Гость Опубликовано 14 декабря, 2004 · Жалоба Приветствую! Хотим сделать апгрейд оборудования. Имеем много офисов, объединенных в VPN. Схема такая: IPSec завернут в GRE и маршрутизируется OSPF. Да, и dial-up PPP на бэкапе. Работает под Linux 2.4 (FreeS/WAN + Zebra). Так вот, нужен железный девайс со следующими требованиями: Порты: 2(!) WAN FastEthernet 1 WAN Serial 1 LAN FastEthernet Протоколы: IPSec GRE OSPF Железка должна быть не очень дорогой, т.к. точек много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба К сожалению, вы не указали, какая требуется пропускная способность, поэтому придется логически предположить, что в районе 2-10 мегабит. И что вы имеете в виду под WAN FastEthernet? Видимо, FE-порт, смотрящий в сторону центрального офиса? Под такие требования подходит вариант: Cisco 1721 (1 10/100 порт, 2 WIC слота) + WIC-4ESW (4 10/100 порта FastEthernet) + WIC-1T. Если каналы широкие, то WIC-4ESW лучше заменить на каталист, завязанный с роутером через VLAN-ы, так как WIC-4ESW отъедает довольно много ресурсов процессора. Cisco 1721 (1 10/100 порт, 2 WIC слота) + WS-C2950-12 (12 10/100 FastEthernet) + WIC-1T. Если пропускная способность туннеля большая, то в циски дополнительно ставим модуль шифрования MOD1700-VPN OSPF поодерживается в любом софте, но для IPSEC понадобится IOS с поддержкой шифрования. PPP диалап вешается на aux-порт циски. Если точек много, то мы можем предложить очень интересные цены ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 14 декабря, 2004 · Жалоба hw: via eden platform + cronyx tau pci + 2xIntel 82559 + usbflash. sw: freebsd (fast_ipsec) + isakmpd + quagga. Скорость шифрования ipsec будет более, чем достаточной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба Sultan, и чем это принципиально отличается от линукса? только флэшовым диском? Человек хочет аппаратное решение.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 14 декабря, 2004 · Жалоба 1. Аппаратного решения все равно не будет, пародия на маршрутизатор c1721 - тот же комп с такой же ОС, но дико тормозной. 2. Почему предлагаю freebsd - потому, что знаю, что там есть поддержка аппаратного криптопроцессора (если его можно так назвать) встроенного в via C3. Если подобная вещь есть в линуксе - да за ради бога. В плане надежности - вентилятор тут не нужен даже для БП. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба 1. Аппаратного решения все равно не будет, пародия на маршрутизатор c1721 - тот же комп с такой же ОС, но дико тормозной. На свои задачи его хватает, не так ли? :-) Какая вам разница, будет ли загрузка маршрутизатора 25% или 3%, если он способен обработать ВСЮ ширину имеющегося канала? 2. Почему предлагаю freebsd - потому, что знаю, что там есть поддержка аппаратного криптопроцессора (если его можно так назвать) встроенного в via C3.Если подобная вещь есть в линуксе - да за ради бога. В плане надежности - вентилятор тут не нужен даже для БП. В плане надежности, к сожалению, ни линукс, ни горячо любимая мною FreeBSD, не дотягивают до циски. Как ни крути, а спациализированное решение все равно окажется лучше широкопрофильного. Если речь идет о корпоративной сети, то надежность оказывается на первом плане. К тому же, сравните обьем возни с софтовым роутером на FreeBSD и железякой Cisco. Если у вас 50 точек? Развлекаться, ставя патчи и т.д.? Ведь если речь идет о VPN, то роутеры ставятся скорее всего "лицом в инет", а тут придется следить за всеми дырками и ставить все патчи.. Все-таки FreeBSD сложнее управляется, чем Cisco, а когда приходится остлеживать много точек, это становится очень критичным, так как может прямо влиять на безопасность сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 14 декабря, 2004 · Жалоба 1. Аппаратного решения все равно не будет, пародия на маршрутизатор c1721 - тот же комп с такой же ОС, но дико тормозной. На свои задачи его хватает, не так ли? :-) Какая вам разница, будет ли загрузка маршрутизатора 25% или 3%, если он способен обработать ВСЮ ширину имеющегося канала? А если не справится? Какой у нее ппс? Праильна - копейки, и эти 10 Мбпс он сможет потянут не завсегда, а тем более шифрованные. 2. Почему предлагаю freebsd - потому, что знаю, что там есть поддержка аппаратного криптопроцессора (если его можно так назвать) встроенного в via C3. Если подобная вещь есть в линуксе - да за ради бога. В плане надежности - вентилятор тут не нужен даже для БП. В плане надежности, к сожалению, ни линукс, ни горячо любимая мною FreeBSD, не дотягивают до циски. Как ни крути, а спациализированное решение все равно окажется лучше широкопрофильного. Если речь идет о корпоративной сети, то надежность оказывается на первом плане. А практически? У людей оно в продакшене работает и не падает. К тому же, сравните обьем возни с софтовым роутером на FreeBSD и железякой Cisco. Если у вас 50 точек? Развлекаться, ставя патчи и т.д.? Либо m0n0wall, либо самому собрать freebsd по образу и подобию monowall. Ну а какие могут быть проблемы с обновление freebsd? По-моему - не больше, чем с сиской. А о каких самонакладных патчах идет речь? Процес автоматизируется при желании: 1. скрипты собирают систему, когда потребуются, и образ 2. раутер сам себе заливает образ на флэшку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 14 декабря, 2004 · Жалоба А практически? У людей оно в продакшене работает и не падает. При этом объем возни с 50ю freebsd раза в два меньше чем с кисками, стоимость в четыре раза меньше, а производительность значительно выше. :-) Да, serial лучше нафик выкинуть и брать мудем не с V.35, а сразу чтобы ether на попе был. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба При этом объем возни с 50ю freebsd раза в два меньше чем с кисками, Совершенно голословное заявление. Тут скорее кому с чем меньше не нравится возится. Да, serial лучше нафик выкинуть и брать мудем не с V.35, а сразу чтобы ether на попе был. Далеко не всегда. Про QoS слышали? Расскажите, как обеспечить работающий и неквакающий VoIP на загруженном канале в 256К, например, с модемами-бриджами Ethernet? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 14 декабря, 2004 · Жалоба При этом объем возни с 50ю freebsd раза в два меньше чем с кисками, Совершенно голословное заявление. Тут скорее кому с чем меньше не нравится возится. Гораздо менее голословное, чему утверждение о большеё сетевой безопасности. В любом случае, тут нужен специалист, а не эникейщик, смотрящий на пластиковую коробочку, как баран на апельсин. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 14 декабря, 2004 · Жалоба Далеко не всегда. Про QoS слышали? Расскажите, как обеспечить работающий и неквакающий VoIP на загруженном канале в 256К, например, с модемами-бриджами Ethernet? :-) QoS все-равно на рутере реализуется, какая разница как он туда приходит, по V.35 или по FastEthernet ? Та пара миллисекунд задержки на бридже особой роли не играет, потому как у вас и на голом 256k времена значительные будут. Ну а уж гигагерцовый VIA C3 этого QoS может нарезать даже при IPSec достаточно много... :-) Правда на кой им там GRE я так и не понял... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба Гораздо менее голословное, чему утверждение о большеё сетевой безопасности. В любом случае, тут нужен специалист, а не эникейщик, смотрящий на пластиковую коробочку, как баран на апельсин. Согласен. Грамотный и внимательный специалист настроит и циску, и FreeBSD одинаково хорошо, и получится одинаково безопасные системы. Но в случае с циской есть гораздо меньше мест, в которых можно допустить ошибку или что-то забыть сделать, что в последствии приведет к уязвимости. И, что Вы не говорите, а BSD приходится патчить, в отличие от циски, которой можно только менять софт. Уязвимости в циске находятся гораздо реже, чем во фре, циска закрытая и коммерческая система, возможностей по поиску дырок в ней гораздо меньше, чем во фре, сырцы которой доступны. На циску невозможно попытаться засунуть проксю/днс/почтовик и т.д., что опять же только увелечивет безопасность маршрутизатора. Sultan, простите за вопрос, вы много работали с цисками? Мне очень интересно, какое же "обслуживание" требует настроенная, работающая циска? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба Далеко не всегда. Про QoS слышали? Расскажите, как обеспечить работающий и неквакающий VoIP на загруженном канале в 256К, например, с модемами-бриджами Ethernet? :-) QoS все-равно на рутере реализуется, какая разница как он туда приходит, по V.35 или по FastEthernet ? Та пара миллисекунд задержки на бридже особой роли не играет, потому как у вас и на голом 256k времена значительные будут. Ну а уж гигагерцовый VIA C3 этого QoS может нарезать даже при IPSec достаточно много... :-) Правда на кой им там GRE я так и не понял... jab, почитайте на www.cisco.com про ppp multilink и LLQ. :-) QoS все-равно на рутере реализуется, какая разница как он туда приходит, по V.35 или по FastEthernet ? Разница есть, и довольно большая, поверьте. В протоколе ppp (точнее, в реализации от циски, на фрях я с v.35 не работал, но подозреваю, что там этого нету) есть фичи, позволяющие нормально пропускать приоритетный траффик через узкий канал. И процессор к этому отношения не имеет ;-) В эзернете же их нету по определению, так как эта технология создавалась как широкополосная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 14 декабря, 2004 · Жалоба Гораздо менее голословное, чему утверждение о большеё сетевой безопасности. В любом случае, тут нужен специалист, а не эникейщик, смотрящий на пластиковую коробочку, как баран на апельсин. Согласен. Грамотный и внимательный специалист настроит и циску, и FreeBSD одинаково хорошо, и получится одинаково безопасные системы. Но в случае с циской есть гораздо меньше мест, в которых можно допустить ошибку или что-то забыть сделать, что в последствии приведет к уязвимости. И, что Вы не говорите, а BSD приходится патчить, в отличие от циски, которой можно только менять софт. Не надо потчить, надо апдейтить. О том, что процесс замены образа "фирвари" можно автоматизировать - я уже говорил. Уязвимости в циске находятся гораздо реже, чем во фре, циска закрытая и коммерческая система, возможностей по поиску дырок в ней гораздо меньше, чем во фре, сырцы которой доступны. Разработка freebsd - прозрачный процесс и дыры там ищут девелоперы, а не ксакепы. Попытка сделать там "закладку" практически нулевая. Так что аргумент, как видите, спорный На циску невозможно попытаться засунуть проксю/днс/почтовик и т.д., что опять же только увелечивет безопасность маршрутизатора. На маршрутизатор сложно засунуть что-либо иное, иначе это уже не маршрутизатор. Sultan, простите за вопрос, вы много работали с цисками? Мне очень интересно, какое же "обслуживание" требует настроенная, работающая циска? Читать bugtraq и т.п. и апдейтить иос, который тоже пишут люди, а не боги, в котором дыр ничуть не меньше, чем в любом, написанном людьми софте. Или Вы считаете, что циска - божественное создание, идеальное воплощение маршрутизатора с идеальным софтом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 14 декабря, 2004 · Жалоба Разница есть, и довольно большая, поверьте. В протоколе ppp (точнее, в реализации от циски, на фрях я с v.35 не работал, но подозреваю, что там этого нету) Там есть даже больше, чем вы подозреваете. есть фичи, позволяющие нормально пропускать приоритетный траффик через узкий канал. И процессор к этому отношения не имеет ;-) В эзернете же их нету по определению, так как эта технология создавалась как широкополосная. На тощих каналах, безусловно, serial эффективней, но для eth таки есть годный инструмент и имя ему - altq, ну dummynet на худой конец можно заюзать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба Или Вы считаете, что циска - божественное создание, идеальное воплощение маршрутизатора с идеальным софтом? Sultan, циска, ближе всех подобралась к этому :-) Да, там есть баги, но багов, ставящих под удар безопасность системы, мало. Последним был баг с переполнением буферов на интерфейсах, примерно год назад. Уязвимостей на FreeBSD находят гораздо больше. На маршрутизатор сложно засунуть что-либо иное, иначе это уже не маршрутизатор. Да что Вы -) Сколько я видал на своем веку офисов, выходящих в инет через линух/фрю, на которой непременно жил dns прокси, почтовик, а то и днсный сервак на пару с вебом. Если есть комп, загрузка у которого почти нулевая, волей-неволей руки начинают чесаться, да и начальство надавит, вот и ставят на маршрутизатор кучу раного софта. И все бы хорошо, да вот безопасность такий системы ниже плинутса, особенно когда за ней не следят. Разработка freebsd - прозрачный процесс и дыры там ищут девелоперы, а не ксакепы. Попытка сделать там "закладку" практически нулевая. Так что аргумент, как видите, спорный Если у меня есть исходный текст и я хорошо знаю системный прграмминг и c/c++, то гораздо быстрее найду дыру и пойму, какую уязвимость она может дать, чем если я буду тыкаться в скомпилироввнный бинарник, не зная, что там и как. Что тут спорного, не понимаю. И не даром циска подняла такой вой, когда у нее сперли сырцы ios-а. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 14 декабря, 2004 · Жалоба Спасибо всем за ответы. Да, хотелось бы аппаратное решение типа cisco, но никто не откажется и от lucent, allied-telesyn, если цена будет соответствовать. Все линки организованы как Ethernet подключения, практически через публичный интернет, поэтому и нужен ipsec. И одна точка может иметь два включения, к разным провайдерам - для надежности - поэтому нужно 2 ethernet порта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба Максим ек, не поделитесь информацией, как именно организована сеть? VPN-туннели сходятся в центральный офис? Что там стоит, что хотите туда ставить? Есть еще очень интересная железяка от Nortel-а, называется Contivity, являет собой роутер с встроенными VPN-фичами. Цена за точку получается меньше 1k$. Если интересует - отпишитесь мне в мыло, могу рассказать подробнее ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 14 декабря, 2004 · Жалоба Спасибо всем за ответы. Да, хотелось бы аппаратное решение типа cisco, но никто не откажется и от lucent, allied-telesyn, если цена будет соответствовать. Все линки организованы как Ethernet подключения, практически через публичный интернет, поэтому и нужен ipsec. И одна точка может иметь два включения, к разным провайдерам - для надежности - поэтому нужно 2 ethernet порта. Не бывает аппаратных решений. Из узкоспециализированных решений смотри 3com - цена та же, производительность в разы выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба Sultan, интересно, что вы посоветуете из трикомов? Модель? Вообще по опыту работы с трикомовскими свитчами остались очень неприятные ощущения. Софт немного кривоватый, пусть и не такой, как у D-Link, функционал и управление - просто беда. Да и надежность аппаратной части хреновенькая - за 1,5 года вылетело около 5 свитчей из 30-40. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 14 декабря, 2004 · Жалоба Или Вы считаете, что циска - божественное создание, идеальное воплощение маршрутизатора с идеальным софтом? Sultan, циска, ближе всех подобралась к этому :-) Да, там есть баги, но багов, ставящих под удар безопасность системы, мало. Последним был баг с переполнением буферов на интерфейсах, примерно год назад. Уязвимостей на FreeBSD находят гораздо больше. Блажен кто верует. Таких уязвимостей, чтоб удаленно можно было б фрю свалить, уж и не припомню, когда находили - в любом случае, грамотно настроенный fw - считайте, что панацея. На маршрутизатор сложно засунуть что-либо иное, иначе это уже не маршрутизатор. Да что Вы -) Сколько я видал на своем веку офисов, выходящих в инет через линух/фрю, на которой непременно жил dns прокси, почтовик, а то и днсный сервак на пару с вебом. Если есть комп, загрузка у которого почти нулевая, волей-неволей руки начинают чесаться, да и начальство надавит, вот и ставят на маршрутизатор кучу раного софта. И все бы хорошо, да вот безопасность такий системы ниже плинутса, особенно когда за ней не следят. Кто из них серьёзно подходил к вопросу выделенного маршрутизатора? "Не умеем шить сами" - берем m0no0wall - туда лишнее не запихаешь, а кто может запихать, знает, что так луше не делать. А так, и на кошаке можно web интерфейс во всю варюжку открыть. Разработка freebsd - прозрачный процесс и дыры там ищут девелоперы, а не ксакепы. Попытка сделать там "закладку" практически нулевая. Так что аргумент, как видите, спорный Если у меня есть исходный текст и я хорошо знаю системный прграмминг и c/c++, то гораздо быстрее найду дыру и пойму, какую уязвимость она может дать, чем если я буду тыкаться в скомпилироввнный бинарник, не зная, что там и как. Что тут спорного, не понимаю. И не даром циска подняла такой вой, когда у нее сперли сырцы ios-а. Дело в том, что у freebsd сырцы постоянно открыты, поэтому вероятность того, что все пропустили дыру, хитропопый и лупоглазый Васий Пупкинсон нашел, практически - 0. А вот утечка сырцов от кошкодевелоперов - весьма опасное событие, т.к. разом могут всплыть все заклады (ка предусмотренные, так и нет). Так что я тут более уверен в безопасности freebsd, а не в кем-то в темном углу написанном IOS'е. У недоразумение вроде c1721r есть свои ниши, но это явно не тот случай. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ssnet Опубликовано 14 декабря, 2004 · Жалоба Кто что торгует то то и хвалит. На счет безопасности , то и там и там есть свои плюсы и минусы. В открытой системе можно самому поправить код или найти патч. В закрытой надо ждать и надеяться на сиську. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 14 декабря, 2004 · Жалоба Sultan, интересно, что вы посоветуете из трикомов? Модель? Да хоть 3000-ую серию. По pps 172x тут и рядом не лежала. Кстати, это скорей huawei, а не 3com. Вообще по опыту работы с трикомовскими свитчами остались очень неприятные ощущения. Софт немного кривоватый, пусть и не такой, как у D-Link, функционал и управление - просто беда. Да и надежность аппаратной части хреновенькая - за 1,5 года вылетело около 5 свитчей из 30-40. Ну у кошачьих коммутаторов БП тоже не фонтан. А коммутаторы д-линк за свою цену более, чем хороши - des3226s с последней прошивкой весьма чудная вещь, кстати. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 14 декабря, 2004 · Жалоба ATMkom.ru, не поделитесь информацией, как именно организована сеть? VPN-туннели сходятся в центральный офис? Что там стоит, что хотите туда ставить? Есть еще очень интересная железяка от Nortel-а, называется Contivity, являет собой роутер с встроенными VPN-фичами. Цена за точку получается меньше 1k$. Если интересует - отпишитесь мне в мыло, могу рассказать подробнее ;-) Практически все туннели сходятся в офисе, но помимо этого и переферийные офисы имеют туннели с другими (два-три-четыре...) - как для разгрузки центра, так и для повышения отказоустойчивости. А что скажете о netscreen? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ATMkom.ru Опубликовано 14 декабря, 2004 · Жалоба Гость, c netscreen-ом не сталкивался. А пропускная ширина каналов примерно какая? И что терминирует туннели в центральном офисе? Какого рода траффик бегает по туннелям? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...