複数のネットワークの負荷分散

2

この質問は、それを行う方法についてではなく、何をすべきかについてです。

状況は次のとおりです。

  • 中小企業のサイト
  • 複数のDSLおよびケーブルインターネット接続(価格の10倍を除いてこれ以上利用できるものはありません)
  • 複数の内部ネットワーク
  • 従来のネットワーク機能の必要性:DHCP、VPN、NAT、ファイアウォールなど
  • より高度な機能への要望:DPI、悪意のあるサイトのフィルタリング、トラフィック分析

ハードウェアとソフトウェアの点で、すべてをつなぐ良い方法は何ですか?(恐ろしいので、現在の「解決策」について詳しく説明しません)

  • 少なくとも3つのLAN間でギガビット速度のLAN間ルーティングが必要です。
  • すべてのインターネット接続の合計ダウンロード速度は、ほぼ500 MBit / sです。
  • VPNはあまり使用されていません。VPNの合計スループットは50 MBit / sの範囲ですが、遅延は低く抑える必要があります。
  • ネットワーク(LAN-LANおよびWAN-LAN)はファイアウォールで保護する必要があります。
  • デバイスの負荷パターンは非常に異なるため、(負荷分散された)WANでのQoS /トラフィックシェーピングが望ましいです。低優先度の24時間365日のビデオストリームから、低遅延を望む低帯域幅消費のビジネスアプリケーションにまで及びます。
  • HAは望ましいものですが、おそらく単一のIPを使用するPPPOEベースのDSL回線には適していません。しかし、障害が発生した場合にダウンタイムを最小限に抑える何か他のものはありますか?

私は解決策を検討しました:

A)1つの大きなルーターを使用する

これは、すべてのWANとすべてのLAN / VLANを、すべてを行う単一のルーターに接続することを意味します。しかし、それは実行可能ですか?

pfSenseやsophosなどのソフトウェアファイアウォールを使用すると、多くの機能が提供されます。ただし、少なくとも8ギガビットポートを備えたサーバーが必要になり、速度が低下する可能性があります。見つけることができるすべてのことから、ギガビット速度で複数のルートを使用すると、非常に多くのCPUパワーが使用され、それがボトルネックになります。

B)2つのルーターを組み合わせる

1つのルーターでWAN側を処理し、負荷分散、WANファイアウォール、トラフィックシェーピングなどを実行できます。pfSenseなどのソフトウェアソリューションは、それほど高価ではないハードウェアでこれを処理できますか?

次に、別のルーターが内部LANを使用します。たぶん、8ポートEdgerouterのようなものがこれを処理できます。LAN部分には十分に複雑な(しかしWAN部分には単純すぎる)ファイアウォールがあり、ハードウェアオフロードを実行できます。

これは機能しますか?

VPN接続はどうですか?他の機能(DNS、DHCP)をルーター間でどのように分割する必要がありますか?NATは機能しますか?(クライアントとpfSenseは異なるネットワークにあるため)

他のより良い解決策はありますか?

networking  load-balancing 
マスゴ
ソース
具体的に教えてください。「複数のDSLおよびケーブルインターネット接続」-帯域幅はいくつですか?
ewwhite
dmourati
@dmouratiありがとう、負荷分散部分の設定方法は知っています。これはとても簡単です。同じマシン上でLAN間ルーティングを行うのがもっと心配です。しかし、ソリューションCはこの問題に対処できるようです。
マスゴ
@masgo私の質問に対する答えはありませんか?
ewwhite
@ewwhiteでは、合計7行(原文のまま!)で、速度は150MBit / 10MBitから16Mbit / 2MBitの範囲です。そのうちのいくつかはすでにアップグレードが予定されています。負荷分散自体は問題ではないようです。それらすべてをマネージドスイッチに接続し、タグ付きVLANトランクでルーター/ファイアウォールの単一のギガビットポートに接続できます。帯域幅の合計はギガビットをはるかに下回るため、これはうまく機能するはずです。
マスゴ

回答:

1

ソリューションC:

pfsenseを使用したHAの2つの大きなルーター/ファイアウォール。私のデータセンターでは、2つの仮想pfsenseを使用してすべてを管理しています。

  • 16VLANタグ付き
  • 180台の仮想サーバー+ 19台の物理サーバー
  • 16のパブリックIP + 254のパブリックIP
  • IPS + IDS
  • 8 IPSec VPN
  • 21リモートクリネット用OpenVPN
  • NAT、トラフィックシェーピング
  • ロードバランサーとフェールオーバー(パブリックWebサイト)ecc ecc ...

10Gbit / 500Mbitインターネットフィードおよび10G / 10G LAN速度。

アレッサンドロ・セッキ
ソース
こんにちは、これはかなりいいですね。どのハードウェアを使用していますか?-HA:残念ながら、インターネット接続は良好ではありません。したがって、複数のDSL回線。これらはすべて、それぞれ1つの静的パブリックIPのみを持つPPPOE接続です。入手したものから、HAには3つのIPが必要ですよね?
マスゴ
4CPU、8GbのRAM、8Gb og HDD、および多くのネットワークインターフェイスを備えた2つの仮想サーバーを作成しました。PPPOEに関しては(私にとって)問題ではありません。DSLモデムでPPPOEを閉じて、すべてのトラフィックをpfsenseクラスターのVirutalIPに転送します。この場合、1つのだけ重要なポイントを持っている:DSLモデム
アレッサンドロSecchi
問題は、パケット処理によって仮想CPUが消費されるのか、それとも何らかの形でVMからマスクされるのかということです。それは可能ですが、4つのコアで10 GBitリンクを飽和させるのに十分であれば、非常によく似たソリューションを使用します。おそらくベアメタルpfSenseで。
masgo
あなたのカウントは間違っていると思います。決定するvCPUのパフォーマンス、仮想スレッドの優先度を決定します。どのハイパーバイザーを使用していますか?このリンクをお試しくださいfirewallhardware.it/en/pfsense_selection_and_sizing.html
アレッサンドロSecchi
1

あなたの時間はどれくらいの価値がありますか?簡単になります。

  • 2つの最速で最も安定した多様な接続を使用します。例:同軸ケーブルと最高のDSL。
  • 合理的な新世代のファイアウォールを購入してください。シスコメラキ・ネットワークスMX64またはMX84は良い候補です。
  • Meraki MX64は、コンテンツフィルタリングとIDS機能をすべて備えた1200ドルです。スタンバイユニットは400ドルです。

WANアップリンクを構成します。PPPoEがサポートされています。

適切なVLANおよびACLのMerakiを構成します。

ここに画像の説明を入力してください

WANの速度を設定...

ここに画像の説明を入力してください

負荷分散ポリシーを設定...

ここに画像の説明を入力してください

トラフィックシェーピングルールを作成...

ここに画像の説明を入力してください

クライアントVPNが組み込まれています。サイト間VPNが利用可能です。必要なものを明確にしませんでした。

サポートするインバウンドサービスがあるかどうかは説明しませんでした。負荷分散は、アウトバウンド接続に対して透過的です。インバウンドには何らかの形のDNSロードバランシングが必要です(AWS Route53、30秒TTLおよびヘルスチェックを使用)。

ewwhite
ソース
Merakiの箱は本当にすてきです。2つのWANの制限は、最速の2行では十分に定義されていないため、不適切です。しかし、他のすべては非常にきれいに見えます。私は彼らに連絡しましたが、多分それはVLAN経由でバンドルされたより多くのWANを使用することができます。WANはすべて1つのギガビットトランクポートに簡単に収まるからです。...クラウド管理のプライバシーポリシーも確認する必要があります。データがEUを離れる場合、それは完全なショーストッパーになります(2018年5月に発効する新しい法律により)
masgo
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.