Jump to content
Калькуляторы

Cisco 2911 + OpenVPN Ликбез

Доброго времени суток, aLL

 

Имеется офис с OpenVPN-сервером на убунте и парой десятков подключенных удаленных офисов. Также, роясь давеча в кладовке, нашлась такая себе железяка, как Cisco 2911.

Я, наверняка, глупый вопрос задам, но все же: что из себя представляет данное железо и возможно ли на нем поднять замену убунту-серверу в качестве OVPN-сервера?

И еще: данную циску можно использовать как балансировщик 2-х инет-каналов?

Share this post


Link to post
Share on other sites

В качестве OpenVPN (и сервера, и клиента) - нельзя.

Балансировать два канала можно, но сложно.

Share this post


Link to post
Share on other sites

В качестве OpenVPN (и сервера, и клиента) - нельзя.

Балансировать два канала можно, но сложно.

Спасибо.

То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать?

Так, тогда чем же так крута сея железяка, судя по пресс-релизам? Какова ее ниша? Навороченный роутер? Какова типичная облатсь применения?

Share this post


Link to post
Share on other sites

В качестве OpenVPN (и сервера, и клиента) - нельзя.

Балансировать два канала можно, но сложно.

Спасибо.

То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать?

Так, тогда чем же так крута сея железяка, судя по пресс-релизам? Какова ее ниша? Навороченный роутер? Какова типичная облатсь применения?

 

2911 умеет различные vpn, см. описание к ней на сайте производителя, но конкретно openvpn она не умеет, так же как и её ближайшие конкуренты - juniper, huawei, alu и т.п.

Share this post


Link to post
Share on other sites

Как уже ответили, OpenVPN на циске поднять не получится, поэтому если у вас несколько десятков филиалов на нем работает, то смысла циску внедрять нет.

А балансировка двух каналов делается на ней достаточно несложно. Вот например мануал http://www.anticisco.ru/pubs/DualISPRouter.pdf от Сергея Федорова

Share this post


Link to post
Share on other sites

То-бишь ВПН-сервер (пусть даже и не openvpn) на ней не сделать?

 

PPTP, L2TP, L2TP+IPSec - для доступа пользователей

DMVPN c IPSec и без, статические туннели GRE, IPIP, Site-to-site IPSec, L2TP xconnect - для подключения удаленных подразделений

и еще херова гора технологий для всякого разного. OpenVPN это единственное что она не умеет.

Share this post


Link to post
Share on other sites

ShyLion, Cisco SSL VPN умеет ещё (правда с мутным лицензированием).

Share this post


Link to post
Share on other sites

Всем спасибо за ответы. В целом все понятно

Дабы не плодить зря темы, продолжу здесь: в конторе на данный момент есть 1 канал 100Мбит, которым удаленные ОпенВПН-клиенты ходят на внутренние сервисы головного офиса. Нагрузка небольшая, на данный момент 30+ офисов и ~300 активных клиентов, но далее все вырастет в 2-3 раза. По клиентам - уже до 2-3х тысяч.

На данный момент "точкой входа" является сервер с pfSense (xeon, 8GB памяти, 4 гигабитных сетевых). Его задача - проброс портов, балансировка каналов (в дальнейшем) и отбивание постоянного дДОС и вообще - сетевых атак.

Вопрос: есть ли смысл менять pfSense на что-то "железное" типа вышеупомянутой циски?

На офисе есть циски серий 3560, 3750 и 2811, и nortel 5510 (но с этим я знаком) - что-то из этого в качестве граничного маршрутизатора-балансера для задачи подойдет?

Сам ранее не имел дела с сетями и инфраструктурами такого уровня, равно как и с оборудованием cisco такого класса не работал (предыдущая работа - 250 ПК в одной сети одного здания, оборудование Nortel, никаких VPNов и статические маршруты). Так что прошу простить за некоторую размытость формулировок и "новичковость" вопросов...

Share this post


Link to post
Share on other sites

L8SaE-RexHn1

Чтобы отказаться от сервера в пользу Cisco или анологичных решений от других вендоров, вам нужно будет отказаться от OpenVPN

Share this post


Link to post
Share on other sites

L8SaE-RexHn1

Чтобы отказаться от сервера в пользу Cisco или анологичных решений от других вендоров, вам нужно будет отказаться от OpenVPN

Да, я уже понял, что опенвпн на циско и Ко не поднять. ВПН-сервер есть (и будет) отдельной машиной, и именно опенвпн. Роль аппаратного маршрутизатора будет сводиться лишь к пробросу порта.

Я пытаюсь понять: есть ли в описанной мной задаче какие-то выгоды от использования именно аппаратных решений и, если есть, то какие? Или достаточно будет "программных" роутеров на *nix?

Share this post


Link to post
Share on other sites

L8SaE-RexHn1

ставить рядом Cisco только ради проброса портов нет смысла. с этим linux и даже freebsd(на которой построен ваш pfSense) справляется нормально

 

просто у вас вместо одной точки отказа будет 2 точки отказа и ничего больше

 

лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco

Share this post


Link to post
Share on other sites
лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco

Какой смысл потрошить уже хорошо работующую инфраструктуру? С помощью cisco хорошо делать, например, DMVPN, у него есть ряд преимуществ для Hub-and-Spoke сетей перед OpenVPN. Но для этого придется на всех споках также ставить циски. Поэтому, имхо, поставьте циску для терминации каких-нибудь некритичных сервисов, поиграться и поучиться.

Edited by zelfix

Share this post


Link to post
Share on other sites

s.lobanov,zelfix

Большое спасибо за подробные ответы.

Понял, что на данном этапе развития конторы существующие циски профита не принесут, раз так, то пусть пока лежат. Буду потихоньку изучать, авось и пригодятся где...

Share this post


Link to post
Share on other sites
лучше ставьте рядом Cisco и постепенно переводите трафик на неё, заменяя openvpn на ipsec во всех точках. или сначала перейдите на ipsec, а потом замените сервер на Cisco

Какой смысл потрошить уже хорошо работующую инфраструктуру? С помощью cisco хорошо делать, например, DMVPN, у него есть ряд преимуществ для Hub-and-Spoke сетей перед OpenVPN. Но для этого придется на всех споках также ставить циски. Поэтому, имхо, поставьте циску для терминации каких-нибудь некритичных сервисов, поиграться и поучиться.

гуглинг говорит что для линуксов есть реализация nhrp, но кто знает как оно реализовано, это все надо тестировать

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this