建立新的网关，将1个internet提要拆分为3个网络

Question

我正在寻找这个论坛成员的一些智慧之言。

我在同一栋楼里为三个相关的非营利组织做咨询工作。三人决定共用同一条网络管道，并让我建造一个新的网关盒。我计划购买一个1U SuperMicro Atom盒与一个外接程序卡，总共有6个物理网络端口。

网关将用于将互联网划分为非营利组织，提供一些基本的流量整形，并使用DansGuardian过滤内容。

现在，我正试图找出如何设置软件，并希望得到一些建议。我看到的一些选择是：

1. 将Ubuntu直接安装到该框中，并使用iptables、Squid和DansGuardian完成所有任务。我以前做过这件事，并且熟悉这个设置。
2. 在裸金属上安装ESXi并运行Ubuntu来完成上述操作。
3. 在裸金属上安装ESXi，并为防火墙/路由器运行pfSense VM，并将端口80个数据包传递给另一个使用Squid和DansGuardian运行Ubuntu的VM。我以前没有使用过pfSense，但是我似乎可以很容易地把它捡起来。

如果我这样做了，选项3是否有任何关于运行3单独Ubuntu的想法，以便每个非营利组织都有自己的DansGuadian实例，而不是运行一个实例和使用过滤器组。

一个网络上大约有50个用户，第二个网络有20个用户，第三个网络有5个用户。互联网管道是一个50 12Mbit向下/12 12Mbit向上电缆连接。

任何关于上述或其他选择的建议，任何人都会推荐，将不胜感激。

谢谢。

Answer 1

这在很大程度上取决于您期望花费多少时间来维护/修复这个解决方案；如果您希望在这个解决方案上花费尽可能少的时间，我建议安装一个专用的路由器/防火墙发行版(如上面提到的pfsense )作为路由组件，并在第二个VM上设置所有其他内容。

与其他部分相比，路由器部分所需的资源非常少，pfsense或其他专用的路由发行版将在数年内不间断地运行；对于提供代理或可能更多的完整服务器来说，情况通常并非如此。

在不了解客户需求或预期负载的情况下，选项3似乎是最灵活的。

哦，对了，ESXi 5。

然而，这将不能很好地运行在一个原子-我建议桑迪桥i3 2100 T(只有35W)代替。

它会踢出两个原子板的背面。

哦，和英特尔亲NIC的网络，如果有必要提到-虽然100 that就流量而言，GbE提供了更好的延迟。

Answer 2

您不需要一个带有6个端口的NIC --一个具有单个端口的NIC和一个支持VLAN的管理交换机将在这里做得更好。

您只需要任何一种虚拟化解决方案，如果您计划为路由服务设置管理分离--也就是说，如果这三个非营利组织需要能够管理自己的路由器、更改数据包过滤规则、在那里设置自己的服务等等。在这种情况下，您需要能够获得一个IP子网来容纳至少三个主机和ISP的路由器地址--总共有4个主机、一个网络和一个广播地址，从而至少需要一个/28网络。

即使您为数据包过滤服务进行管理分离，单个管理点的用例也将是一个QoS设置--如果您需要保证带宽或某种合理使用策略，在这种策略中，任何组织都不应该消耗足够的带宽来使其他两个组织挨饿，那么您将不可避免地得到至少一个路由设备--这三个设备都依赖于在分离中无法管理的路由设备。

你不一定需要一台服务器机器来完成这些任务--有很多路由器设备比普通PC板更有弹性。其中有些可以分裂成“虚拟路由器”或“虚拟系统”，如设备或“安全上下文”，就像使用思科ASA设备一样--这在很大程度上取决于虚拟化安装的方式，但没有ESXi的所有包袱，以及需要管理的三个操作系统运行实例。我认为这种方法是最优雅的，但它要求您要么熟悉系统，要么聘请另一个顾问/工程师来完成设置。