Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 6755 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM ESXi vs Shuttle DS81

prettymg
Hello all!

I am looking to setup a UTM box for my home network to play around with (learn) and take advantage of the huge feature set that is offered with the home edition.

I currently have two ESXi 5.5 Update 1 hosts (Core i7-2600K) with 24GB of RAM in each and share the load of 36 VMs (not all are on).  They have 5 NICs in each and the network breakdown like this:

Current

DSL Modem----Cisco Router-----Cisco Switch----Cisco Switch

The Cisco router is the GW for all subnets

Future

DSL Modem----UTM----Cisco Router-----Cisco Switch----Cisco Switch



vSwitch 0 (2 NICs dedicated)
Vlan 5 Mgmt
Vlan 10 LAN (wireless/media streaming)
Vlan 15 Servers
Vlan 25 VMotion
Vlan 30 VPN (Cisco DMVPN)
Vlan 35 FT


vSwitch 1 (2 NICs dedicated)
Vlan 20 iSCSI multipathing (Synology DS412+)


ESXi 1

2 x NICs teamed for all Vlan except iSCSI
2 x NICs iSCSI multipathing to Synology NAS
1 x NIC unused (potential UTM external NIC)

ESXi 2

2 x NICs teamed for all Vlan except iSCSI
2 x NICs iSCSI multipathing to Synology NAS
1 x NIC unused (potential UTM external NIC)




First option:

Shuttle DS81                        $210
Intel Core i3-4330 Hasswell    $140
Startech USB 3.0 NIC (DMZ)  $35
Corsair Vengeance RAM 8GB   $75
OCZ 120GB SSD (I currently have this)

Roughly about $460 from Newegg


Second Option

Virtualized UTM with  3 x VMXNET NICs

I would like to use the spare NIC I have in each host as the external interface for UTM and have the other two NICs mapped to my internal network and an DMZ interface for anything internet facing.


So I guess my question is what are the benefits for each option? Obviously money from the start, but I would I would like to accomplish the same level (if possible) of usability and security of using dedicated hardware.  I am also looking for detailed info for setting of the network configuration for ESXi. I know a separate vSwitch will be needed to map the external UTM interface to the extra physical NIC i have in each host, but I am open to options.

I have search through this forum and have seen a couple of examples, but not quite what I’m looking to accomplish with the hardware I currently have.  Let me know if greater detail is needed


Thoughts?
MG


This thread was automatically locked due to age.
  • 0
    Tom,

    Not everyone has access to vSphere licensing with HA or FT. Essentials Plus (w/ HA) is over $5000, regular vSphere w/ vCenter (w/ FT) is close to $7000. That's not including cost of shared storage. Did this exercise three years ago and vmware plus hardware came to over $30k.

    By comparison, my home server is around $3k, including vSphere Essentials license.

    One corner case where a Active-Passive pair works well on ESX is the single host home use scenario. [:)] My UTM runs HA at home on my single ESXi host because my wife gets grumpy if her tv programs and streaming radio get disrupted. The secondary node allows me to fire off an update and I get at most a few seconds disruption when they swap.
  • 0
    there is probably no good reason to have 2 units running in active passive when you could just have a single unit and turn on Fault Tolerance in vmware

    Pardon my ignorance about VMware, but how quick is the switchover?  And, doesn't the Fault Tolerance approach mean that reboots for Up2Dates will interrupt operations for several minutes instead of a few milliseconds for Hot-Standby?

    Cheers - Bob
  • 0 in reply to BAlfson
    Pardon my ignorance about VMware, but how quick is the switchover?  And, doesn't the Fault Tolerance approach mean that reboots for Up2Dates will interrupt operations for several minutes instead of a few milliseconds for Hot-Standby?

    Cheers - Bob


    EDIT: just re-reading your post, you are correct about reboots for updates, yes in that case the firewall would be down so that is an excellent point above having a true active/passive.  I do not think HA and FT detect reboots inside a virtual machine, they would detect the vmware equivalent of pulling the power plug.

    Fault Tolerance is like an upgrade to vmware HA.

    If a vmware server(s) was only licensed for HA, then yes there would likely be a minute or two while the HA kicks in and boots the virtual machine from another piece of hardware.  You would be down for a minute or so.

    Fault Tolerance is an add on to HA.  It's a second virtual machine that is a mirror to the original virtual machine.  There is really no direct manipulation of this "mirror", it lives for the sole purpose of taking over if the primary virtual machine were to fail.  Both machines are running.  I suppose you could say this mirror would retain the state information of the primary machine.  I have never tested it though.

    VMware vSphere with Operations Management: Fault Tolerance | United States

    Tom
  • 0
    Thanks for the link, Tom.  You're right that I hadn't realized that this was different from regular HA.  It looks like there's zero fail-over time in case of a hardware failure.  Would it make sense to fire-up a Hot-Standby for Up2Dates and Upgrades, but otherwise leave it inactive, just counting on Fault Tolerance? (Drew?)

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for the link, Tom.  You're right that I hadn't realized that this was different from regular HA.  It looks like there's zero fail-over time in case of a hardware failure.  Would it make sense to fire-up a Hot-Standby for Up2Dates and Upgrades, but otherwise leave it inactive, just counting on Fault Tolerance? (Drew?)

    Cheers - Bob


    Well you have me thinking.  If it's important to have a functioning unit for the time period where you reboot a UTM for updates, then yes I think you need 2 virtual machines with Sophos configured in an active/passive configuration.

    But if your company did their firewall updates during a maintenance window where you don't care if there is a few minutes of downtime, then I think a single unit with vmware HA is a good choice.  HA with FT is an even better choice with no downtime.