Pfsense Router on a Stick o Switch L3?
-
Buongiorno a tutti,
sto per modificare la rete dell'ufficio installando Pfsense, uno switch L3 e utilizzando le vlan.
il mio dubbio è su come fare il rounting inter-vlan, se con il pfsense (router on a stick) o utilizzando il routing dello switch L3.
Da quello che leggo in rete se non erro è più performante la seconda soluzione e quindi definire tutte le vlan solo sullo switch e sul pfsense inserire le route statiche verso le varie subnet (come ad esempio riportato qui: https://greigmitchell.co.uk/2019/08/configuring-intervlan-routing-with-a-layer-3-switch-and-pfsense/ ).Il mio dubbio è così facendo riesco a sfruttare al meglio le funzionalità di pfsense come ad esempio il traffic shaper per suddividere la banda verso WAN in modo equo per ogni client della LAN o semplicemente monitorare la banda occupata dai vari client.
Sbaglio?
Cosa mi suggerite? -
non so che switch hai ma a questo punto se c'e' usa il multilayer switch così ti eviti di inserire tutte le rotte statiche a mano, se fai fare routing allo switch pfsense non può più gestire nulla e devi fare tutto con le acl dello switch. personalmente ho configurato il mio cisco come layer 2 ma ho una manciata di vlan e pfsense gira su esxi dove non gli mancano risorse e sicuramente ha performance paragonabili al cisco sg350x. Ci sono pro e contro purtroppo, maggiore velocità di inoltro e istradamento vs possibilità di gestire e monitorare comodamente dalla gui di pfsense
-
Grazie per la risposta.
Le vlan saranno 6/7.
Quando scrivi mancata "possibilità di gestire e monitorare comodamente dalla gui di pfsense" ti riferisci alle interazioni fra vlan giusto?
Invece per quanto concerne la gestione da vlan verso WAN si possono gestire i traffic limiter, traffic shaper, traffic graph dei singoli ip (e non solo a livello di subnet)? -
Aggiungo alle considerazioni di @kiokoman il suggerimento di valutare l'impatto che avrebbe un down del firewall nella rete interna. Nel mio caso pur avendo il firewall in HA ho deciso che, per questioni di continuità di servizio, tutto il traffico inter-vlan sia gestito dai core switch (anch'essi in HA).
-
@psp said in Pfsense Router on a Stick o Switch L3?:
Aggiungo alle considerazioni di @kiokoman il suggerimento di valutare l'impatto che avrebbe un down del firewall nella rete interna. Nel mio caso pur avendo il firewall in HA ho deciso che, per questioni di continuità di servizio, tutto il traffico inter-vlan sia gestito dai core switch (anch'essi in HA).
Corretto, anche per questo preferisco lasciare il routing inter-vlan sullo switch.
Non mi servono grosse restrizioni o regole particolari fra le varie vlan, ma mi preme poter gestire il traffico, firewall, proxy web e altro fra LAN e WAN non perdendo però il controllo sui singoli client. -
se lo switch viene configurato come layer 3 e le vlan non sono gestite da pfsense sia le regole del firewall che il traffic shaping vanno configurate nello switch.
la configurazione che hai postato non l'ho mai provata sinceramente non saprei
potresti chiedere a johnpoz nel forum inglese che sa il fatto suo -
io farei fare il routing al pfsense
