так
>хочется уменьшить кол-во системников)? Виртуализация сетевого оборудования ни есть гуд, сюда
>по моему опыту....а многие мне как раз наоборот советуют.
интересно что у вас случалось, чем вы остались недовольны от виртуализации шлюзов ?я как раз сейчас совсем не подозреваю о проблемах (минусах) такой виртуализации
>[оверквотинг удален]
>>1. Возможно ли это сделать, и при помощи чего?
>>2. Насколько это безопасно ?
>>3. Стали бы Вы так делать, и если нет то почему ?
>>
>>
>>os freebsd >=7.1
>
>А может проще все три шлюза объединить в один (если уж так
>хочется уменьшить кол-во системников)? Виртуализация сетевого оборудования ни есть гуд, сюда
>по моему опыту....ладно я разберусь, а прикинь прийдет виндузятник и как начнет как начнет мои поделия хаить и лелеить
нет уж пока ни я ни моя контора - увреен не готова ;(