Перейти к содержимому
Калькуляторы

dvb2000

Пользователи
  • Публикации

    35
  • Зарегистрирован

  • Посещение

О dvb2000

  • Звание
    Абитуриент
  1. Предложить использовать vrf Что-бы направить default route, это уже не смешно, это уже даже подозрительно.
  2. О каком vrf здесь может быть речь? какие route rules + mangle? Начинать надо с детского сада, со статической маршрутизации. А в конкретном случае даже этого не требуется и достаточно средств самого протокола VPN. Например если используется пригодный в этом случае протокол OpenVPN, то достаточно из конфига сервера убрать строчку: push "redirect-gateway def1".
  3. Отдельный маршрутизатор/фаерволл для этих целей (не 6509) это и будет внешний маршрутизатор. При этом получается ещё один дополнительный маршрутизатор который не заменяет 3845, который уже 10 лет как EoL, а в IT сфере, 10 лет это как 100 лет в механике например. Так что вопрос в том что если речь идёт о том что если уже модернизировать оборудование это одна песня, а если вдобавок к старью параллельно добавлять ещё дополнительное оборудование которое кроме того не как не добавит безопасности юзерским VLANs, так это совсем другая. Например, тот же PFSense может полностью заменить и этот 3845 и при этом ещё и контролировать весь трафик между всем LANом и между интернетом. Так не будет разрозненных островков, а общая сетевая логика и стратегия. Количество человеко-часов затраченное специалистом для проектирования и настройки этой системы будет на порядок обратно пропорционально количеству человеко-часов стада эникейщиков затрачиваемым оными в последствии для поддержания системы.
  4. Насколько я помню речь шла о том что: "есть корпоративная сетка, состоящая из нескольких десятков юзверских виланов (отделы, здания и т.п.)" и что: "Сейчас все виланы терминируются на Catalyst 6509". Так вот, эти все нескольких десятков юзверских виланов (отделы, здания и т.п.) это и есть десятки гигабайтов трафика который надо бы маршрутизировать и именно для этого и нужен этот пресловутый wirespeed. Конечно можно и поизвращаться и тянуть во внешний маршрутизатор только VLANs сетей безопасности, а всё остальное оставить в коммутаторе, но это будет еще тот бред. Теперь о том, какие ещё белые IP-адреса. Сейчас Cisco 3845 терминирует белые IP-адреса, насколько это можно понять из рассказа. Если же планируется его заменить на то что будет заниматься всем этим фаервольством, то новый прибор должен будет делать и это. А если же речь идёт о том что хочется добавить ещё один маршрутизатор помимо того 3845, который кстати уже с 2010 года восемь лет как End-of-Life, то это вообще нонсенс какой-то. А PFSense это и сегодня как и десять лет назад, это модульная система которая служит базой для множества опциональных сервисов которые каждый может подогнать под свои нужды, а потом любой эникейщик может управлять этой системой через GUI, только разрешёнными для него функциями. Но для этого вначале нужен Человек который настроит эту систему.
  5. Начинать надо с осознавания простых вещей. Таких например как то что все эти VLANs должны терминироваться и маршрутизироваться только на центральном L3 свиче так как это происходит сейчас. Так трафик между VLANs идёт через backbone этого Switch со скоростью wirespeed routing. Никакой внешний маршрутизатор этого не сделает. Теперь по поводу того что должен делать этот самый внешний маршрутизатор. Он должен делать NAT, служить пограничным фаерволом, DPI/SPI, сервером VPN, анонсировать через BGP ваши белые IP адреса и максимум на нём ещё можно развернуть такие сервисы как RADIUS например, для авторизации на управление свичами, для защищённого подключения к WI-FI и для использования port-based Network Access Control 802.1X. К центральному коммутатору, этот маршрутизатор должен подключаться через отдельный routing vlan, на который будет направлен default route из центрального коммутатора. Про такие ужасные вещи как fortigate или как chekpoint надо забыть как про страшный сон, а распространителей этого надо гнать поганой метлой. А теперь по поводу никсов. Никсы это не только ужасная чёрная пречёрная командная строка вселяющая в эникейщиков представивших себя IT инженерами непреодолимый страх. Для этих самых никсов существует и масса GUI обёрток, дающих возможность эникейщикам контактировать с этими никсами, обёртки защищающие от того что эникейщики смогли бы похерить всю сеть. Например можно взять бесплатный PFSense базирующийся на FreeBSD. Он превосходит любой chekpoint или любой fortigate, даёт возможности немыслимые для них и устанавливается на любое железо.
  6. Под SOHO оборудованием я имел в виду EdgeRouters. Мной же предложенный вариант это были встраиваемые системы на x64 архитектуре на пример которых я дал ссылку. Если вы заказываете такие системы как я посоветовал то не должно быть каких либо проблем с VPN каналами шириной до гигабита и с дополнительными сервисами развёрнутыми на них. Кроме того совсем не понятно почему вы покупаете за свои деньги всё это оборудование для организации. Если вы интегратор то ваш клиент сам должен финансировать этот проект, если же вы сотрудник фирмы в которой всё это будет установлено, то и в этом случае тот кто должен финансировать закупку это сама эта фирма.
  7. Всегда удивляла причина из-за которой счастливые обладатели SOHO дна до конца пройдут путь боли этих поделок прежде чем выкинут их в мусор, даже если в самом начале получили ясные объяснения по поводу причины того почему не стоит проходить этот путь.
  8. Этот вариант стоит поставить и в центр и в филиалы, это даст и унификацию и возможность использовать одинаковое оборудование во всех точках и в будущем добавлять не эти же системы дополнительные сервисы такие как SNORT например или как сетевой антивирус или же как captive portal для гостевой подсети. Ведь речь не идёт о каком ни будь дорогом оборудовании энтерпрайз класса, а об дешёвых китайских системах стоимостью около 500$ за штуку.
  9. Засада в том что не все провайдеры используют NAT уровня CG-NAT, а всякие кривые поделки через которые L2TP проходит через раз и очень занятно. Более того, провайдер без предупреждения вдруг может поменять вид ната и тот туннель L2TP что ещё вчера хоть как-то худо бедно функционировал вдруг перестаёт быть пригодным к употреблению, а провайдер объяснит сто с его стороны нет ни каких проблем. Более того, есть сценарии и без ната, когда на линии на которой нет потерь пакетов и каких либо видимых задержек и это подключение с белым IP, а вот в L2TP туннеле пакеты пропадают бесследно и проявляется немыслимый делей и джитер.
  10. Однозначно что даже такой вариант будет куда производительнее навороченных SOHO роутеров, так как он базируется на процессоре типа Celeron N3160, в котором присутствуют инструкции aes-ni. Однако для того чтобы не быть ограниченным в ресурсах необходимых для нужд обработки трафика лучше использовать более мощную систему, как минимум такую как я приводил выше.
  11. Да L2TP это вообще прекрасно, особенно когда он пройдёт через NAT его провайдера по дороге. ☺
  12. Для данной задачи с SOHO барахлом нечего делать. Достаточно приобрести нужное количество встраиваемых систем на архитектуре x64 и поддерживающих аппаратное шифрование. Есть такие дешёвые китайские даже на aliexpress, например такие: https://www.aliexpress.com/store/product/Hystou-Intel-Core-i7-5550U-Mini-PC-Windows-10-Dual-LAN-HDMI-Fanless-Computer-2-RAM/3682081_32859063313.html?spm=2114.12010608.0.0.171e27f4TUXk4i И на такое железо уже можно установить любую систему, например тот же PFSense, который даст возможность соединить нужное количество филиалов с пропускной способностью до гигабита шифрованного трафика, и всё это при помощи настройки только через веб интерфейс, без использования страшной чёрной командной строки. Кроме того это даст такие возможности как например, backup настроек, встроенный RADIUS Server, лёгкое управление системой CA, экспорт настроек VPN , расширенная визуальная диагностика, поддержка VLANs, 802.1x, WPA2 Enterprise , протоколов динамической маршрутизации, captive portal для гостей и многого, многого другого. И самое главное что всё это совершенно бесплатно, с регулярными обновлениями безопасности, и без привязки к какому либо вендору.
  13. Хватит только если топик стартер на столько бесстрашен чтобы использовать туннель через интернет без какого либо шифрования и пускать все данные организации в открытый космос по всему миру как clear text, или же у него все эти туннели шириной в несколько мегабит ☺. В любом другом случае, эти SOHO мыльницы склеят ласты не зависимо от количества удалённых филиалов, а от пропускной способности линии большей чем пару мегабит в секунду.
  14. И это даже не самое главное, так как свои удалённые подсети худо бедно можно будет и в будущем упорядочить, а вот если среди них использовать такие CIDR как 192.168.0.0/24 или 192.168.1.0/24 или же такие как 10.0.0.0/24, то когда к вашей сети нужно будет начинать подключать всех ваших Road Warriors, а это понадобится в любой организации, то они вас проклянут такими некомпютерными терминами из-за перекрёстной адресации, так как они все подключаются из дома или гостиницы в сетях которых используется почти везде дефолтное адресное пространство, такими терминами, что мало не покажется.   Устройство в центре ( и в филиалах тоже ) должно быть мощным не только и даже не столько из-за того что OpenVPN живёт в userspace, а из-за того что он использует алгоритмы шифрования данных которым требуются ресурсы CPU или же подходящий аппаратный offload, и не то не другое не присутствует в этих SOHO мыльницах.
  15. Можно конечно, но лучше этого не делать из-за множества причин, одна из которых например "работа" протокола L2TP с клиентами находящимися за NATом провайдера.