sebastian2608
Goto Top

10Gbit Firewall, und deren Netzwerk

Hallo Leute,

leider bin ich in Sachen Netzwerk noch nicht so ganz fortgeschritten...

Wir haben demnächst eine 1x10Gbit und 2x1Gbit Leitung zu Verfügung, und 4Server...

Die Firewall soll zurgleich der Router sein - ist dies unter Linux einfach so möglich?
Ich würde jetzt einfach die 10Gbit und die 2x1Gbit via Linux Bond bündeln, und dann einzelnd via normalen Gbit Netzwerkkarten auf die weiteren Server aufteilen, also einfach eine WAN IP samt dem Traffic via NAT auf eine LAN IP weiterleiten

Würde dann einfach so aussehen, dass ich z.B. eth0, eth1, eth2 via Bond bündel, auf den Bond sämtliche IP´s aufschalten, und die WAN IP´s samt Traffic via NAT auf eine IP im LAN weiterleiten...

Jetzt die Frage, wird mein Vorhaben so klappen?
Brauche ich eine bestimmte Router Software für Debian?
Oder komme ich ganz einfach mit NAT aus...?

Bin für jede Antwort sehr dankbar!

LG Sebastian

Content-Key: 292716

Url: https://administrator.de/contentid/292716

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: catachan
catachan 10.01.2016 um 20:21:49 Uhr
Goto Top
Hi

Auf Netzwerkseite kannst du in einen Bond nur gleiche Geschwindigkeiten nehmen und eine ungerade Anzahl ist auch nicht optimal.

Glaube auch nicht dass ein Linuxrechner 10G schafft. Musst du wirklich 10G routen bzw übder die Firewall führen ?

LG
Mitglied: sebastian2608
sebastian2608 10.01.2016 um 20:32:07 Uhr
Goto Top
Hey,

Vielen Dank für die Rückmeldung.

Gut zu wissen, dass man mit bond nur gleiche Einheiten bündeln kann...

Und wieso glaubst Du das ein Linuxrechner keine 10Gbit schafften sollte - Meinst Du es scheitert an der CPU, oder was meinst Du?
Verbraut wäre ein 4-Core mit 32GB Ram

LG
Mitglied: fognet
fognet 10.01.2016 um 20:51:41 Uhr
Goto Top
Hi

Nimm doch ein PFsense als Linux.
Als Leistung sollte es gehen, brauchst halt entsprechende Netzwerkkarten.
Linus Tech Tips (Youtube channel aus Kanada) Hat auch ein 10G Router auf Basis von pfsense gebaut.

LG PPR
Mitglied: catachan
catachan 10.01.2016 um 21:05:59 Uhr
Goto Top
Hi

Glaube nicht dass der TO wirklich 10GUplink hat. Glaube eher er braucht einen Switch mit rinem 10G Link und über die Firewall/Router geht dann weniger drüber.

@sebatian: Sag mal etwas mehr über deine Topologie
Mitglied: sebastian2608
sebastian2608 10.01.2016 um 21:21:56 Uhr
Goto Top
Hi,

wir haben eine garantierte Bandbreite von 10Gbit per Glas

Zur Übergabe verwenden wir das passende 1310nm SFP Modul, wüsste also nicht woran es scheitern sollte.

Was genau willst du wissen?
Mitglied: aqui
aqui 10.01.2016 um 22:22:10 Uhr
Goto Top
Die Firewall soll zurgleich der Router sein - ist dies unter Linux einfach so möglich?
Ja !
Ich würde jetzt einfach die 10Gbit und die 2x1Gbit via Linux Bond bündeln,
Das ist technisch unmöglich wenn du damit einen Bond nach 802.3ad mit LACP meinst. Damit darf man nicht Links mit ungleichen Speeds koppeln. Das lässt der o.a. Standard nicht zu.
Wenn du allerdings einen "Bond" per BGP oder OSPF meinst, dann geht das.
Jetzt die Frage, wird mein Vorhaben so klappen?
Nein, jedenfalls nicht was das Bonding anbetrifft wenn du es auf Layer 2 machen willst !
Brauche ich eine bestimmte Router Software für Debian?
Nein !
Wenn du ein Peering zum Provider machst oder L3 dyn. Routing kann es vorteilhaft sein Pakete wie Quagga oder Bird zusätzlich zu installieren.
Ggf. solltest du darüber nachdenken fertige Firewall Distros zu verwenden wie pfSense, Endian usw.
Mitglied: sebastian2608
sebastian2608 10.01.2016 um 22:32:04 Uhr
Goto Top
Vielen Dank für deine tolle Antwort!

Ich hatte vor, die Software DDOS-Defender zu installieren - Das Problem:
Die Software verändert die iptables, jetzt meine Frage:
- kann ich auf dieser modifizierten Linux Distru überhaupt weitere Software installieren?
- vertragt sich das, wenn die DDOS Software auch an den iptables arbeitet?

Danke nochmal
Sebi
Mitglied: aqui
aqui 10.01.2016 um 22:36:25 Uhr
Goto Top
kann ich auf dieser modifizierten Linux Distru überhaupt weitere Software installieren?
pfSense arbeitet auf FreeBSD Basis also pf statt iptables. Endian ist Linux basiert. Man kann dort weitere SW Installieren über deren Package Modell. Lad dir die SW einfach mal in eine VM auf die Schnelle dann kansst du damit rumspielen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer Standard Distro bist du da freier hast aber immer das Damoklesschwert das du das System wasserdicht machen musst. Eine FW Distro ist das per Default.
Mitglied: SeaStorm
Lösung SeaStorm 11.01.2016 aktualisiert um 11:46:25 Uhr
Goto Top
wow

woher bekommt man sowas denn als "Nicht-Rechenzentrum" und was kostet sowas o_0
Mitglied: sebastian2608
sebastian2608 11.01.2016 um 11:47:59 Uhr
Goto Top
Unabsichtlich als Lösung markiert - hoppla

Wir hätten sogar 4x40Gbit bekommen, wäre und aber zu teuer gewesen ;)

Für 10Gbit (eigl. 12Gbit) Sym. zahlen wir auch schon genug - Auskünfte gerne per PN

LG
Mitglied: aqui
aqui 11.01.2016 aktualisiert um 12:16:42 Uhr
Goto Top
Bekommt jeder Hansel auch nachhause. Speziell da wo Glasfaser Infrastruktur liegt. Natürlich ein entsprechendes Portemonaie vorausgesetzt....
eigl. 12Gbit
Mmmhhh...wie macht man den sowas Krummes ?? Ge-ratelimitetes 40 Gig ??
Mitglied: sebastian2608
sebastian2608 11.01.2016 um 12:31:56 Uhr
Goto Top
Wir haben 2x1Gbit, und 1x 10Gbit auf sepparaten Leitungen, daher 12Gbit
Mitglied: aqui
aqui 11.01.2016 um 12:35:51 Uhr
Goto Top
OK, das erklärt den krummen Wert, obwohl du die Links ja nicht wirklich so kumulieren kannst...technisch gesehen ! Siehe oben...
Mitglied: sebastian2608
sebastian2608 11.01.2016 um 13:07:20 Uhr
Goto Top
Leider nicht, korrekt...
Aber selbst ein 1Gbit Anschluss ist viel :D
Mitglied: aqui
aqui 11.01.2016 um 22:17:41 Uhr
Goto Top
Was meinst du mit "nicht korrekt" ??
Mit Layer 2, 802.3ad Trunking ist das nicht zu aggregieren. Technisch ist das nicht supportet, denn das kann der Standard nicht. Jedenfalls 10G und 1G im Mix.
Die 2mal 1G kann man natürlich trunken.
ECMP geht auch nicht...sagt der Name ja schon selber.
Oder haben wir dich jetzt missverstanden ?!
Mitglied: sebastian2608
sebastian2608 11.01.2016 um 22:58:44 Uhr
Goto Top
Du hast den Beistrich wohl übersehen...
"Leider nicht" -> Leider ist es wie du sagtest nicht möglich
",korrekt" -> Du hast Recht
Mitglied: aqui
aqui 12.01.2016 um 10:22:40 Uhr
Goto Top
Sorry, da hatte ich wohl Tomaten auf den...du weisst schon face-wink