Нужен ли маршрутизатор, если у границы стоит сетевой экран?

Question

[Вася Пупкин]

Возьмем к примеру Eltex ESR-200 или какой нить Cisco ASA, который поставим на границу, куда будет приходить интернет.

Правильно ли я понимаю, что:
1) В таком случае какой-нибудь роутер от микротика (RB40011 или CCR2004) не нужен, потому что межсетевой все это умеет. Плюс у него куча функционала сверху для защиты. (Знаю что дорого, но сейчас речь не про цены).
2) У экрана пропускная способность значительно ниже, а значит что лучше центром (ядром) лучше делать L3 коммутатор и завязывать все маршруты и вланы на него? Чтобы на экран шло минимум трафика? Или наоборот раз это экран, то он должен через себя все пропускать чтобы была безопасность?
3) Используют ли схему с экраном и маршрутизатором одновременно или в таком раскладе роутер уже избыточен?

Comments

[Akina]

Вы что, хотите и внутрисетевой трафик проверять средствами экрана? если да, то, конечно, пусть выполняет роль и роутера, и экрана.
А если нет - то используйте отдельный маршрутизатор. Заодно это позволит канал наружу, что между клиентами сети и Инетом, пустить через отдельный VLAN, и не иметь на клиентах прямой доступ к экрану.

[Вася Пупкин]

Akina,

Вы что, хотите и внутрисетевой трафик проверять средствами экрана?

Я ничего не хочу. У меня нет понимания, как правильно делать, поэтому и спрашиваю.

Т.е. делать надо по-другому и использовать в связке оба устройства, как я написал в 3-ем вопросе?

Инет я завожу в маршрутизатор. Центром делаю тоже его и все вланы и прочее делаю на нем, он же идет шлюзом для всех. А сетевой экран я втыкаю в свободный порт на маршрутизаторе и весь входящий и исходящий трафик "наружу" я через маршруты на роутере пускаю на сетевой экран, верно?

[Akina]

Вася Пупкин, ну да. В принципе каждый должен заниматься своим делом. Маршрутизатор - маршрутизирует, экран - экранирует...

Опять же - ну зачем тебе гонять внутрисетевой трафик через экран? представь, что ты бэкапишь виртуалку, или там экспортируешь запись с видеосервера, или ещё что сильно-объёмное... и вот весь этот многогигабайтный массив у тебя летит через сетевой экран. Да фиг кто в это время достучится до Инета...

[Вася Пупкин]

Akina, Согласен на счет внутреннего трафика, и не логичности его прогона через "стену" поэтому и спросил вопрос №2. Т.е. насколько критичен роутер как ядро или достаточно будет того же L3 в центре?

[DDwrt100]

Все зависит от сети. В целом если в фаервол закрывает потребности маршрутизации , то можно обойтись без маршрутизатора.
Все эти игры нужны когда объем трафика существенен. Тогда имеет смысл разделить, или нужны функции маршрутизации которые ферволл не поддерживает.
Ну и в целом ферволл будет дороже чем маршрутизатор. Стоимость расширения и подключения получается выше.

Answer 1

[gonzaman1]

Коллеги, чтото вы человека грузанули.
Расклад для людей задающих такие вопросы.
1. Пожалуй главное что нужно оценить - кол-во трафика, если у вас полтора землекопа, 2 коммутатора и 3 офиса в туннелях. При этом из внешнего прихода только впн для удаленных сотрудников - железный фаер избыточен.
Если у вас многоуровневая коммутация с парой сотней вланов и сетевой структурой 10-20 разных офисах\производствах\странах с кучей данных для внешнего доступа железный фаер !!!удешевит!!!(я не ошибся) и обезопасит вашу инфраструктуру. Фаер нужен для разгрузки процессоров коммутаторов в сети.

Отступление: бум железных фаеров был связан с ограниченными процессорными мощностями и колоссальным ростом трафика в прошлом. Было не выгодно создавать 2-6 процессорную железку и на аппаратном уровне ее обучать понимать обработку трафика. Это сейчас лохушная железка за 150$ может через себя пропустить 10гигабит\с и зароутить его в 20 вланов при этом иметь поднятый фаервол, работать с 10 впн клиентами и резать 25 клиентам на лане скорость соединения по разным конфигам и при этом иметь загруженность процессора 40-50%. А раньше для такого понадобился бы штат в 2 сервера, 4 л3 коммутатора и железный фаер. Я утрирую конечно, но не далек от истины.

2. Сейчас железный фаер скорее стандартизированное решение для крупных компаний, я недавно настраивал офис крупной международной логистической компании. Так там все просто было: мы закупили и смонтировали схему железный фаер-л3-пое-server . Потом ребята из главного офиса закинули за 15 минут туда готовые конфиги и за пару часов залили на сервер данные. Через 3 условных часа была смонтирована голова офиса на 140 рабочих мест.

Вывод: Даже для больших компаний с небольшим потоком входящего трафика железка не нужна. Ставишь глухую заглушку на вход, остальной трафик гоняешь по тунелям, клиентов и хосты вырезаешь вланами и строгими правилами маршрутизации. Это кажется очень накладно с точки зрения времени, но это не так. Если подготовить стандартизированные конфиги для определенной марки оборудования, то сможете масштабировать почти до любых размеров свою сеть не прибегая к железным фаерам )))

Все сказанное не является истиной в последней инстанции ))

Comments

[Вася Пупкин]

Фаер нужен для разгрузки процессоров коммутаторов в сети.

Чем именно? Тем что условные ACL перейдут с коммутаторов на тот же файервол?

мы закупили и смонтировали схему железный фаер-л3

1. Чисто ради спортивного интереса скажете модели? Или там что-то заоблочное за овердофига денег?
2. Т.е. по сути как я написал, что это версия без маршрутизатора и центром у вас является L3? Или он в этой схеме просто как агрегатор куда приходит все остальное, а рулит всем фаер?

[gonzaman1]

1) HP барахло за овердохуя денег.
2) Задача л3 - снять нагрузку с железки перед ней. Почему вы думаете на железных фаерах так мало портов ?))
Задача железного фаера - защита и направление, задача 3л коммутация. Нахера пакету из точки А в сети бежать в точку Б в сети, при условии что оба они за л3, через железный фаер ? Не нужно.
Есть исходящий трафик по порту 44333 скажем, работает у меня группа тупых устройств на таком порту, и весь этот трафик надо завернуть в один единственный контроллер, зачем мне эти нагружать железный фаер маршрутизацией, если у меня л3 стоит, правильно, незачем. Поэтому и написал, первое что нужно оценить кол-во трафика. Если с нагрузкой справится обычный комбайн типа микрота 4серии, да и пусть комбаинит, запасной поставьте, сделайте кольцо и раз в сутки дублируйте на него настройки ну или бекап настроек раз в сутки и рядом его положите, с условием замены за "ой мне бы добежать до серверной, настройки залить и порты переткнуть". Если трафика овердахуя тогда лучше трафик гоните через л3 коммутатор и заним уже ставьте что хотите.
В общем итог, на мой взгляд такой:
1. Железный фаервол умеет на аппаратном уровне вещи которые маршрутизатор не умеет на аппаратном уровне. Надеюсь обьяснять не нужно чем программные возможности от аппаратных отличаются. Поэтому главное рациональность использования более дорогого оборудования для не сложных задач.
2. Железные фаервол имеет проприетарные решение коммутации между собой. Дает высокую стабильность и опять же аппаратное.
3. Железный фаер может то, что не может микрот в тонкой настройке(это скорее предположение, основанное на опыте 3-4 летней давности, актуально ли сейчас сказать не могу) с 95% случаев микрот справится на таком же уровне.

Поэтому все сейчас упирается в стоимость. Это ГЛАВНЫЙ ПАРАМЕТР оценки необходимости !!!!!!
Пересчет количество трафика, а следовательно и прибыли на один потраченный бакс на оборудования.
Масштабируйте у себя в голове вашу сеть на 100 или 1000 повторений, посчитайте трудозатраты, скорость развертывания, сложность администрирования. Тогда сможете ответить на вопрос - а нужна ли вам железка .

ПС Я может не очень понятно все объяснил, пишите вопросы.

[Вася Пупкин]

gonzaman1, спасибо, доходчиво!

Answer 2

[Stalker_RED]

В обиходе когда говорят "роутер" большинство сразу представляет небольшую коробочку с несколькими светодиодиками, антеннкой и проводами.
Зачастую в одном корпусе (и на одном процессоре) реализуются сразу несколько функций - и собственно роутера (маршрутизатора) и межсетевого экрана, и Wi-Fi точки доступа, DNS-сервера, и т.д..

Когда-то давно, когда эти штуки только изобретались, они делались в виде отдельных компьютеров или отдельного софта. И сейчас можно взять обычный десктоп, воткнуть в него несколько сетевух, и поставить на него софт занимающийся всем тем, что упихивают в маленькую коробочку. И сейчас есть большие промышленные коробки, выполняющие какую-то одну функцию, но с большой пропускной способностью и скоростью.

XXX не нужен, потому что YYY все это умеет. Плюс у него куча функционала сверху для защиты. (Знаю что дорого, но сейчас речь не про цены).

Вот именно, что про цены, про скорость, и про надежность. В самых дешевых и слабеньких микротиках стоит точно такой-же софт (RouterOS) как и в старших моделях, и соответственно самые младшие микротики "все умеют", за что мы их и любим. Для дома, когда у вас пара телефонов, пара ноутов, и телевизор - все круто, и возможность что-то там поднастроить на низком уровне приятно греет душу.
Но если вы через такого малыша попытаетесь завернуть траффик от большой сети с кучей юзеров - он начнет адово тупить, что не удивительно.
Как в конкретно вашей сети будет справляться то или иное устройство - хз.

Бизнес зачастую склонен ставить устройства с запасом на пару порядков по производительности, потому что если у вас из-за сэкономленных $500 на пол дня остановилось производство, или офис выпал из работы - какая-то не очень классная экономия выходит, правда?
А еще бизнес склонен держать резервные железки, ИБП, резервные каналы, делать бекапы данных, и прочих важных штук. Ну как, по началу многие на это забивают, экономят средства. А вот после одного-двух факапов, когда все вырубилось в разгар рабочего дня - вот тогда вдруг внезапно появляются и деньги на админа, и на оборудование.

И отвечая на ваш вопрос - используют и таки этак, и в хвост и в гриву. Нам отсюда не видно что у вас за ситуация, сколько трафика внутри сети, сколько наружу, Может "и так умеет" прокатит, а может станет бутылочным горлышком. Это можно приблизительно просчитывать в специализированном софте либо замерять экспериментально на уже купленном железе в реальной обстановке.

Comments

[Вася Пупкин]

Спасибо за ликбез по истории роутеров.

Answer 3

[Drno]

Сетевой экран и роутер это немного разные вещи.
Роутер обычно делает NAT, маршрутизацию и раздает dhcp

Сетевой экран нацелен в основе тупо на защиту

Но современные роутеры умеют это совмещать, как и обратное сетевые экраны

Comments

[Akina]

А роутер-то ему зачем? эти функции выполняет сам межсетевой экран, если нужно, это у него штатная функция.

Хотя да, функцию роутера (первичного NAT-преобразования), если это действительно требуется, выполнит маршрутизатор. Допустим, трафик из каждого VLAN будет NAT-иться через отдельный промежуточный адрес - для упрощения составления правил фильтрации и приоретизации внешнего трафика и получения раздельной статистики доступа в Инет. Хотя как по мне - лишнее это, проще создать соответствующие группы на экране.

[Drno]

Akina, я не говорил что ему нужен роутер. я просто описал их вкратце

[Вася Пупкин]

Drno, Akina, В этом и суть вопроса.
Перекроит ли сетевой экран, который уже может тоже самое что и роутер потребности компании или сетевой экран будет проседать по пропускной способности. Вопрос был в этом. В текущих реалиях взаимозаменяемые ли это вещи или все равно нужно иметь оба.
Но я уже понял что лучше все таки иметь оба варианта.

[Drno]

Вася Пупкин, это зависит от конкретной компании, скорости сети, внешней сети, количества ПК итд