GoldenLine
Zaloguj się
Tomasz Szulborski

Tomasz Szulborski CEO AttHost.pl

Temat: Router / firewall z opcją zbudowania klastra HA

Witam

Szukam jakiegoś urządzenia routera - firewalla o dość sensownej wydajności, które będzie można postawić przed kilkoma serwerami. Będzie to obsługiwało ruch w granicach 200Mb/s z/do internetu.
Najważniejszą rzeczą jest jednak możliwość zbudowania klastra HA z dwóch takich urządzeń. Chciałbym zdublować fizycznie połączenia do urządzeń i w razie awarii jednego z nich, wszystko ma działać bez żadnych problemów, podgrywania konfiguracji itd.
Chodzi mi o jakieś rozwiązanie out of box. Wiem, że urządzenia fortigate mają taką możliwość, ale szukam jeszcze jakiejś alternatywy. Przyglądałem się np. mikrotikowi, ale znalazłem informację, że aby zrobić coś takiego na mikrotiku trzeba pisać jakieś własne skrypty itd. Ja wolałbym mieć jakieś rozwiązanie, które nie będzie wymagało tego typu protez.
Link do wypowiedziLink

konto usunięte

Temat: Router / firewall z opcją zbudowania klastra HA

A jakich vendorów właściwie sprawdzałeś? Raczej każdy dostawca firewalli ma na swoich pudełkach taką funkcjonalność. Znam Junipery SRX - klastrowanie działa ale tylko 2 nodeów (ASA potrafi mieć więcej, ale czy to dobry pomysł? Nie mi oceniać). Popatrz na Juniper, Cisco, Checkpoint, PaloAlto, wspomniany Fortigate.
Link do wypowiedziLink
Tomasz Szulborski

Tomasz Szulborski CEO AttHost.pl

Temat: Router / firewall z opcją zbudowania klastra HA

Dzięki za naprowadzenie na firmy, poczytam :)
Szukam po prostu czegoś co ma sensowny stosunek ceny do jakości. Miałem doświadczenie z cisco i fortigate, poza tymi dwoma - małe doświadczenie w rynku tego typu urządzeń.
Cisco, no co tu dużo mówić - drogie dość i raczej ciężkie w konfiguracji jest, fortigate - świetny UX, łatwo się konfiguruje, zarządza i monitoruje prace sieci. Z drugiej strony - fortigate ma ten web filtering, antywirus itd. To mi nie jest potrzebne. Brałem pod uwagę Fortigate 90D, które bez licencji kosztuje około 7000 zł brutto / urządzenie. Może się uda znaleść coś tańszego od fortigate :)
Link do wypowiedziLink
Dariusz J.

Dariusz J. Administrator sieci
komputerowej

Temat: Router / firewall z opcją zbudowania klastra HA

Może chodzi o funkcjonalność VRRP ?
Zarówno Cisco jak i Mikrotik mogą współpracować razem poprzez ten protokół. Tylko jak dostęp od strony Internetu to trochę komplikuje sprawę :-)
Link do wypowiedziLink
Tomasz Szulborski

Tomasz Szulborski CEO AttHost.pl

Temat: Router / firewall z opcją zbudowania klastra HA

Właśnie dziś posiedziałem trochę nad analizą mikrotika i nie wygląda to tak źle jak na początku myślałem, VRRP generalnie dałoby radę, a cenowo urządzenie o wyższej wydajności niż fortigate kosztuje 1/3 ceny :) Nawet chyba sobie do potestowania kupię jakiegoś prostego mikrotika, jak się sprawdzi potem będzie jak znalazł do zestawienia vpna z domu.
Link do wypowiedziLink

konto usunięte

Temat: Router / firewall z opcją zbudowania klastra HA

Cisco z Mikrotikem powinno współpracować w VRRP ale nie będzie HA na poziomie flowów. Przerwa w działaniu przy awarii jednego z nodeów mogłaby być zauważona. No ale może to wystarczy.
Link do wypowiedziLink
Darek M.

Darek M. specjalista d/s
wypelniania
formularza

Temat: Router / firewall z opcją zbudowania klastra HA

Tomasz S.:
konfiguracji jest, fortigate - świetny UX, łatwo się konfiguruje, zarządza i monitoruje prace sieci. Z drugiej strony - fortigate ma ten web filtering, antywirus itd. To mi nie jest potrzebne. Brałem pod uwagę Fortigate 90D, które bez licencji kosztuje około 7000 zł brutto / urządzenie. Może się uda znaleść coś tańszego od fortigate :)

Dwa lata temu szukalem nastepcy dla moich Juniperow na Screenosie. Testowalem Fortigate - w koncu to niby to samo co Screenos :P Niestety natrafilem wowczas na paskudna wade. Potrzebowalem ustawiac wlasne timeouty dla flow per policy. W Screenosie mozna bylo zdefiniowac serwis, wiele serwisow na ten sam port pod innymi nazwami. Potem rozne policy z roznymi serwisami i leci. W Fortigate byla tylko opcja per port. Czyli jak mam np. Postgresa na 5432, to moge zdefiniowac wlasny timeout - np. 24h, ale bedzie to globalna zmiana dla TCP/5432 i juz. Nie dalo rady miec rozmnych timeoutow. I to niestety przekreslilo dla mnie Fortigate.
Link do wypowiedziLink

konto usunięte

Temat: Router / firewall z opcją zbudowania klastra HA

Poczytaj o Netasq Stromshield, cenowo lepiej wychodzi niż Fortigate
Link do wypowiedziLink
Darek M.

Darek M. specjalista d/s
wypelniania
formularza

Temat: Router / firewall z opcją zbudowania klastra HA

Bartłomiej K.:
Cisco z Mikrotikem powinno współpracować w VRRP ale nie będzie HA na poziomie flowów. Przerwa w działaniu przy awarii jednego z nodeów mogłaby być zauważona. No ale może to wystarczy.

Tak sie zaczalem zastanawiac - vrrp mozna zrobic miedzy dwoma linuxami, a da rade kopiowac real time sesje miedzy nimi?
Link do wypowiedziLink
Dariusz J.

Dariusz J. Administrator sieci
komputerowej

Temat: Router / firewall z opcją zbudowania klastra HA

Można jeszcze zerknąć na rozwiązania Unix, Pfsense ustawiony w HA Carp zadziałał dla sesji wychodzącej .
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Router / Firewall pod Linux...




Wyślij zaproszenie do
Anuluj