grifin.ru Posted July 12, 2015 Posted July 12, 2015 В одной железка , обязательно 1U хочется увидеть функционал, позволяющий организовать единую сеть ПД между сотней географически распределенных точек, имеющих выход в интернет и реальный IP адрес. Схема следующая предполагается: 1 Этап Одно ядро в хорошем ЦОДе в Москве, в ядре некая железка (на этом этапе - сервер с линуксом), которая может держать много туннелей Сто территориально-распределенных железок, держащих туннели с ядром. Пропускная способность каждого соединения до ядра - 50мбит хватит На каждой железке минимум 8, 16 или 24 порта FE (интересуют все три варианта) Возможность от каждого порта железки пробросить самостоятельный шифрованный туннель до ядра 2 Этап Тоже самое, но количество ядер - более одного. LINUX будет заменен на что-то железное. Каждая оконечная железка делает минимум два туннеля, основной и резервный. До двух разных ядер. Туннели все L3. Шифрование интересует буржуинское ГОСТ не нужен под эти задачи. А вот бюджет ограничен, так что хочется разумный компромис без переплаты за бренд и ненужный функционал, но чтоб оно надежно работало и каши не просило. Вставить ник Quote
s.lobanov Posted July 12, 2015 Posted July 12, 2015 В центр - ASR1001-X, если на него денег жалко/нет, то ASR1001 б/у(только IPSEC throughput у него меньше, чем у -X, сами смотрите сколько вам надо). По краям как я понял, нет требований по юнитам, так что туда какой-нибудь juniper srx/мелкую cisco/d-link dfl + свитч как расширитель портов + изолента P.S. кто первый скажет слово на букву М, тот будет гореть в аду вечно P.P.S. Можно вообще Linux-сервер так и оставить в центре. ipsec, l2tp и роутинг оно щас всё в ядре и работает очень даже стабильно. Тем более, что щас в 1U запихивают неплохое железо Вставить ник Quote
grifin.ru Posted July 12, 2015 Author Posted July 12, 2015 1U принципиально именно по-краям. DFL- рассматривается как вариант на случай ужесточения законодательства и требований шифровать трафик ГОСТом. Мне кажется это не за горами... И в DFL маловато портов... Так что вопрос открыт, нужно подобрать на концы железки 1U c 8/16/24 порта. Кстати 4 пота тоже может быть интересно в некоторых точках. Но в основном 8 Вставить ник Quote
s.lobanov Posted July 12, 2015 Posted July 12, 2015 На 8 портов это будет Juniper SRX100. проходит по бюджету? Если не проходит, то дальше это будет какой-нибудь SOHO-роутер+свитч+изолента - в 1U вписывается Вставить ник Quote
dmvy Posted July 13, 2015 Posted July 13, 2015 найти сервер 1U с двумя riser. К примеру: http://www.nix.ru/autocatalog/server_systems_supermicro/SuperMicro-1U-6018R-WTR-LGA2011-3-C602-2xPCI-E-WIO-SVGA-SATA-RAID-4xHS-SAS-SATA-2xGbLAN-16DDR4-700W-HS_189679.html 2 порта на борту + 2 карты I350-T4. итого отличный тазик на 10 гигабитных портов. Все это приправить линуксом или CheckPoint по вкусу. Если хорошо поискать, то можно найти у supermicro 1U с 3-мя PCI-E (получится 14 портов). пару Процессор CPU Intel Xeon E5-2623 V3 3.0 GHz / 4core / 1+10Mb / 105W / 104W / 8 GT / s LGA2011-3 Возможно уложиться в 150тыр. край 200тыр. Вставить ник Quote
s.lobanov Posted July 13, 2015 Posted July 13, 2015 dmvy это вы предлагаете в бранч, где требуется 8 портов? А ничего, что srx100/110/210 выйдет в несколько раз дешевле и при этом проходит по требованиям? Вставить ник Quote
s.lobanov Posted July 13, 2015 Posted July 13, 2015 myst с каких пор srx650 стал 1U? Вставить ник Quote
uxcr Posted July 13, 2015 Posted July 13, 2015 (edited) HP MSR2004-24 AC Router (JG734A) Да, под 8 портов например HP MSR1003-8 AC Router (JG732A) Edited July 13, 2015 by uxcr Вставить ник Quote
dmvy Posted July 13, 2015 Posted July 13, 2015 если требуется экономия, то 5015A-EHF-D525 + i350-t4. получится 6 портов с линуксом. 300-400мбит с NAT такая система проворачивает. Вставить ник Quote
myst Posted July 13, 2015 Posted July 13, 2015 myst с каких пор srx650 стал 1U? Вот про U1 пропустил, сорри. Вставить ник Quote
s.lobanov Posted July 13, 2015 Posted July 13, 2015 HP MSR2004-24 AC Router (JG734A) Да, под 8 портов например HP MSR1003-8 AC Router (JG732A) А ими в РФ вообще кто-нибудь торгует? Или напрямую у буржуев заказывать? Вставить ник Quote
uxcr Posted July 13, 2015 Posted July 13, 2015 s.lobanov Продают, если интересно - могу спросить у наших доставальщиков про контору. Но например тот же яндекс-маркет кого-то выдавал, можно и оригинально подойти google: "JG734A" site:ru Вставить ник Quote
s.lobanov Posted July 13, 2015 Posted July 13, 2015 насколько мне известно HP MSR=H3C=Huawei AR routers. Тогда в принципе можно брать, это enterprise-уровень, а не SOHO Вставить ник Quote
Night_Snake Posted July 14, 2015 Posted July 14, 2015 Как вариант посмотрите еще на Palo-Alto. У них, вообще-то, фаерволы, но SRX-то тоже фаервол... SRX не вписывается по юнитам, увы. Все многопортовое у них идет на 2U Вставить ник Quote
myst Posted July 14, 2015 Posted July 14, 2015 Как вариант посмотрите еще на Palo-Alto. У них, вообще-то, фаерволы, но SRX-то тоже фаервол... SRX не вписывается по юнитам, увы. Все многопортовое у них идет на 2U PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX. Для ТС (создание филиально VPN сети) оно ну уаще не подходит. Оно роутинг умеет со скрипом в самой примитивной его форме. Пальто подразумевает что уже есть СПД на другом железе, а оно смотрит одним хвостом в лан другим в ван на границе. Вставить ник Quote
uxcr Posted July 14, 2015 Posted July 14, 2015 насколько мне известно HP MSR=H3C=Huawei AR routers. Тогда в принципе можно брать, это enterprise-уровень, а не SOHO cli неплохо так отличается, и на msr например нет vpls. Плюс HP пока завоёвывает рынок, и не зверствует с лицензиями, на msr 1k/2k/3k только разве что лицензия на экспорт шифрования под требования фсбшников. Вставить ник Quote
s.lobanov Posted July 14, 2015 Posted July 14, 2015 uxcr я когда смотрел виртуальный msr, cli почти такой же как у h3c/huawei на msr 1k/2k/3k только разве что лицензия на экспорт шифрования под требования фсбшников. так будет ipsec на нём или нет при поставке в РФ? Вставить ник Quote
uxcr Posted July 14, 2015 Posted July 14, 2015 Ну почти, да не совсем, можно встретить всякие мелочи. так будет ipsec на нём или нет при поставке в РФ? Минимальные размеры ключей (<=56bit) и так работают, всякие aes256 придут с лицензией. Тыц Выдают через форму на сайте без проблем: >dis dev manu slot 0 DEVICE_NAME : MSR2003 JG411A DEVICE_SERIAL_NUMBER : XXXXXX MAC_ADDRESS : CC3E-5FD8-454C MANUFACTURING_DATE : 2013-09-30 VENDOR_NAME : HP >dis license flash:/license/XXXXXX.ak Feature: StrongCryptography Product Description: HP MSR High Encryption E-LTU Registered at: 2014-12-09 18:37:21 License Type: Permanent Current State: In use Признаться, мы например ipsec не используем, и лицензия скорее для форсу. Используется в основном как bgp+nat. Вставить ник Quote
s.lobanov Posted July 14, 2015 Posted July 14, 2015 uxcr я их не замечаю(разницу по мелочам), т.к. работаю с множеством разных CLI - и huawei VRP и Cisco IOS и IOS-XR и прочее куча всего Вставить ник Quote
grifin.ru Posted July 14, 2015 Author Posted July 14, 2015 Коллеги, интересует выбор железки на концы. Про центр пока вопрос не стоит. Максимальный трафик между каждым концом и центром - 50мбит ! Прошу предлагать адекватные решения а не из пушки по воробьям, спасибо. Вставить ник Quote
uxcr Posted July 14, 2015 Posted July 14, 2015 Да что ж такое. srx не нравится, msr не нравится. На сцену выходит M Ну ещё можно вспомнить хуавеи AR201 (8x100,1x100WAN), AR2201-48FE (где нужны 16 и 24 порта), но там лицензии на ipsec покупные, и по-моему по конечной стоимости оно перекроет srx в разы. Вставить ник Quote
Night_Snake Posted July 15, 2015 Posted July 15, 2015 PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX. BGP/OSPF умеет, статику тем более. Может и подойдет... Максимальный трафик между каждым концом и центром - 50мбит ! SRX100H Вставить ник Quote
myst Posted July 15, 2015 Posted July 15, 2015 PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX. BGP/OSPF умеет, статику тем более. Может и подойдет... Максимальный трафик между каждым концом и центром - 50мбит ! SRX100H У меня пачка PA-3050 стоит. OSPF с BGP оно умеет чисто для галочки. Можно сказать что вообще не умеет. Завести ospf между сей железкой и c3750e так и не получилось, оно отказывается слать hello по таймерам. БГП не пробовал но думаю история та же. Вставить ник Quote
s.lobanov Posted July 15, 2015 Posted July 15, 2015 Коллеги, интересует выбор железки на концы. Про центр пока вопрос не стоит. Максимальный трафик между каждым концом и центром - 50мбит ! Прошу предлагать адекватные решения а не из пушки по воробьям, спасибо. Решение на букву М вы знаете, оно дешевое, но SOHO. Всё адекватное уровня энтерпрайз стоит денег. опускаться ниже железа hp msp/huawei ar - дело ваше. можно и tplink с openwrt+свитч поставить, запихнув в коробу 1U Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.