Virtualisierung von Router, Firewall etc. sinnvoll?

Mitglied: ef8619

ef8619 (Level 1) - Jetzt verbinden

11.12.2015 um 19:03 Uhr, 2425 Aufrufe, 4 Kommentare

Guten Abend liebe Leute,

in den letzten Tagen habe ich mal etwas über SDNs gelesen und bin doch recht neugierig geworden, ob und wie weit sowas sinn macht.

Wir selbst haben noch klassische Hardware von Cisco (Small Business) im Einsatz und waren bisher auch immer ganz zufrieden. Allerdings fehlt mir noch etwas die Zeit mich in die IOS-Thematik einzuarbeiten, um auch die ganzen Funktionen mal nutzen zu können (Security usw.).

Würdest ihr persönlich einen virtualisierten Router/Firewall ala VyOS oder VyBuddy (mit GUI) einsetzen oder habt diese sogar im Einsatz? Wenn ja, läuft sowas stabil auf einem Hypervisor? Von unseren Cisco Sachen kann ich bisher nur Gutes berichten. Läuft ultrastabil.

Vorteile, welche ich bisher sehe:

- höhere Energieeffizienz (da keine zusätzl. Geräte mehr erforderlich und da bessere Auslastung der vorhandenen Hosts)
- höherer Firewalldurchsatz abhängig von den zugewiesenen Ressourcen (ASA 5500 soll wohl z.B. nur 70 MB/s schaffen)
- Tests, da virtuelle Appliances beliebig geklont und getestet werden können
- GUI (finde ich persönlich immer als angenehme Beigabe)
Mitglied: michi1983
11.12.2015 um 19:21 Uhr
Hallo,

alleine aus sicherheitstechnischen Gründen ist das ein NoGo.
Zumindest bei Firewalls.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
11.12.2015 um 19:47 Uhr
Zitat von @ef8619:

Virtualisierung von Router, Firewall etc. sinnvoll?

zum Spielen ja, im Produktivbetrieb selten bis gar nicht.

lks
Bitte warten ..
Mitglied: Dobby
11.12.2015, aktualisiert um 23:55 Uhr
Hallo zusammen,

Würdest ihr persönlich einen virtualisierten Router/Firewall ala VyOS oder VyBuddy (mit GUI) einsetzen oder
habt diese sogar im Einsatz?
Wenn dann eigentlich mehr auf einer dezidierten Hardware, aber das kommt auch immer ganz darauf an
ob es sich um eine BGP Installation handelt oder nicht.

Wenn ja, läuft sowas stabil auf einem Hypervisor?
Ja und wie, auf ESXi und Hyper-V immer letzte Version.

- höhere Energieeffizienz (da keine zusätzl. Geräte mehr erforderlich und da bessere Auslastung der
vorhandenen Hosts)
So etwas lässt man nur auf Hardware laufen die nur dafür vorhanden ist und nicht als Host xyz auf
einem Hypervisor. Hier mal so ein Gerät worauf man sehr viele Firewalls oder Router wie Vyatta, pfSense,
OpenBSD & Quagga laufen lassen kann; Lanner FW-889x Serie die startet so bei ~3.500 € und nach oben
sind ja bekanntlich nie Grenzen gesetzt!

- höherer Firewalldurchsatz abhängig von den zugewiesenen Ressourcen (ASA 5500 soll wohl z.B. nur
70 MB/s schaffen)
Da man sicherlich bei der verwendeten Serverhardware viel flexibler ist kann man auch sicherlich mit
40 GBit/s Chelsio, Intel und HotLava Adaptern arbeiten, die dann in den 10 & 40 GBit/s Bereich vordringen
und noch ganz andere Vorteile bieten.

- Tests, da virtuelle Appliances beliebig geklont und getestet werden können
Ich würde mal dazu raten erst in die Geschäftsbedingungen und Lizenzvereinbarungen zu sehen und
dann etwas zu installieren.

- GUI (finde ich persönlich immer als angenehme Beigabe)
CLI und Gui sollten beide vorhanden sein, denn wenn man mal ein Problem bekommt und das ist sicherlich
nicht selten der Fall, hilft einem meist nur die Console aus und auch die will virtuell bis zur VM durch
geschleift sein.

In der Regel nimmt man Firewall und Router in VMs nur auf dezidierten Blechen auf denen sonst nichts weiter
läuft als eine oder zwei VM Instanzen dieser Firewall oder Routersoftware, ansonsten ist das Sicherheitskonzept
völlig ausgeschaltet oder unterminiert. Und so etwas ist in der Regel teurer und verbraucht mehr Strom und nicht
anders herum. Man benutzt so etwas in der Regel wie gesagt bei stark schwankenden Zahlen der Nutzer oder
schnell dynamisch wachsenden Netzwerken. Also dort wo man in diesem Jahr 20 neue Mitarbeiter hat und im
nächsten Jahr 150 neue Mitarbeiter und im übernächsten Jahr dann 250 neue Mitarbeiter und dann mal wieder
nur 10 neue "Benutzer" hat. Etwas mehr RAM zuweisen und ein paar CPU Cores mehr und alles läuft wieder
hübsch flüssig und schnell. nur dazu muss man dann in der Regel auch ordentlich CPUs mit recht vielen
Kernen und viel RAM verbauen und daran alleine scheitern schon viele Firmen an Ihrer Geiz ist Geil Mentalität.

Ich weiß nicht wie groß Eure Firma ist und was Ihr alles braucht aber man kann sicherlich auch
eine Firewall oder einen Router selber bauen der locker mehr leistet als 70 MBit/s.

Muss allerdings nicht sein denn es gibt auch Firewalls, UTMs und NG-Firewalls von Sophos, Palo Alto und
anderen Herstellern die alle feine Sachen im Portfolio haben und somit muss man nicht virtualisieren weil
die Cisco Hardware von damals nicht mehr genug liefern kann.

- Die neuen Intel Atom (Rangeley) C27x8 Modelle und Boards von Supermicro bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - Intel QuickAssist Support
- - freien PCIe 3.0 Steckplatz für einen Chelsio 10 GBit/s Adapter

- Die neuen Intel Xeon D-15xx Modelle und Boards von Supermicro bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - Intel QuickAssist Support
- - freien PCIe 3.0 Steckplatz für einen Chelsio 10/40 GBit/s Adapter

- Die Intel Xeon E3-12xxv3/v4/v5 bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - freien PCIe 2.0/3.0 Steckplatz für einen Intel QuickAssist Adapter
- - freien PCIe 2.0/3.0 Steckplatz für einen Chelsio 10/40 GBit/s Adapter

- Die Single/Dual Intel Xeon E5-2600v3 bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - freien PCIe 2.0/3.0 Steckplatz für einen Intel QuickAssist Adapter
- - freien PCIe 2.0/3.0 Steckplatz für einen Chelsio 10/40 GBit/s Adapter

Damit kann man prima von mittel bis groß alles zusammen bauen was das Herz Begehrt
und wenn man eine Hardware Firewall kauft und sich einen Xeon E3/E5 VPN Server in die
DMZ stellt ist den meisten Firmen mitunter auch schon geholfen.

Sollte das immer noch nicht genug sein kann man sicherlich auch noch Kompressionskarten
oder VPN Karten verbauen die einem den VPN Kryptoteil und die Kompression abnehmen.
Wir nutzen CentOS und SoftEtherVPN zusammen mit diesen Karten hier:
- Comtech AHA600
- Contech AHA371/374

Sinniger weise sollten solche Karten dann aber auch auf beiden Seiten den VPNs verbaut werden.

Gruß
Dobby

Bitte warten ..
Mitglied: aqui
12.12.2015 um 19:58 Uhr
in den letzten Tagen habe ich mal etwas über SDNs gelesen
Dann hast du aber recht wenig von SDN verstanden, denn was du da beschreibst hat mit SDN rein gar nichts zu tun.
Was du oben meinst ist NFV (Network Function Virtualization) und ist eine ganz andere Baustelle.
Als Hoster mit Outsourcing Kunden und auch in anderen Konstellationen mit vielen kleinen Außenstellen kann das sehr sinnvoll sein zur Felxibilität.
Da du aber zum Einsatzzweck- und Umfeld keinerlei Äußerung machst reicht es mal wieder nur für die übliche Kristallkugel....
Wenn dir das reicht ?!
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic19 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 1 TagFrageWindows 1045 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)14 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming12 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

SAN, NAS, DAS
Synology DS213j - Volume nach HDD Austausch vergrößern
gelöst JasperBeardleyVor 1 TagFrageSAN, NAS, DAS4 Kommentare

Moin, ich hab meinem NAS zwei neue 8TB spendiert, da die 3TB Platten jetzt 6 Jahre alt sind. Da die beiden Platten im JBOD ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...