[n0_name]

Добрый день,

ТЗ такого плана:

 

Задачи:

1. Организовать стык нашей автономной сети с двумя операторами (один 100мбит/с, второй 50мбит/с, возможно расширится до 100. )

2. Загрузить оба канала на исходящий трафик. Для этого с моей точки зрения, правильно было бы иметь full view от обоих аплинков. Возможно у железок есть и другие средства, которые решат эту проблему.

3. Защита периметра. Контроль входящего и исходящего трафика.

4. Организация IPSec туннелей с удаленными офисами/точками. IPSec стандартный, тк с другой стороны линукс.

5. Организация удаленного доступа к сети. Разношерстные девайсы типа планшетов, телефонов и ноутбуков. Операционные системы - Windows, OSX, Android, iOS, Blackberry. Поддержка PKI.

 

Протоколы и ТТХ на один стык:

 

- NAT порядка 200 пользователей

- IPSec Site2Site до 10шт по 20-30мбит

- Remote Access до 50шт (возможность использования PKI)

- eBGP 1 full

- iBGP 1 full

- OSPF (до 100 маршрутов)

- Трафик 100мбит/с (желательно запас до 150-200)

- IPS

- ACL (желательно application control)

- NetFlow

- Поддержка IPv6 на будущее

 

Продаван предлагает srx 650.

Сомневаюсь, сможет ли роутер выполнить все поставленные задачи,

прошу прокомментировать.

Заранее спасибо!

[NikBSDOpen]

Продаван предлагает srx 650.

Сомневаюсь, сможет ли роутер выполнить все поставленные задачи,

прошу прокомментировать.

Заранее спасибо!

 

Потянет, причем даже если включить DPI, антивирус, антиспам.. На 200 пользователях будет жрать процентов 30-40 CPU. А вот пямяти процентов 90. И почему нужен только 1 FV ?

Изменено 25 октября, 2013 пользователем NikBSDOpen

[kostas]

Продаван предлагает srx 650.

Сомневаюсь, сможет ли роутер выполнить все поставленные задачи,

прошу прокомментировать.

Заранее спасибо!

 

Потянет, причем даже если включить DPI, антивирус, антиспам.. На 200 пользователях будет жрать процентов 30-40 CPU. А вот пямяти процентов 90. И почему нужен только 1 FV ?

И 2шт полных BGP потянет?

200 пользователей чего? NAT? А как же IPSec туннели? Remote Access? NetFlow?

Он вообще поддерживает SSL VPN?

 

PS: А что такое "1 FV"?

Изменено 25 октября, 2013 пользователем kostas

[n0_name]

Full View — популярен в основном у нас, иностранные коллеги чаще говорят Full BGP, Full Table или Full Feed

 

один fv редко используется, получается, что используется только один аплинк, и нет смысла обрабатывать таблицу.

Изменено 25 октября, 2013 пользователем n0_name

[kostas]

Full View — популярен в основном у нас, иностранные коллеги чаще говорят Full BGP, Full Table или Full Feed

 

один fv редко используется, получается, что используется только один аплинк, и нет смысла обрабатывать таблицу.

Ну как же нет смысла, если есть iBGP и еще один по меньшей мере стык с интернет?

[NikBSDOpen]

И 2шт полных BGP потянет?

200 пользователей чего? NAT? А как же IPSec туннели? Remote Access? NetFlow?

Он вообще поддерживает SSL VPN?

 

PS: А что такое "1 FV"?

 

650 потянет две Full Route Table.

Site2Site VPN + поверх этого OSPF с парой десятков префиксов.

Несколько зон безопасности.

 

SSL VPN как такового нет. Есть Dynamic VPN.

 

По поводу NAT на такой скорости вашего канала, srx вытянет гораздо! больше чем 200 пользователей... Весь вопрос в том, что будете ли использовать IDP,UTM и AppFW policy.

Т.к. при использовании UTM на скоростях ~1Gbit/s могут быть "лаги", но только если скорость на пользователя >= 50-100Mbit/s и то, смотря как настроены сервисы UTM.

При использовании IDP Signature, без использования антивируса, антиспаса etc, все что описано выше, практически не действует, т.е. не "сильно" критично.

 

А вообще Вам лучше самому попробовать, "покрутить в руках". Попросите, что бы "продаваны" показали на живой сети. Насколько я вкурсе 650 закупали раньше пачками банки, до выхода 550, но там вряди Вам покажут, но общую картину опишут.

[kostas]

Отсутствие SSL VPN не даст построить полноценный мультиплатформенный Remote Access с использованием Junos Pulse.

Dynamic VPN - это ведь только виндовые клиенты.

[NikBSDOpen]

Отсутствие SSL VPN не даст построить полноценный мультиплатформенный Remote Access с использованием Junos Pulse.

Dynamic VPN - это ведь только виндовые клиенты.

 

Нет, не только.

http://kb.juniper.net/InfoCenter/index?page=content&id=KB17436

 

https://github.com/ndpgroup/juniper-srx-linux

 

 

Со второй ссылкой ошибся. Сейчас подправил.

Изменено 28 октября, 2013 пользователем NikBSDOpen

[kostas]

По первой ссылке, вроде как раз и пишут

 

The Junos Pulse Dynamic VPN client is supported on the following Operating Systems:

- Windows 8 (64-bit)

- Windows 7 (32-bit and 64-bit)

- Windows XP (32-bit and 64-bit)

 

The Junos Access Manager Dynamic VPN client is supported on the following Operating Systems (platforms):

- Windows XP 32-bit and 64-bit with any service pack

- Windows Vista 32-bit and 64-bit with any service pack

- Windows 7 32-bit and 64-bit with any service pack (Junos 10.4 and above only)

 

The Dynamic VPN feature (Pulse or Juniper Access Manager) is not supported on the following Operating Systems:

- Linux

- Macintosh Desktop Systems including Pulse 3.0 (for more information, refer to KB23960 - [sRX] Junos Pulse 3.0 installed on a Mac OS X system fails to connect to a SRX device with the dynamic VPN feature).

- Windows Server

- iPad/iPhone

- Android OS

 

Вторая ссылка только линукс. Остается еще как минимум OSX и мобильные девайсы ((

Изменено 28 октября, 2013 пользователем kostas

[NikBSDOpen]

Ну дык, откройте первую.

Вот список того, что поддерживается. Шпуксы, бсд, динамик не поддерживает нативно, но можно ведь "классик" IPsec VPN сделать?

 

Windows 8 (64-bit)

Windows 7 (32-bit and 64-bit)

Windows XP (32-bit and 64-bit)

Windows Server

Mac OS X

iPad/iPhone https://itunes.apple.com/ru/app/junos-pulse/

Android OS https://play.google.com/store/apps/developer?id=Juniper+Networks,+Inc.+and+Affiliates

 

Смотрим http://www.juniper.net/support/downloads/?p=pulse#sw

 

Вот http://www.juniper.net/techpubs/software/pulse/releasenotes/j-pulse-4.0r5-releasenotes.pdf

 

Junos Pulse Mac OS X Edition

build b39813 MD5 SHA1 4.0R5 dmg 9,717,010 24 Sep 2013

Изменено 28 октября, 2013 пользователем NikBSDOpen

[kostas]

Странно. Текст копировал с Вашей первой ссылке. Там было только то, что я написал выше. Цитирую.

 

The Dynamic VPN feature (Pulse or Juniper Access Manager) is not supported on the following Operating Systems:

- Linux

- Macintosh Desktop Systems including Pulse 3.0 (for more information, refer to KB23960 - [sRX] Junos Pulse 3.0 installed on a Mac OS X system fails to connect to a SRX device with the dynamic VPN feature).

- Windows Server

- iPad/iPhone

- Android OS

 

То есть - is not supported on the following Operating Systems.

 

Сейчас я уже не могу открыть эту ссылку - почему-то просит пароль.

 

По первой ссылке из последнего сообщения - вижу что можно скачать Pulse под Windows и OSX. Но мы ведь говорим не просто про Pulse, а об его совместимости с SRX. Pulse на сколько я знаю, в основном работает по SSL VPN (платформа MAG) и частично с Dynamic VPN. Так вот это частично и ограничивается только Windows. На всех остальных ОС, Pulse в Dynamic VPN не работает.

 

Если Вы действительно знаете, что 4я версия Pulse работает в режиме Dynamic VPN под всеми ОС, в том же числе и мобильными (Apple iOS и Android) - было бы рад увидеть подтверждение этому. Потому как железяка в общем-то нравится и вполне подходит, не считая VPN.

[kostas]

На страничке загрузки Pulse под Android

 

REQUIREMENTS:

1. Juniper Networks SA Series SSL VPN Appliances or MAG Series Junos Pulse Gateways running Junos Pulse Secure Access Service. For more information about supported gateways and Android versions, please read the Supported Platforms guide at: http://www.juniper.net/support/products/pulse/mobile/

 

Опять пишут про SSL VPN и MAG.

Изменено 28 октября, 2013 пользователем kostas

[NikBSDOpen]

Вот добрался до одного из 650

Model: srx650

JUNOS Software Release [11.4R9.4]

show security dynamic-vpn client version

Junos Pulse 4.0.2.34169

 

Могу сказать одно. OS X я не использовал, просто нет под рукой.

клиента под android запускал, работал на стенде, не вижу причин, почему он не будет работать в продакшене. Iphone не проверял, нет в наличии.

 

Повторять прямо сейчас не буду, 10 минут до конца смены, но с учетом, какой версии клиент, то взлетит.

[kostas]

Чего-то я запутался в конец ((((

 

Спасибо за попытку помочь. Но пока однозначного ответа нет. Все на уровне "должно". Но покупать железку и потом понять, что это не совсем то, что надо было - не есть хорошо.

К сожалению официального подтверждения работы Dynamic VPN на указанных платформах я не нашел.

 

PS: Кстати, а что у нас не будет работать в Dynamic VPN? В чем его кардинальное отличие от SSL VPN в рамках Pulse?

Изменено 28 октября, 2013 пользователем kostas

[borodaUch]

В общем то как только junuper сделали себе MAG они решили что им не выгодно продавать решение "все в одном" поэтому основной упор в устройствах удаленного доступа и работой с Pulse клиентом идет именно на устройства MAG. SRX допилиться до полной совместимости не будет, т.к. вендору это не выгодно. В данный момент клиент с СРХ работает только под Windоззз вот судя по кометам выше еще и под Андроид вместе с СРХ.

MAG стоит копейки и размерами со спичечный коробок, поэтому в принципе если купить аж 650 коробку в чем проблема прикупить к ней приставочку и организовать удаленный доступ непонятно )

[NikBSDOpen]

PS: Кстати, а что у нас не будет работать в Dynamic VPN? В чем его кардинальное отличие от SSL VPN в рамках Pulse?

 

Вы только поймите правильно, не понимаю Вашей позиции в отношении SRX. Вы хотите и "периметр" защитить, натить клиентов, пиринг сделать, DPI развернуть, но Вас смущает то, что "dyn vpn" будет как-то не так работать, как Вы расчитываете? Но это не основная функция устройства, там для "попробовать" перманентно зашито только две лицензии.

 

Все на уровне "должно". Но покупать железку и потом понять, что это не совсем то, что надо было - не есть хорошо.

 

Вы бы составили Т.З. для себя, определили необходимые задачи, затем первостепенные задачи. Поверьте, я не защищаю jun, с его не совсем простой политикой лицензирования, но если посчитать, то на cisco вышло бы дороже. И все в одном Вы опять таки не получили.

 

В Вашей ситуации лично я виду несколько вариантов. Первое купить маленький SRX(по цене сотового телефона)попробовать реализовать необходимый функционал на нем, если устроит, то брать старшую модель (маленький пригодится). Второе, брать 650 если что то не устроило, искать варианты. Один из них докупить MAG, либо найти что-нибудь из б.у. j4350, j6350, залить в них скринос, "пользовать" L2TP на доступ.

Третий вариант сменить поиск в направлении вендора.

 

В общем то как только junuper сделали себе MAG они решили что им не выгодно продавать решение "все в одном" поэтому основной упор в устройствах удаленного доступа и работой с Pulse клиентом идет именно на устройства MAG. SRX допилиться до полной совместимости не будет, т.к. вендору это не выгодно. В данный момент клиент с СРХ работает только под Windоззз вот судя по кометам выше еще и под Андроид вместе с СРХ.

MAG стоит копейки и размерами со спичечный коробок, поэтому в принципе если купить аж 650 коробку в чем проблема прикупить к ней приставочку и организовать удаленный доступ непонятно )

 

Полностью поддерживаю. :)

[kostas]

В общем то как только junuper сделали себе MAG они решили что им не выгодно продавать решение "все в одном" поэтому основной упор в устройствах удаленного доступа и работой с Pulse клиентом идет именно на устройства MAG. SRX допилиться до полной совместимости не будет, т.к. вендору это не выгодно. В данный момент клиент с СРХ работает только под Windоззз вот судя по кометам выше еще и под Андроид вместе с СРХ.

MAG стоит копейки и размерами со спичечный коробок, поэтому в принципе если купить аж 650 коробку в чем проблема прикупить к ней приставочку и организовать удаленный доступ непонятно )

Все что Вы написали - все верно. Если честно, сам не понимаю, чего вдруг привязался к тому, что там должно быть все в одном. Тут по всей видимости двоякая информация дала о себе знать. Вроде VPN есть, да он не такой. Да еще и вроде что-то работает, да не у всех и на всех железках. По всей видимости хотел докопаться до сути и успокоившись рассматривать MAG ))

[kostas]

NikBSDOpen, как я уже написал выше - в принципе сам jun довел меня до этого состояния, что пришлось обратиться на форум и искать правду. По большей части все эти поиски привели можно сказать уже к спортивному интересу, так как никто толком не мог ответить на мой вопрос по поводу VPN.

На выбор были и Cisco 3925/45 + ASA5510/20 и 3925/45 + MAG и SRX240h и теперь уже SRX650 + MAG. По ТЗ - все части важны. Ни от одного пункта нельзя отказываться, поэтому приходится искать лучшую связку цена/возможности. С Cisco вроде все хорошо, но их политика лицензирования криптографии - удручает. У Juniper - свой огород и свои фокусы в виде VPN на отдельной железке.

 

Итого вердикт - SRX650 потянет все вышеперечисленное + MAG должны закрыть все оставшиеся вопросы?

 

Кстати по MAG. Наверняка у них тоже есть какие-то ограничения?

[NikBSDOpen]

Итого вердикт - SRX650 потянет все вышеперечисленное + MAG должны закрыть все оставшиеся вопросы?

 

В общем да. Я даже склонен считать, что один 650 потянет все перечисленное, MAG использовать, как своего рада запасной вариант. SRX очень достойно себя показывает на Site-to-Site VPN, отлично "натит". NetFlow работает без особых нареканий, но как частный случай я предпочитаю использовать на SRX'ах сислог + SNMP, меньше нагрузка на RE. Но сразу учтите, что под нагрузкой "Screen", для зон безопасности нужно будет "тюнить" под себя (увеличивать-уменьшать пороговые значения), но это не является проблемой, тем более для 100 мегабитного канала.

[kostas]

Понятно. Спасибо.

А что такое "Screen"?

[borodaUch]

screen - это специальный механизм обеспечивающий защиту сети от всякой "нечести" зашитый в срх, и не требующий лицензий.

например от DDoS.

[kostas]

О как. Спасибо. Интересно.

[n0_name]

Кто-нибудь разбирался с 550 SRX?

Хуже 650 по аппаратным характеристикам, но более универсальный по интерфейсам.

 

Наверное есть другие принципиальные отличия, которые не видно в спецификациях?

 

И на 550 сразу ставится 12.1 Junos OS, а на 650- 11.4R5, подскажите, кратко, основные фишки версии 12.1?

[NikBSDOpen]

Кто-нибудь разбирался с 550 SRX?

Хуже 650 по аппаратным характеристикам, но более универсальный по интерфейсам.

 

А что значит в Вашем понимании "более" универсальный по интерфейсам?

В текущем положении дел мало, кто пользуется DSL портами на сетевом экране. Дешевле какую-нибудь мыльницу купить для DSL и воткнуть в обычный порт "изернета"

 

по поводу JunOS не поленитесь, почитайте http://www.juniper.net/techpubs/en_US/junos12.1x44/information-products/topic-collections/release-notes/12.1x44-d10/junos-release-notes-12.1X44.pdf

 

И на 550 сразу ставится 12.1 Junos OS, а на 650- 11.4R5, подскажите, кратко, основные фишки версии 12.1?

 

Для 650 рекомендованный 11.4R9.4

[n0_name]

А что значит в Вашем понимании "более" универсальный по интерфейсам?

 

к 650 SFP-порт довольно дорогой:

SRX-GP-24GE за 4к

SRX-GP-24GE-POE за 5к

SRX-GP-2XE-SFPP-TX (10ки) за 12к

 

а в 550 должен подойти

SRX-MP-1SFP-GE за 1к