Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 6756 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM ESXi vs Shuttle DS81

prettymg
Hello all!

I am looking to setup a UTM box for my home network to play around with (learn) and take advantage of the huge feature set that is offered with the home edition.

I currently have two ESXi 5.5 Update 1 hosts (Core i7-2600K) with 24GB of RAM in each and share the load of 36 VMs (not all are on).  They have 5 NICs in each and the network breakdown like this:

Current

DSL Modem----Cisco Router-----Cisco Switch----Cisco Switch

The Cisco router is the GW for all subnets

Future

DSL Modem----UTM----Cisco Router-----Cisco Switch----Cisco Switch



vSwitch 0 (2 NICs dedicated)
Vlan 5 Mgmt
Vlan 10 LAN (wireless/media streaming)
Vlan 15 Servers
Vlan 25 VMotion
Vlan 30 VPN (Cisco DMVPN)
Vlan 35 FT


vSwitch 1 (2 NICs dedicated)
Vlan 20 iSCSI multipathing (Synology DS412+)


ESXi 1

2 x NICs teamed for all Vlan except iSCSI
2 x NICs iSCSI multipathing to Synology NAS
1 x NIC unused (potential UTM external NIC)

ESXi 2

2 x NICs teamed for all Vlan except iSCSI
2 x NICs iSCSI multipathing to Synology NAS
1 x NIC unused (potential UTM external NIC)




First option:

Shuttle DS81                        $210
Intel Core i3-4330 Hasswell    $140
Startech USB 3.0 NIC (DMZ)  $35
Corsair Vengeance RAM 8GB   $75
OCZ 120GB SSD (I currently have this)

Roughly about $460 from Newegg


Second Option

Virtualized UTM with  3 x VMXNET NICs

I would like to use the spare NIC I have in each host as the external interface for UTM and have the other two NICs mapped to my internal network and an DMZ interface for anything internet facing.


So I guess my question is what are the benefits for each option? Obviously money from the start, but I would I would like to accomplish the same level (if possible) of usability and security of using dedicated hardware.  I am also looking for detailed info for setting of the network configuration for ESXi. I know a separate vSwitch will be needed to map the external UTM interface to the extra physical NIC i have in each host, but I am open to options.

I have search through this forum and have seen a couple of examples, but not quite what I’m looking to accomplish with the hardware I currently have.  Let me know if greater detail is needed


Thoughts?
MG


This thread was automatically locked due to age.
Parents
  • 0
    The setup I am describing is for active/passive sophos configuration.  If you want to run clustered active/active, that's a different config regardless of whether we are talking hardware units or virtual units.

    I just have a single sophos utm running in vmware.  If that server dies, it will just failover to the other vmware esxi server.  There will be a minute of downtime I suppose but this isn't critical.  One thing you could do is turn on vmware Fault Tolerance on that virtual machine then there is no downtime even though it is a single vm.

    There is no reason (that I can think of) why you can't run 2 sophos UTM's on 2 esxi servers.  You would definitely want to make a DRS rule that says they must always be on 2 separate servers, never together.  As you know they do not run an HSRP style failover where 3 ip's are required, they run a vrrp failover with a single ip.  So there is no issue with overlapping ip's.

    Each esx server will need a network cable.  You have a few choices here.
    1.) You could have 2 network cables supplied by your datacenter, each going to a different distribution hardware from your data center.  These would plug into 2 esxi servers directly.
    2.) You could supply 2 physical switches and plug the data centers cables in there, then plug in however many network cables to these switches as you have esxi servers.
    3.) you could have a single connection from your data center plugged into a physical switch and then plug in cables to each of your esxi servers.

    There is many ways to do this I guess but in a virtualized environment I cannot see a good reason to run 2 in an active/passive format.  Active/Active with clustering where other things besides firewalling is going on (web filtering, email, etc..) makes a lot of sense for more than on in vmware.

    I know you said you don't want it to do any vlan functions, but there is no reason why it cannot participate in your vlan architecture.

    There is so many ways to do this.
Reply
  • 0
    The setup I am describing is for active/passive sophos configuration.  If you want to run clustered active/active, that's a different config regardless of whether we are talking hardware units or virtual units.

    I just have a single sophos utm running in vmware.  If that server dies, it will just failover to the other vmware esxi server.  There will be a minute of downtime I suppose but this isn't critical.  One thing you could do is turn on vmware Fault Tolerance on that virtual machine then there is no downtime even though it is a single vm.

    There is no reason (that I can think of) why you can't run 2 sophos UTM's on 2 esxi servers.  You would definitely want to make a DRS rule that says they must always be on 2 separate servers, never together.  As you know they do not run an HSRP style failover where 3 ip's are required, they run a vrrp failover with a single ip.  So there is no issue with overlapping ip's.

    Each esx server will need a network cable.  You have a few choices here.
    1.) You could have 2 network cables supplied by your datacenter, each going to a different distribution hardware from your data center.  These would plug into 2 esxi servers directly.
    2.) You could supply 2 physical switches and plug the data centers cables in there, then plug in however many network cables to these switches as you have esxi servers.
    3.) you could have a single connection from your data center plugged into a physical switch and then plug in cables to each of your esxi servers.

    There is many ways to do this I guess but in a virtualized environment I cannot see a good reason to run 2 in an active/passive format.  Active/Active with clustering where other things besides firewalling is going on (web filtering, email, etc..) makes a lot of sense for more than on in vmware.

    I know you said you don't want it to do any vlan functions, but there is no reason why it cannot participate in your vlan architecture.

    There is so many ways to do this.
Children
No Data