कैम्पस नेटवर्क डिज़ाइन - फ़ायरवॉल

15

मैं एक कैंपस नेटवर्क तैयार कर रहा हूं, और डिजाइन इस तरह दिखता है: मेरी डिजाइन

LINX द लंदन इंटरनेट एक्सचेंज और JANET जॉइंट एकेडमिक नेटवर्क है।

मेरा लक्ष्य उच्च उपलब्धता के साथ लगभग पूरी तरह से बेमानी है, क्योंकि इसमें लगभग 15k लोगों का समर्थन करना होगा, जिसमें अकादमिक स्टाफ, प्रशासनिक कर्मचारी और छात्र शामिल हैं। मैंने प्रक्रिया में कुछ दस्तावेज पढ़े हैं, लेकिन मैं अभी भी कुछ पहलुओं के बारे में सुनिश्चित नहीं हूं।

मैं इसे फायरवॉल के लिए समर्पित करना चाहता हूं: सीमा राउटर में एम्बेडेड फ़ायरवॉल के बजाय एक समर्पित फ़ायरवॉल नियोजित करने के लिए ड्राइविंग कारक क्या हैं? मैं जो देख सकता हूं, उसमें एक एम्बेडेड फ़ायरवॉल के ये फायदे हैं:

  • बनाए रखने के लिए आसान है
  • बेहतर एकीकरण
  • एक कम आशा
  • कम जगह की आवश्यकता
  • सस्ता

समर्पित फ़ायरवॉल को मॉड्यूलर होने का लाभ है।

क्या कुछ और है? मुझे किसकी याद आ रही है?

networking  load-balancing  network-design 
user3081239
स्रोत
1
मैंने मूल पोस्ट को एक प्रश्न के नीचे संकीर्ण करने के लिए संपादित किया है। आप दोनों को धन्यवाद!
user3081239
3
मैं इसे एक टिप्पणी के रूप में जोड़ रहा हूं क्योंकि आप शायद कोर डिजाइन के बारे में एक और सवाल पोस्ट करेंगे। मैं आपको कोर स्विच और कोर राउटर का भी उल्लेख करता हूं; यह एक ऐसी जगह है जहाँ भूमिकाओं के इस विभाजन की सबसे अधिक संभावना है। हाई-एंड कोर स्विच आमतौर पर लेयर 3 पर भी काम करते हैं, और वे रूटिंग में काफी अच्छे हैं; आप बहुत ही उच्च आंतरिक बैंडविड्थ और दसियों या सैकड़ों उच्च गति वाले इंटरफेस के साथ राउटर के रूप में उनके बारे में सोच सकते हैं। जब तक आपको ईथरनेट या फाइबर से अलग कुछ के माध्यम से आंतरिक ट्रैफ़िक भेजने की आवश्यकता नहीं होती है, समर्पित राउटर यहां बेकार हैं।
मैसिमो
2
तो, ऊपर के डिज़ाइन को देखकर, आप जो कह रहे हैं, वह यह है कि उन दो मुख्य राउटर एक अतिरिक्त आशा के अलावा कुछ नहीं हैं? खासकर जब से उनके बीच कुछ भी नहीं है, जैसे फ़ायरवॉल या कोई कस्टम हार्डवेयर?
user3081239
3
वे न केवल एक अतिरिक्त हॉप हैं, वे संसाधनों की बर्बादी और संभावित रूप से अड़चन भी हैं।
मैसिमो
2
MichelZ

जवाबों:

11

एंटरप्राइज सिस्टम एडमिनिस्ट्रेटर / आर्किटेक्ट यहाँ। मैं प्रत्येक मुख्य कार्य के लिए कुछ भी लेकिन समर्पित उपकरणों का उपयोग करने के लिए इस पैमाने के एक नेटवर्क को कभी भी डिज़ाइन नहीं करूंगा: रूटिंग, स्विचिंग, फ़ायरवॉल, लोड संतुलन। यह अन्यथा करने के लिए बस बुरा अभ्यास है। अब, VMware के NSX जैसे उत्पाद और आ रहे हैं जो कमोडिटी हार्डवेयर (और आमतौर पर, इससे कम) के लिए इस बुनियादी ढांचे को वर्चुअलाइज करना चाहते हैं, और यह ठीक है। साज़िश, यहाँ तक कि। लेकिन फिर भी, प्रत्येक आभासी उपकरण का अपना काम है।

मैं अलग-अलग कारणों से टकराऊंगा कि इन्हें अलग क्यों रखा गया है:

  1. जैसा कि @ मसिमो ने कहा, आपको बस कॉम्बो डिवाइस से कार्यक्षमता नहीं मिलती है; वे उन सुविधाओं को खो देने जा रहे हैं जिन्हें आपको अपने डिज़ाइन को ठीक से अनुकूलित करने की आवश्यकता है।
  2. यह प्रति यूनिट एक छोटी हमले की सतह प्रदान करता है: यदि कुछ महत्वपूर्ण शोषण धार राउटर में मौजूद है, तो क्या आप चाहते हैं कि छेद एक हमलावर फायरवॉल तक पहुंच प्राप्त करने के लिए उपयोग करता है?
  3. यह प्रबंधन को सरल बनाता है। यह सोचने के लिए आकर्षक है कि संयोजन को प्रबंधित करना आसान है, लेकिन यह आमतौर पर सच नहीं है। क्या होगा अगर मेरे पास फ़ायरवॉल नीतियों का प्रबंधन करने वाली नेटसेक टीम है और रूटिंग को संभालने वाली एक इन्फ्रास्ट्रक्चर टीम है? अब मुझे कॉम्बो उपकरणों पर ठीक से दाने वाले ACL को ठीक से सेट करना है ताकि यह सुनिश्चित हो सके कि उनमें से प्रत्येक को वह मिल सकता है जो उन्हें चाहिए और कुछ नहीं। इसके अतिरिक्त, कॉम्बो उपकरणों में कम सुनियोजित इंटरफेस होते हैं, विशेष रूप से बड़ी तैनाती के लिए (मैं आपको देख रहा हूं, SonicWALL)।
  4. इन्फ्रास्ट्रक्चरल प्लेसमेंट को लचीला बनाने की जरूरत है। कॉम्बो उपकरणों के साथ, मैं एक स्थिर लेआउट के साथ बहुत ज्यादा फंस गया हूं: हर एक के लिए जो मैं तैनात कर रहा हूं, मुझे एक राउटर और एक फ़ायरवॉल मिला है, जहां शायद मैं वास्तव में केवल फ़ायरवॉल चाहता था। ज़रूर, मैं रूटिंग सुविधाओं को बंद कर सकता हूं, लेकिन यह सरल प्रबंधन के बारे में ऊपर की ओर जाता है। इसके अतिरिक्त, मुझे बहुत सारे डिज़ाइन दिखाई देते हैं जो हर चीज़ को संतुलित करने की कोशिश करते हैं, जब वास्तव में आप अक्सर ज़ोन में अलग से लोड बैलेंस करना बेहतर समझते हैं, क्योंकि कुछ सामान ऐसे होते हैं, जिनसे होकर गुजरना चाहिए, और कभी-कभी आप जंक्शनों पर कुछ घटकों को पेश करके अतिरेक या अपमान को चोट पहुँचाते हैं। कि उन्हें जरूरत नहीं है। इसके अन्य उदाहरण भी हैं, लेकिन लोड बैलेंसर्स को चुनना आसान है।
  5. कॉम्बो डिवाइस अधिक आसानी से ओवरलोड हो सकते हैं। नेटवर्क उपकरणों के बारे में सोचते समय, आपको बैकप्लेन पर विचार करना होगा: क्या कॉम्बो राउटर / फ़ायरवॉल / लोड बैलेंसर उस पर फेंके जा रहे थ्रूपुट को संभाल सकता है? समर्पित उपकरण आम तौर पर बेहतर किराया जा रहे हैं।

उम्मीद है की वो मदद करदे। अपने नेटवर्क के साथ गुड लक। यदि आपके पास और प्रश्न हैं, तो पोस्ट करें (इस पोस्ट से अलग) और मैं उन्हें पकड़ने की कोशिश करूंगा। बेशक, वहाँ बहुत होशियार इंसान हैं, जो जवाब दे सकते हैं बस, या उम्मीद से बेहतर। Ciao!

Tohuw
स्रोत
6

जबकि राउटर और फायरवॉल काफी हद तक ओवरलैप होते हैं, उनके पास पूरी तरह से अलग उद्देश्य होते हैं; इस प्रकार, राउटर आमतौर पर फ़ायरवॉल पर एक्सेल नहीं करते हैं, और फ़ायरवॉल आमतौर पर एक इंटरफ़ेस से दूसरे में जाने वाले पैकेट की तुलना में बहुत अधिक रूटिंग नहीं कर सकते हैं; यह दो भूमिकाओं के लिए अलग-अलग उपकरणों का उपयोग करने का मुख्य कारण है।

एक और कारण यह है कि फायरवॉल में आमतौर पर केवल ईथरनेट इंटरफेस होते हैं, जो अलग-अलग मीडिया से जुड़ने के लिए उचित राउटर पर निर्भर होते हैं, जैसे फाइबर या डीएसएल; इस तरह के मीडिया पर आपके आईएसपी के कनेक्शन सबसे अधिक प्रदान किए जाएंगे, इस प्रकार उन्हें समाप्त करने के लिए राउटरों की आवश्यकता होगी।

आपने कहा कि आपको रूटिंग और फायरवॉल दोनों के लिए विफलता की आवश्यकता है। उच्च अंत रूटर्स कई उपकरणों और कई आईएसपी कनेक्शनों में लोड संतुलन और विफलता प्रदान कर सकते हैं; जबकि फायरवॉल में मूलभूत रूटिंग क्षमताएं होती हैं, वे आमतौर पर इस तरह के हाई-एंड राउटिंग कार्य नहीं करते हैं। रिवर्स फायरवॉल के रूप में कार्य करने वाले राउटर के लिए सच है: वे आम तौर पर वास्तविक उच्च-अंत फ़ायरवॉल की तुलना में सीमित होते हैं।

मास्सिमो
स्रोत
क्या आप कहेंगे, तब कैम्पस जैसे बड़े उद्यम वित्तीय उद्देश्यों के अलावा लगभग एम्बेडेड फायरवॉल का उपयोग नहीं करते हैं, और सबसे उपयुक्त जगहों पर समर्पित फायरवॉल को रोजगार देने की संभावना है?
user3081239
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.