[Гость]

Приветствую!

 

Хотим сделать апгрейд оборудования. Имеем много офисов, объединенных в VPN. Схема такая: IPSec завернут в GRE и маршрутизируется OSPF. Да, и dial-up PPP на бэкапе. Работает под Linux 2.4 (FreeS/WAN + Zebra).

 

Так вот, нужен железный девайс со следующими требованиями:

Порты:

2(!) WAN FastEthernet

1 WAN Serial

1 LAN FastEthernet

 

Протоколы:

IPSec

GRE

OSPF

 

Железка должна быть не очень дорогой, т.к. точек много.

[ATMkom.ru]

К сожалению, вы не указали, какая требуется пропускная способность, поэтому придется логически предположить, что в районе 2-10 мегабит.

И что вы имеете в виду под WAN FastEthernet? Видимо, FE-порт, смотрящий в сторону центрального офиса?

 

Под такие требования подходит вариант:

 

Cisco 1721 (1 10/100 порт, 2 WIC слота) + WIC-4ESW (4 10/100 порта FastEthernet) + WIC-1T.

 

Если каналы широкие, то WIC-4ESW лучше заменить на каталист, завязанный с роутером через VLAN-ы, так как WIC-4ESW отъедает довольно много ресурсов процессора.

 

Cisco 1721 (1 10/100 порт, 2 WIC слота) + WS-C2950-12 (12 10/100 FastEthernet) + WIC-1T.

 

Если пропускная способность туннеля большая, то в циски дополнительно ставим модуль шифрования MOD1700-VPN

 

OSPF поодерживается в любом софте, но для IPSEC понадобится IOS с поддержкой шифрования.

 

PPP диалап вешается на aux-порт циски.

 

Если точек много, то мы можем предложить очень интересные цены ;-)

[Sultan]

hw: via eden platform + cronyx tau pci + 2xIntel 82559 + usbflash.

sw: freebsd (fast_ipsec) + isakmpd + quagga.

 

Скорость шифрования ipsec будет более, чем достаточной.

[ATMkom.ru]

Sultan, и чем это принципиально отличается от линукса? только флэшовым диском? Человек хочет аппаратное решение..

[Sultan]

1. Аппаратного решения все равно не будет, пародия на маршрутизатор c1721 - тот же комп с такой же ОС, но дико тормозной.

2. Почему предлагаю freebsd - потому, что знаю, что там есть поддержка аппаратного криптопроцессора (если его можно так назвать) встроенного в via C3.

Если подобная вещь есть в линуксе - да за ради бога.

 

В плане надежности - вентилятор тут не нужен даже для БП.

[ATMkom.ru]

1. Аппаратного решения все равно не будет, пародия на маршрутизатор c1721 - тот же комп с такой же ОС, но дико тормозной.

 

На свои задачи его хватает, не так ли? :-) Какая вам разница, будет ли загрузка маршрутизатора 25% или 3%, если он способен обработать ВСЮ ширину имеющегося канала?

 

2. Почему предлагаю freebsd - потому, что знаю, что там есть поддержка аппаратного криптопроцессора (если его можно так назвать) встроенного в via C3.

Если подобная вещь есть в линуксе - да за ради бога.

 

В плане надежности - вентилятор тут не нужен даже для БП.

 

В плане надежности, к сожалению, ни линукс, ни горячо любимая мною FreeBSD, не дотягивают до циски. Как ни крути, а спациализированное решение все равно окажется лучше широкопрофильного. Если речь идет о корпоративной сети, то надежность оказывается на первом плане.

 

К тому же, сравните обьем возни с софтовым роутером на FreeBSD и железякой Cisco. Если у вас 50 точек? Развлекаться, ставя патчи и т.д.? Ведь если речь идет о VPN, то роутеры ставятся скорее всего "лицом в инет", а тут придется следить за всеми дырками и ставить все патчи.. Все-таки FreeBSD сложнее управляется, чем Cisco, а когда приходится остлеживать много точек, это становится очень критичным, так как может прямо влиять на безопасность сети.

[Sultan]

1. Аппаратного решения все равно не будет, пародия на маршрутизатор c1721 - тот же комп с такой же ОС, но дико тормозной.

 

На свои задачи его хватает, не так ли? :-) Какая вам разница, будет ли загрузка маршрутизатора 25% или 3%, если он способен обработать ВСЮ ширину имеющегося канала?

 

А если не справится? Какой у нее ппс? Праильна - копейки, и эти 10 Мбпс он сможет потянут не завсегда, а тем более шифрованные.

2. Почему предлагаю freebsd - потому, что знаю, что там есть поддержка аппаратного криптопроцессора (если его можно так назвать) встроенного в via C3.

Если подобная вещь есть в линуксе - да за ради бога.

 

В плане надежности - вентилятор тут не нужен даже для БП.

 

В плане надежности, к сожалению, ни линукс, ни горячо любимая мною FreeBSD, не дотягивают до циски. Как ни крути, а спациализированное решение все равно окажется лучше широкопрофильного. Если речь идет о корпоративной сети, то надежность оказывается на первом плане.

А практически? У людей оно в продакшене работает и не падает.

К тому же, сравните обьем возни с софтовым роутером на FreeBSD и железякой Cisco. Если у вас 50 точек? Развлекаться, ставя патчи и т.д.?

Либо m0n0wall, либо самому собрать freebsd по образу и подобию monowall. Ну а какие могут быть проблемы с обновление freebsd? По-моему - не больше, чем с сиской. А о каких самонакладных патчах идет речь? Процес автоматизируется при желании:

1. скрипты собирают систему, когда потребуются, и образ

2. раутер сам себе заливает образ на флэшку.

[jab]

А практически? У людей оно в продакшене работает и не падает.

 

При этом объем возни с 50ю freebsd раза в два меньше чем с кисками,

стоимость в четыре раза меньше, а производительность значительно

выше. :-)

 

Да, serial лучше нафик выкинуть и брать мудем не с V.35, а сразу

чтобы ether на попе был.

[ATMkom.ru]

При этом объем возни с 50ю freebsd раза в два меньше чем с кисками,

 

Совершенно голословное заявление. Тут скорее кому с чем меньше не нравится возится.

 

Да, serial лучше нафик выкинуть и брать мудем не с V.35, а сразу  

чтобы ether на попе был.

 

Далеко не всегда. Про QoS слышали? Расскажите, как обеспечить работающий и неквакающий VoIP на загруженном канале в 256К, например, с модемами-бриджами Ethernet?

[Sultan]

При этом объем возни с 50ю freebsd раза в два меньше чем с кисками,

Совершенно голословное заявление. Тут скорее кому с чем меньше не нравится возится.

Гораздо менее голословное, чему утверждение о большеё сетевой безопасности. В любом случае, тут нужен специалист, а не эникейщик, смотрящий на пластиковую коробочку, как баран на апельсин.

[jab]

Далеко не всегда. Про QoS слышали? Расскажите, как обеспечить работающий и неквакающий VoIP на загруженном канале в 256К, например, с модемами-бриджами Ethernet?

 

:-) QoS все-равно на рутере реализуется, какая разница как он

туда приходит, по V.35 или по FastEthernet ? Та пара миллисекунд

задержки на бридже особой роли не играет, потому как у вас и на

голом 256k времена значительные будут.

 

Ну а уж гигагерцовый VIA C3 этого QoS может нарезать

даже при IPSec достаточно много... :-) Правда на кой им там GRE

я так и не понял...

[ATMkom.ru]

Гораздо менее голословное, чему утверждение о большеё сетевой безопасности. В любом случае, тут нужен специалист, а не эникейщик, смотрящий на пластиковую коробочку, как баран на апельсин.

 

Согласен. Грамотный и внимательный специалист настроит и циску, и FreeBSD одинаково хорошо, и получится одинаково безопасные системы. Но в случае с циской есть гораздо меньше мест, в которых можно допустить ошибку или что-то забыть сделать, что в последствии приведет к уязвимости. И, что Вы не говорите, а BSD приходится патчить, в отличие от циски, которой можно только менять софт. Уязвимости в циске находятся гораздо реже, чем во фре, циска закрытая и коммерческая система, возможностей по поиску дырок в ней гораздо меньше, чем во фре, сырцы которой доступны. На циску невозможно попытаться засунуть проксю/днс/почтовик и т.д., что опять же только увелечивет безопасность маршрутизатора.

 

Sultan, простите за вопрос, вы много работали с цисками? Мне очень интересно, какое же "обслуживание" требует настроенная, работающая циска?

[ATMkom.ru]

Далеко не всегда. Про QoS слышали? Расскажите, как обеспечить работающий и неквакающий VoIP на загруженном канале в 256К, например, с модемами-бриджами Ethernet?

 

:-) QoS все-равно на рутере реализуется, какая разница как он

туда приходит, по V.35 или по FastEthernet ? Та пара миллисекунд

задержки на бридже особой роли не играет, потому как у вас и на

голом 256k времена значительные будут.

 

Ну а уж гигагерцовый VIA C3 этого QoS может нарезать

даже при IPSec достаточно много... :-) Правда на кой им там GRE

я так и не понял...

 

jab, почитайте на www.cisco.com про ppp multilink и LLQ.

 

:-) QoS все-равно на рутере реализуется, какая разница как он

туда приходит, по V.35 или по FastEthernet ?

 

Разница есть, и довольно большая, поверьте. В протоколе ppp (точнее, в реализации от циски, на фрях я с v.35 не работал, но подозреваю, что там этого нету) есть фичи, позволяющие нормально пропускать приоритетный траффик через узкий канал. И процессор к этому отношения не имеет ;-) В эзернете же их нету по определению, так как эта технология создавалась как широкополосная.

[Sultan]

Гораздо менее голословное, чему утверждение о большеё сетевой безопасности. В любом случае, тут нужен специалист, а не эникейщик, смотрящий на пластиковую коробочку, как баран на апельсин.

 

Согласен. Грамотный и внимательный специалист настроит и циску, и FreeBSD одинаково хорошо, и получится одинаково безопасные системы. Но в случае с циской есть гораздо меньше мест, в которых можно допустить ошибку или что-то забыть сделать, что в последствии приведет к уязвимости. И, что Вы не говорите, а BSD приходится патчить, в отличие от циски, которой можно только менять софт.

Не надо потчить, надо апдейтить. О том, что процесс замены образа "фирвари" можно автоматизировать - я уже говорил.

Уязвимости в циске находятся гораздо реже, чем во фре, циска закрытая и коммерческая система, возможностей по поиску дырок в ней гораздо меньше, чем во фре, сырцы которой доступны.  

Разработка freebsd - прозрачный процесс и дыры там ищут девелоперы, а не ксакепы. Попытка сделать там "закладку" практически нулевая. Так что аргумент, как видите, спорный

На циску невозможно попытаться засунуть проксю/днс/почтовик и т.д., что опять же только увелечивет безопасность маршрутизатора.

На маршрутизатор сложно засунуть что-либо иное, иначе это уже не маршрутизатор.

Sultan, простите за вопрос, вы много работали с цисками? Мне очень интересно, какое же "обслуживание" требует настроенная, работающая циска?

Читать bugtraq и т.п. и апдейтить иос, который тоже пишут люди, а не боги, в котором дыр ничуть не меньше, чем в любом, написанном людьми софте. Или Вы считаете, что циска - божественное создание, идеальное воплощение маршрутизатора с идеальным софтом?

[Sultan]

Разница есть, и довольно большая, поверьте. В протоколе ppp (точнее, в реализации от циски, на фрях я с v.35 не работал, но подозреваю, что там этого нету)

Там есть даже больше, чем вы подозреваете.

есть фичи, позволяющие нормально пропускать приоритетный траффик через узкий канал. И процессор к этому отношения не имеет ;-) В эзернете же их нету по определению, так как эта технология создавалась как широкополосная.

На тощих каналах, безусловно, serial эффективней, но для eth таки есть годный инструмент и имя ему - altq, ну dummynet на худой конец можно заюзать.

[ATMkom.ru]

Или Вы считаете, что циска - божественное создание, идеальное воплощение маршрутизатора с идеальным софтом?

 

Sultan, циска, ближе всех подобралась к этому :-) Да, там есть баги, но багов, ставящих под удар безопасность системы, мало. Последним был баг с переполнением буферов на интерфейсах, примерно год назад. Уязвимостей на FreeBSD находят гораздо больше.

 

На маршрутизатор сложно засунуть что-либо иное, иначе это уже не маршрутизатор.

 

Да что Вы -) Сколько я видал на своем веку офисов, выходящих в инет через линух/фрю, на которой непременно жил dns прокси, почтовик, а то и днсный сервак на пару с вебом. Если есть комп, загрузка у которого почти нулевая, волей-неволей руки начинают чесаться, да и начальство надавит, вот и ставят на маршрутизатор кучу раного софта. И все бы хорошо, да вот безопасность такий системы ниже плинутса, особенно когда за ней не следят.

 

Разработка freebsd - прозрачный процесс и дыры там ищут девелоперы, а не ксакепы. Попытка сделать там "закладку" практически нулевая. Так что аргумент, как видите, спорный

 

Если у меня есть исходный текст и я хорошо знаю системный прграмминг и c/c++, то гораздо быстрее найду дыру и пойму, какую уязвимость она может дать, чем если я буду тыкаться в скомпилироввнный бинарник, не зная, что там и как. Что тут спорного, не понимаю. И не даром циска подняла такой вой, когда у нее сперли сырцы ios-а.

[Гость]

Спасибо всем за ответы.

 

Да, хотелось бы аппаратное решение типа cisco, но никто не откажется и от lucent, allied-telesyn, если цена будет соответствовать. Все линки организованы как Ethernet подключения, практически через публичный интернет, поэтому и нужен ipsec. И одна точка может иметь два включения, к разным провайдерам - для надежности - поэтому нужно 2 ethernet порта.

[ATMkom.ru]

Максим ек, не поделитесь информацией, как именно организована сеть? VPN-туннели сходятся в центральный офис? Что там стоит, что хотите туда ставить?

 

Есть еще очень интересная железяка от Nortel-а, называется Contivity, являет собой роутер с встроенными VPN-фичами. Цена за точку получается меньше 1k$. Если интересует - отпишитесь мне в мыло, могу рассказать подробнее ;-)

[Sultan]

Спасибо всем за ответы.

 

Да, хотелось бы аппаратное решение типа cisco, но никто не откажется и от lucent, allied-telesyn, если цена будет соответствовать. Все линки организованы как Ethernet подключения, практически через публичный интернет, поэтому и нужен ipsec. И одна точка может иметь два включения, к разным провайдерам - для надежности - поэтому нужно 2 ethernet порта.

Не бывает аппаратных решений. Из узкоспециализированных решений смотри 3com - цена та же, производительность в разы выше.

[ATMkom.ru]

Sultan, интересно, что вы посоветуете из трикомов? Модель?

 

Вообще по опыту работы с трикомовскими свитчами остались очень неприятные ощущения. Софт немного кривоватый, пусть и не такой, как у D-Link, функционал и управление - просто беда. Да и надежность аппаратной части хреновенькая - за 1,5 года вылетело около 5 свитчей из 30-40.

[Sultan]

Или Вы считаете, что циска - божественное создание, идеальное воплощение маршрутизатора с идеальным софтом?

 

Sultan, циска, ближе всех подобралась к этому :-) Да, там есть баги, но багов, ставящих под удар безопасность системы, мало. Последним был баг с переполнением буферов на интерфейсах, примерно год назад. Уязвимостей на FreeBSD находят гораздо больше.

Блажен кто верует. Таких уязвимостей, чтоб удаленно можно было б фрю свалить, уж и не припомню, когда находили - в любом случае, грамотно настроенный fw - считайте, что панацея.

На маршрутизатор сложно засунуть что-либо иное, иначе это уже не маршрутизатор.

 

Да что Вы -) Сколько я видал на своем веку офисов, выходящих в инет через линух/фрю, на которой непременно жил dns прокси, почтовик, а то и днсный сервак на пару с вебом. Если есть комп, загрузка у которого почти нулевая, волей-неволей руки начинают чесаться, да и начальство надавит, вот и ставят на маршрутизатор кучу раного софта. И все бы хорошо, да вот безопасность такий системы ниже плинутса, особенно когда за ней не следят.

Кто из них серьёзно подходил к вопросу выделенного маршрутизатора? "Не умеем шить сами" - берем m0no0wall - туда лишнее не запихаешь, а кто может запихать, знает, что так луше не делать. А так, и на кошаке можно web интерфейс во всю варюжку открыть.

Разработка freebsd - прозрачный процесс и дыры там ищут девелоперы, а не ксакепы. Попытка сделать там "закладку" практически нулевая. Так что аргумент, как видите, спорный

 

Если у меня есть исходный текст и я хорошо знаю системный прграмминг и c/c++, то гораздо быстрее найду дыру и пойму, какую уязвимость она может дать, чем если я буду тыкаться в скомпилироввнный бинарник, не зная, что там и как. Что тут спорного, не понимаю. И не даром циска подняла такой вой, когда у нее сперли сырцы ios-а.

Дело в том, что у freebsd сырцы постоянно открыты, поэтому вероятность того, что все пропустили дыру, хитропопый и лупоглазый Васий Пупкинсон нашел, практически - 0. А вот утечка сырцов от кошкодевелоперов - весьма опасное событие, т.к. разом могут всплыть все заклады (ка предусмотренные, так и нет). Так что я тут более уверен в безопасности freebsd, а не в кем-то в темном углу написанном IOS'е.

 

У недоразумение вроде c1721r есть свои ниши, но это явно не тот случай.

[ssnet]

Кто что торгует то то и хвалит. На счет безопасности , то и там и там есть свои плюсы и минусы. В открытой системе можно самому поправить код или найти патч. В закрытой надо ждать и надеяться на сиську.

[Sultan]

Sultan, интересно, что вы посоветуете из трикомов? Модель?

Да хоть 3000-ую серию. По pps 172x тут и рядом не лежала.

Кстати, это скорей huawei, а не 3com.

Вообще по опыту работы с трикомовскими свитчами остались очень неприятные ощущения. Софт немного кривоватый, пусть и не такой, как у D-Link, функционал и управление - просто беда. Да и надежность аппаратной части хреновенькая - за 1,5 года вылетело около 5 свитчей из 30-40.

Ну у кошачьих коммутаторов БП тоже не фонтан.

А коммутаторы д-линк за свою цену более, чем хороши - des3226s с последней прошивкой весьма чудная вещь, кстати.

[Гость]

ATMkom.ru,

не поделитесь информацией, как именно организована сеть? VPN-туннели сходятся в центральный офис? Что там стоит, что хотите туда ставить?  

 

Есть еще очень интересная железяка от Nortel-а, называется Contivity, являет собой роутер с встроенными VPN-фичами. Цена за точку получается меньше 1k$. Если интересует - отпишитесь мне в мыло, могу рассказать подробнее ;-)

 

Практически все туннели сходятся в офисе, но помимо этого и переферийные офисы имеют туннели с другими (два-три-четыре...) - как для разгрузки центра, так и для повышения отказоустойчивости.

 

А что скажете о netscreen?

[ATMkom.ru]

Гость, c netscreen-ом не сталкивался.

 

А пропускная ширина каналов примерно какая? И что терминирует туннели в центральном офисе? Какого рода траффик бегает по туннелям?