4
Virtualisierung von Router, Firewall etc. sinnvoll?
Guten Abend liebe Leute,
in den letzten Tagen habe ich mal etwas über SDNs gelesen und bin doch recht neugierig geworden, ob und wie weit sowas sinn macht.
Wir selbst haben noch klassische Hardware von Cisco (Small Business) im Einsatz und waren bisher auch immer ganz zufrieden. Allerdings fehlt mir noch etwas die Zeit mich in die IOS-Thematik einzuarbeiten, um auch die ganzen Funktionen mal nutzen zu können (Security usw.).
Würdest ihr persönlich einen virtualisierten Router/Firewall ala VyOS oder VyBuddy (mit GUI) einsetzen oder habt diese sogar im Einsatz? Wenn ja, läuft sowas stabil auf einem Hypervisor? Von unseren Cisco Sachen kann ich bisher nur Gutes berichten. Läuft ultrastabil.
Vorteile, welche ich bisher sehe:
- höhere Energieeffizienz (da keine zusätzl. Geräte mehr erforderlich und da bessere Auslastung der vorhandenen Hosts)
- höherer Firewalldurchsatz abhängig von den zugewiesenen Ressourcen (ASA 5500 soll wohl z.B. nur 70 MB/s schaffen)
- Tests, da virtuelle Appliances beliebig geklont und getestet werden können
- GUI (finde ich persönlich immer als angenehme Beigabe)
in den letzten Tagen habe ich mal etwas über SDNs gelesen und bin doch recht neugierig geworden, ob und wie weit sowas sinn macht.
Wir selbst haben noch klassische Hardware von Cisco (Small Business) im Einsatz und waren bisher auch immer ganz zufrieden. Allerdings fehlt mir noch etwas die Zeit mich in die IOS-Thematik einzuarbeiten, um auch die ganzen Funktionen mal nutzen zu können (Security usw.).
Würdest ihr persönlich einen virtualisierten Router/Firewall ala VyOS oder VyBuddy (mit GUI) einsetzen oder habt diese sogar im Einsatz? Wenn ja, läuft sowas stabil auf einem Hypervisor? Von unseren Cisco Sachen kann ich bisher nur Gutes berichten. Läuft ultrastabil.
Vorteile, welche ich bisher sehe:
- höhere Energieeffizienz (da keine zusätzl. Geräte mehr erforderlich und da bessere Auslastung der vorhandenen Hosts)
- höherer Firewalldurchsatz abhängig von den zugewiesenen Ressourcen (ASA 5500 soll wohl z.B. nur 70 MB/s schaffen)
- Tests, da virtuelle Appliances beliebig geklont und getestet werden können
- GUI (finde ich persönlich immer als angenehme Beigabe)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 290710
Url: https://administrator.de/contentid/290710
Printed on: April 24, 2024 at 21:04 o'clock
4 Comments
Latest comment
Hallo,
alleine aus sicherheitstechnischen Gründen ist das ein NoGo.
Zumindest bei Firewalls.
Gruß
alleine aus sicherheitstechnischen Gründen ist das ein NoGo.
Zumindest bei Firewalls.
Gruß
zum Spielen ja, im Produktivbetrieb selten bis gar nicht.
lks
Hallo zusammen,
ob es sich um eine BGP Installation handelt oder nicht.
einem Hypervisor. Hier mal so ein Gerät worauf man sehr viele Firewalls oder Router wie Vyatta, pfSense,
OpenBSD & Quagga laufen lassen kann; Lanner FW-889x Serie die startet so bei ~3.500 € und nach oben
sind ja bekanntlich nie Grenzen gesetzt!
40 GBit/s Chelsio, Intel und HotLava Adaptern arbeiten, die dann in den 10 & 40 GBit/s Bereich vordringen
und noch ganz andere Vorteile bieten.
dann etwas zu installieren.
nicht selten der Fall, hilft einem meist nur die Console aus und auch die will virtuell bis zur VM durch
geschleift sein.
In der Regel nimmt man Firewall und Router in VMs nur auf dezidierten Blechen auf denen sonst nichts weiter
läuft als eine oder zwei VM Instanzen dieser Firewall oder Routersoftware, ansonsten ist das Sicherheitskonzept
völlig ausgeschaltet oder unterminiert. Und so etwas ist in der Regel teurer und verbraucht mehr Strom und nicht
anders herum. Man benutzt so etwas in der Regel wie gesagt bei stark schwankenden Zahlen der Nutzer oder
schnell dynamisch wachsenden Netzwerken. Also dort wo man in diesem Jahr 20 neue Mitarbeiter hat und im
nächsten Jahr 150 neue Mitarbeiter und im übernächsten Jahr dann 250 neue Mitarbeiter und dann mal wieder
nur 10 neue "Benutzer" hat. Etwas mehr RAM zuweisen und ein paar CPU Cores mehr und alles läuft wieder
hübsch flüssig und schnell. nur dazu muss man dann in der Regel auch ordentlich CPUs mit recht vielen
Kernen und viel RAM verbauen und daran alleine scheitern schon viele Firmen an Ihrer Geiz ist Geil Mentalität.
Ich weiß nicht wie groß Eure Firma ist und was Ihr alles braucht aber man kann sicherlich auch
eine Firewall oder einen Router selber bauen der locker mehr leistet als 70 MBit/s.
Muss allerdings nicht sein denn es gibt auch Firewalls, UTMs und NG-Firewalls von Sophos, Palo Alto und
anderen Herstellern die alle feine Sachen im Portfolio haben und somit muss man nicht virtualisieren weil
die Cisco Hardware von damals nicht mehr genug liefern kann.
- Die neuen Intel Atom (Rangeley) C27x8 Modelle und Boards von Supermicro bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - Intel QuickAssist Support
- - freien PCIe 3.0 Steckplatz für einen Chelsio 10 GBit/s Adapter
- Die neuen Intel Xeon D-15xx Modelle und Boards von Supermicro bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - Intel QuickAssist Support
- - freien PCIe 3.0 Steckplatz für einen Chelsio 10/40 GBit/s Adapter
- Die Intel Xeon E3-12xxv3/v4/v5 bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - freien PCIe 2.0/3.0 Steckplatz für einen Intel QuickAssist Adapter
- - freien PCIe 2.0/3.0 Steckplatz für einen Chelsio 10/40 GBit/s Adapter
- Die Single/Dual Intel Xeon E5-2600v3 bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - freien PCIe 2.0/3.0 Steckplatz für einen Intel QuickAssist Adapter
- - freien PCIe 2.0/3.0 Steckplatz für einen Chelsio 10/40 GBit/s Adapter
Damit kann man prima von mittel bis groß alles zusammen bauen was das Herz Begehrt
und wenn man eine Hardware Firewall kauft und sich einen Xeon E3/E5 VPN Server in die
DMZ stellt ist den meisten Firmen mitunter auch schon geholfen.
Sollte das immer noch nicht genug sein kann man sicherlich auch noch Kompressionskarten
oder VPN Karten verbauen die einem den VPN Kryptoteil und die Kompression abnehmen.
Wir nutzen CentOS und SoftEtherVPN zusammen mit diesen Karten hier:
- Comtech AHA600
- Contech AHA371/374
Sinniger weise sollten solche Karten dann aber auch auf beiden Seiten den VPNs verbaut werden.
Gruß
Dobby
Würdest ihr persönlich einen virtualisierten Router/Firewall ala VyOS oder VyBuddy (mit GUI) einsetzen oder
habt diese sogar im Einsatz?
Wenn dann eigentlich mehr auf einer dezidierten Hardware, aber das kommt auch immer ganz darauf anhabt diese sogar im Einsatz?
ob es sich um eine BGP Installation handelt oder nicht.
Wenn ja, läuft sowas stabil auf einem Hypervisor?
Ja und wie, auf ESXi und Hyper-V immer letzte Version.- höhere Energieeffizienz (da keine zusätzl. Geräte mehr erforderlich und da bessere Auslastung der
vorhandenen Hosts)
So etwas lässt man nur auf Hardware laufen die nur dafür vorhanden ist und nicht als Host xyz aufvorhandenen Hosts)
einem Hypervisor. Hier mal so ein Gerät worauf man sehr viele Firewalls oder Router wie Vyatta, pfSense,
OpenBSD & Quagga laufen lassen kann; Lanner FW-889x Serie die startet so bei ~3.500 € und nach oben
sind ja bekanntlich nie Grenzen gesetzt!
- höherer Firewalldurchsatz abhängig von den zugewiesenen Ressourcen (ASA 5500 soll wohl z.B. nur
70 MB/s schaffen)
Da man sicherlich bei der verwendeten Serverhardware viel flexibler ist kann man auch sicherlich mit70 MB/s schaffen)
40 GBit/s Chelsio, Intel und HotLava Adaptern arbeiten, die dann in den 10 & 40 GBit/s Bereich vordringen
und noch ganz andere Vorteile bieten.
- Tests, da virtuelle Appliances beliebig geklont und getestet werden können
Ich würde mal dazu raten erst in die Geschäftsbedingungen und Lizenzvereinbarungen zu sehen unddann etwas zu installieren.
- GUI (finde ich persönlich immer als angenehme Beigabe)
CLI und Gui sollten beide vorhanden sein, denn wenn man mal ein Problem bekommt und das ist sicherlichnicht selten der Fall, hilft einem meist nur die Console aus und auch die will virtuell bis zur VM durch
geschleift sein.
In der Regel nimmt man Firewall und Router in VMs nur auf dezidierten Blechen auf denen sonst nichts weiter
läuft als eine oder zwei VM Instanzen dieser Firewall oder Routersoftware, ansonsten ist das Sicherheitskonzept
völlig ausgeschaltet oder unterminiert. Und so etwas ist in der Regel teurer und verbraucht mehr Strom und nicht
anders herum. Man benutzt so etwas in der Regel wie gesagt bei stark schwankenden Zahlen der Nutzer oder
schnell dynamisch wachsenden Netzwerken. Also dort wo man in diesem Jahr 20 neue Mitarbeiter hat und im
nächsten Jahr 150 neue Mitarbeiter und im übernächsten Jahr dann 250 neue Mitarbeiter und dann mal wieder
nur 10 neue "Benutzer" hat. Etwas mehr RAM zuweisen und ein paar CPU Cores mehr und alles läuft wieder
hübsch flüssig und schnell. nur dazu muss man dann in der Regel auch ordentlich CPUs mit recht vielen
Kernen und viel RAM verbauen und daran alleine scheitern schon viele Firmen an Ihrer Geiz ist Geil Mentalität.
Ich weiß nicht wie groß Eure Firma ist und was Ihr alles braucht aber man kann sicherlich auch
eine Firewall oder einen Router selber bauen der locker mehr leistet als 70 MBit/s.
Muss allerdings nicht sein denn es gibt auch Firewalls, UTMs und NG-Firewalls von Sophos, Palo Alto und
anderen Herstellern die alle feine Sachen im Portfolio haben und somit muss man nicht virtualisieren weil
die Cisco Hardware von damals nicht mehr genug liefern kann.
- Die neuen Intel Atom (Rangeley) C27x8 Modelle und Boards von Supermicro bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - Intel QuickAssist Support
- - freien PCIe 3.0 Steckplatz für einen Chelsio 10 GBit/s Adapter
- Die neuen Intel Xeon D-15xx Modelle und Boards von Supermicro bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - Intel QuickAssist Support
- - freien PCIe 3.0 Steckplatz für einen Chelsio 10/40 GBit/s Adapter
- Die Intel Xeon E3-12xxv3/v4/v5 bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - freien PCIe 2.0/3.0 Steckplatz für einen Intel QuickAssist Adapter
- - freien PCIe 2.0/3.0 Steckplatz für einen Chelsio 10/40 GBit/s Adapter
- Die Single/Dual Intel Xeon E5-2600v3 bringen alle folgendes mit;
- - DPDK Support
- - AES-NI Support
- - freien PCIe 2.0/3.0 Steckplatz für einen Intel QuickAssist Adapter
- - freien PCIe 2.0/3.0 Steckplatz für einen Chelsio 10/40 GBit/s Adapter
Damit kann man prima von mittel bis groß alles zusammen bauen was das Herz Begehrt
und wenn man eine Hardware Firewall kauft und sich einen Xeon E3/E5 VPN Server in die
DMZ stellt ist den meisten Firmen mitunter auch schon geholfen.
Sollte das immer noch nicht genug sein kann man sicherlich auch noch Kompressionskarten
oder VPN Karten verbauen die einem den VPN Kryptoteil und die Kompression abnehmen.
Wir nutzen CentOS und SoftEtherVPN zusammen mit diesen Karten hier:
- Comtech AHA600
- Contech AHA371/374
Sinniger weise sollten solche Karten dann aber auch auf beiden Seiten den VPNs verbaut werden.
Gruß
Dobby
in den letzten Tagen habe ich mal etwas über SDNs gelesen
Dann hast du aber recht wenig von SDN verstanden, denn was du da beschreibst hat mit SDN rein gar nichts zu tun.Was du oben meinst ist NFV (Network Function Virtualization) und ist eine ganz andere Baustelle.
Als Hoster mit Outsourcing Kunden und auch in anderen Konstellationen mit vielen kleinen Außenstellen kann das sehr sinnvoll sein zur Felxibilität.
Da du aber zum Einsatzzweck- und Umfeld keinerlei Äußerung machst reicht es mal wieder nur für die übliche Kristallkugel....
Wenn dir das reicht ?!
