Роутер, софтовый или железка?

Идеально, конечно, не смешивать сетевое и серверное оборудование, т.е., отдельно микротик, отдельно сервак для AD.

и фильтровать трафик между разными VLAN

Это очень надо ? Так как вот это

Однако меня смущает, что он может стать узким местом
в гигабитной сети, если вдруг между VLAN пойдет большой трафик

Весьма верно замечено. Это не просто даже для относительно серьёзного оборудования, если хочется гигабитных скоростей. В общем, лучше забить на слово «фильтровать», и взять L3 коммутатор. Хотя, на самом деле, у многих коммутаторов таки есть фильтрация, но не на столько гибкая, как у маршрутизвторов.

У него будут заняты 2 физ. интерфейса (а их всего 2),

Linux вполне умеет работать с 802.1q, внутренний интерфейс на VLAN-ы настрогать можно, сколько-то отдать виртуалкам.

И да, лучше не смешивать. То есть, Микротик, L3 коммутатор и сервер. Потом волосы будут шелковистее.

И да, лучше не смешивать. То есть, Микротик, L3 коммутатор и сервер. Потом волосы будут шелковистее.

Приплюсовываю

Смотря чего тебе надо и какой трафик гонять. Если речь идёт о реальной необходимости гонять гигабитный трафик - то конечно L3 свитч будет хорошей затеей.

В этом случае можно на свитче гонять траф, а всю умную логику реализовывать на железке. DHCP + DNS + samba4 (в качестве AD к примеру), более чем спокойно пойдут на твоём железе. И в случае выхода из строя свитча L3 ты легко найдёшь ему замену, в случае выхода из строя микротика - уже надо будет сразу думать о запасной железке.

Коммутаторы будут недорогие, серия HP v1910. Вообще они заявлены как частично layer 3, но судя по отзывам в Интернете - настроить там acl ужасно неудобно и сложно.

В принципе этот вариант тоже рассматривается, но подробнее будет уже по месту по прибытии железок. Я с этими коммутаторами сталкивался только когда заливал флеш взамен внезапно утерянной на одном из них, залил, глянул и отдал.

Linux вполне умеет работать с 802.1q, внутренний интерфейс на VLAN-ы настрогать можно, сколько-то отдать виртуалкам.

То есть виртуалке можно отдать один из VLAN-интерфейсов?

Я как настоящий гик работаю с VirtualBox на серверах (для всяких DNS, samba4, dhcp) - не нагруженного барахла, виртуалке спокойно можно кормить VLAN.

Ну теперь с этим стало более менее понятно. ))

Виртуалке можно просто сказать бриджится к железному интерфейсу (в т.ч. с 802.1q) или поднять NAT между реальной сетью и сетью VM.

Просто я думаю что 60 чел. это вообще не нагрузка... Тебе хватит любого L3 маршрутизатора. На нём подцепишь провайдеров, их завернёшь в VLANы. Далее закинешь эти VLAN в виртуалки нужные тебе, и будешь там рулить и педалить. - Но я тебе советую так, потому что я привык в целом к Linux, и не знаю философии Microtik. - Оно в целом я тоже думаю гибкое, но в случае чего, я думаю надо держать на всякий случай запасной microtik, ну и опять-же я думаю его возможности местами ограничены. Хотя и могу ошибаться. :) Просто для 60 чел, реально - это совсем не нагрузка.

http://shop.nag.ru/catalog/02092.Cisco/07120.800-1800-2800-3800/04009.CISCO2801

Чё, на это жаба душит ???

микротик же барахло - Atheros AR9344 600MHz CPU, 64MB RAM, а то что у него гигабитные порты, не значит что он предназначен для работы в гигабитных сетях :)

И да, лучше «железный» (хи хи, учитывая, что роутер это сильно специализированный компутер с ОС) роутер, проверенный временем.

Роутеры не умеют работать с VLAN'ами, это задача свитча.

ты идиот?

Вообще все конечно так. Но подыскать роутер под свои требования не получается, а требования такие: - держать 2 PPPoE соединения и 1 Ethernet, устанавливать default gw через одно из них по приоритетам и в зависимости от состояния (канал упал - переключаем) - держать поверх одного из PPPoE-соединений PPTP-соединение - все соединения натить

Плюс acl между VLAN-подсетями.

Если всё это добро умеет microtik, то бери его. Стоит он совсем не дорого. Как всё настроишь - на всякий случай можешь взять такой же про запас. А всю остальную мишуру на 60 чел. легко виртуалками порулишь в случае чего.

Есть еще вариант взять микротик и перешить его в OpenWRT-роутер.

Надо делить задачу по подзадачи:

1) организация внутренних сетей и маршрутизация между ними - реально нужен только L3 коммутатор

2) «фильтрация» трафика между подсетями - тут все упрется в тип и количество трафика, сложность acl и т.д., сразу скажу что коммутатор такое не вытянет (если будет много pps)

Эти два пункта будут ядро сети, сервак будет втыкаться в него

отдельно делаем граничный маршрутизатор, тут как раз пойдет микротик или подобное - он будет раздавать инет и т.д., нагрузка зависит от количества пользователей, пропускной способности каналов и все опять упрется в pps.

Боюсь отдельный чисто L3 коммутатор не потянем. Так то конечно, по хорошему так и надо делать. Но опять же.. брать дорогую железку для роутинга и фильтрации трафика чежду 4-5 vlan мне кажется нет смысла. Потому и задаюсь вопросом о софтовом роутере, который с этим легко справится + ничего ненадо покупать )

А вот этого я бы не стал делать. :)

У меня что-то подобное поднято на какой-то дешевой стоечной 1U супермикре с hw-raid, hotswap-дисками и резервным БП. i3-2120 CPU @ 3.30GHz 8GB DDR3

Спокойно тянет фильтрацию между 7 vlan(принтеры, management, ip-камеры, голос, вафля, отделы пользователей), кучу сетов ipset и правил iptables к ним на форвардинг во внешние сети, http-проксю, три редко используемые виртуалки в vbox, openvpn примерно на 12-15 Mbit/s, ipsec туннель, xl2tpd. Внешние каналы воткнуты напрямую в сервак.

Живых пользователей окло 70, еще десяток на удаленке и кучка офисов с vpn site-to-site.

Микротиков в руках не держал и не знаю насколько они «не софтовые», для твоих задач выбрал бы что-то в духе 2960S для ядра, dlink3552 или аналоги для access-портов, линуксы для фильтрации и коммутации вланов.

load average: 0.21, 0.17, 0.18

Спасибо за развернутый ответ. У меня все проще, ибо бюджет. И я все более склоняюсь к софт-свитчу. Коммутаторы будут HP v1910, довольно простые, брать для ядра роутер 3го уровня - дорого, вот на это место и можно воткнуть микротик. Но с другой стороны все это можно проще сделать с софт свитчем.

К примеру так: мелкий микротик на входе натит 2 PPPoE и 1 Ethernet - соединения, обеспечивая default gw через наиболее приоритетное из них. В общем он создает 1 аплинк, который медью идет прямо в сервер (софт-роутер). Сервер уже втыкается в один из коммутаторов. На нем подняты DNS, DHCP, Samba, Squid и прочие вещи. На нем же запущено PPTP поверх входящего в него аплинка от пограничного микротика. Клиентам в разные VLAN сервер выдает себя как default gw. Роутит и фильтрует трафик. Схема получается банально вкусной и простой. Смущает одно.. если нужно будет на сервере поднять в виртуалке тот же ВинСерв, то получится что он будет крутиться на шлюзе, что идеологически как бы не есть гуд. С другой стороны.. вероятно, когда возникнет такая надобность - можно купить еще 1 физ. сервер.

А еще можно извратиться и поднять на сервере сразу 2 виртуалки: 1 для роутинга/фильтрации и шлюза и 2ю для сервисов типа Samba. Но по идее те же яйца, только в профиль и повышенной нагрузкой.

То есть виртуалке можно отдать один из VLAN-интерфейсов ?

Теоретически - да. На практике - надо смотреть по месту, но я не вижу причин, почему это не должно работать.

Хотя, например, с OpenVZ нарывался на проблему с именами. Если интерфейс называется eth0.1 - вполне добавляется в контейнер, если ethernet0.1 - уже нет. Надо бы о баге сообщить, куда следует, но руки не доходят...

Микротиков в руках не держал и не знаю насколько они «не софтовые»

Полностью софтовые - Linux там внутри и я не слышал, чтобы там специальное железо конфигурировалось, даже в старших моделях.

RouterOS вполне можно качнуть с сайта Mikrotik и поставить на PC на посмотреть на месяц. И PC-шка с нормальными GBE серверными платами будет круче 2011iLS-IN, естественно. Но и жрать будет больше тоже.

Еще один насущный вопрос. Если на физ сервере несколько vlan-интерфейсов и несколько виртуалок, можно ли примапить на 1 интерфейс к примеру 2 виртуалки?

А еще можно извратиться и поднять на сервере сразу 2 виртуалки

А если совсем извращаться, то не надо покупать 2011iLS-IN. Надо купить лицензию на RouterOS, и поставить её сразу на сервер. ;-)

RouterOS для PC, с некоторых пор, умеет kvm, так что виртуалки сразу в RouterOS запускать. Только я так не делал, это в порядке бреда. :-)

можно ли примапить на 1 интерфейс к примеру 2 виртуалки ?

По идее нет. Но, наверное, ничего не должно мешать собрать в бридж несколько интерфейсов. Вплоть до того, что vlan оставить в хост-системе, а в бридж собрать его и несколько veth от разных виртуалок. Хотя, надо подумать, а что из этого получится.

Цель какая ?

Цель пока теоретически вот в чем. Есть хост система с 2мя сетевыми интерфейсами. На одном из интерфейсов создано к примеру 4 vlan-интерфейса для связи хост-системы с клиентами в сети.

Далее в хост системе создается виртуалка для роутинга трафика и сетевых сервисов DHCP, DNS.. Эта же виртуалка работает в качестве шлюза. Грубо говоря роутер.

Затем в хост системе создается виртуалка к примеру с Samba/LDAP, которую тоже нужно пустить в сеть по некоторым vlan.

Я так понимаю есть другой вариант решения. В обе виртуалки мапить физ интерфейс, а в них уже создавать vlan-интерфейсы?

ps: прошу прощения, если пишу фигню, с виртуальными машинами не работал, потому задаю такие вопросы.

Вроде бред конечно, но в инете смотрю есть много ситуаций, когда ставят роутер в виртуальные машины. Может в этом есть какой-то смысл..

Роутеры не умеют работать с VLAN'ами, это задача свитча.\

Router on the stick. MPLS не ???

Вроде бред конечно, но в инете смотрю есть много ситуаций, когда ставят роутер в виртуальные машины.

Я про наоборот вообще-то. Основная ОС в том предложении - «Mikrotik RouterOS». :-)

Я понял )), но такое нафиг-нафиг. Уж лучше заюзать свое, родное и знакомое.

Затем в хост системе создается виртуалка к примеру с Samba/LDAP,
которую тоже нужно пустить в сеть по некоторым vlan.

У неё должен же быть свой интерфейс со своим IP. Надо посмотреть что-нибудь про виртуальные коммутаторы. Либо на коммутаторе объединять VLAN-ы. Некоторые коммутаторы это умеют.

С точки зрения безопасности это не есть гут. Сделать можно как угодно, но желательно разделять внутренние ресурсы с внешними.

Почитал про HP 1910, позиционируются они как L3, умеют 802.1Q, 32 записи в таблице маршрутизации. Я бы на них внутреннюю сетку делал, или просто терминировал бы vlan на серваке который уже дальше для выхода в инет стучался на отдельный физический роутер.

Хочу именно затерменировать их на серваке, который станет роутером. Но на серваке хочется еще поднять пару нужных сервисов.

Конечно есть вариант вообще обойтись без виртализации. ))