Jump to content
Калькуляторы

Подбор оборудования. VPN шлюз + коммутатор

В одной железка , обязательно 1U хочется увидеть функционал, позволяющий организовать единую сеть ПД между сотней географически распределенных точек, имеющих выход в интернет и реальный IP адрес.

Схема следующая предполагается:

1 Этап

Одно ядро в хорошем ЦОДе в Москве, в ядре некая железка (на этом этапе - сервер с линуксом), которая может держать много туннелей

Сто территориально-распределенных железок, держащих туннели с ядром.

Пропускная способность каждого соединения до ядра - 50мбит хватит

На каждой железке минимум 8, 16 или 24 порта FE (интересуют все три варианта)

Возможность от каждого порта железки пробросить самостоятельный шифрованный туннель до ядра

 

2 Этап

Тоже самое, но количество ядер - более одного. LINUX будет заменен на что-то железное.

Каждая оконечная железка делает минимум два туннеля, основной и резервный. До двух разных ядер.

 

Туннели все L3. Шифрование интересует буржуинское ГОСТ не нужен под эти задачи.

А вот бюджет ограничен, так что хочется разумный компромис без переплаты за бренд и ненужный функционал, но чтоб оно надежно работало и каши не просило.

Share this post


Link to post
Share on other sites

В центр - ASR1001-X, если на него денег жалко/нет, то ASR1001 б/у(только IPSEC throughput у него меньше, чем у -X, сами смотрите сколько вам надо). По краям как я понял, нет требований по юнитам, так что туда какой-нибудь juniper srx/мелкую cisco/d-link dfl + свитч как расширитель портов + изолента

 

P.S. кто первый скажет слово на букву М, тот будет гореть в аду вечно

 

P.P.S. Можно вообще Linux-сервер так и оставить в центре. ipsec, l2tp и роутинг оно щас всё в ядре и работает очень даже стабильно. Тем более, что щас в 1U запихивают неплохое железо

Share this post


Link to post
Share on other sites

1U принципиально именно по-краям.

DFL- рассматривается как вариант на случай ужесточения законодательства и требований шифровать трафик ГОСТом. Мне кажется это не за горами... И в DFL маловато портов...

Так что вопрос открыт, нужно подобрать на концы железки 1U c 8/16/24 порта. Кстати 4 пота тоже может быть интересно в некоторых точках. Но в основном 8

Share this post


Link to post
Share on other sites

На 8 портов это будет Juniper SRX100. проходит по бюджету?

 

Если не проходит, то дальше это будет какой-нибудь SOHO-роутер+свитч+изолента - в 1U вписывается

Share this post


Link to post
Share on other sites

найти сервер 1U с двумя riser. К примеру:

http://www.nix.ru/autocatalog/server_systems_supermicro/SuperMicro-1U-6018R-WTR-LGA2011-3-C602-2xPCI-E-WIO-SVGA-SATA-RAID-4xHS-SAS-SATA-2xGbLAN-16DDR4-700W-HS_189679.html

 

2 порта на борту + 2 карты I350-T4. итого отличный тазик на 10 гигабитных портов. Все это приправить линуксом или CheckPoint по вкусу. Если хорошо поискать, то можно найти у supermicro 1U с 3-мя PCI-E (получится 14 портов).

пару Процессор CPU Intel Xeon E5-2623 V3 3.0 GHz / 4core / 1+10Mb / 105W / 104W / 8 GT / s LGA2011-3

Возможно уложиться в 150тыр. край 200тыр.

Share this post


Link to post
Share on other sites

dmvy

это вы предлагаете в бранч, где требуется 8 портов? А ничего, что srx100/110/210 выйдет в несколько раз дешевле и при этом проходит по требованиям?

Share this post


Link to post
Share on other sites

HP MSR2004-24 AC Router (JG734A)

Да, под 8 портов например

HP MSR1003-8 AC Router (JG732A)

Edited by uxcr

Share this post


Link to post
Share on other sites

если требуется экономия, то 5015A-EHF-D525 + i350-t4. получится 6 портов с линуксом. 300-400мбит с NAT такая система проворачивает.

Share this post


Link to post
Share on other sites

myst

с каких пор srx650 стал 1U?

Вот про U1 пропустил, сорри.

Share this post


Link to post
Share on other sites

HP MSR2004-24 AC Router (JG734A)

Да, под 8 портов например

HP MSR1003-8 AC Router (JG732A)

 

А ими в РФ вообще кто-нибудь торгует? Или напрямую у буржуев заказывать?

Share this post


Link to post
Share on other sites

s.lobanov

Продают, если интересно - могу спросить у наших доставальщиков про контору.

Но например тот же яндекс-маркет кого-то выдавал, можно и оригинально подойти

google: "JG734A" site:ru

 

Share this post


Link to post
Share on other sites

насколько мне известно HP MSR=H3C=Huawei AR routers. Тогда в принципе можно брать, это enterprise-уровень, а не SOHO

Share this post


Link to post
Share on other sites

Как вариант посмотрите еще на Palo-Alto. У них, вообще-то, фаерволы, но SRX-то тоже фаервол...

SRX не вписывается по юнитам, увы. Все многопортовое у них идет на 2U

Share this post


Link to post
Share on other sites

Как вариант посмотрите еще на Palo-Alto. У них, вообще-то, фаерволы, но SRX-то тоже фаервол...

SRX не вписывается по юнитам, увы. Все многопортовое у них идет на 2U

PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX.

Для ТС (создание филиально VPN сети) оно ну уаще не подходит. Оно роутинг умеет со скрипом в самой примитивной его форме. Пальто подразумевает что уже есть СПД на другом железе, а оно смотрит одним хвостом в лан другим в ван на границе.

Share this post


Link to post
Share on other sites

насколько мне известно HP MSR=H3C=Huawei AR routers. Тогда в принципе можно брать, это enterprise-уровень, а не SOHO

 

cli неплохо так отличается, и на msr например нет vpls.

Плюс HP пока завоёвывает рынок, и не зверствует с лицензиями, на msr 1k/2k/3k только разве что лицензия на экспорт шифрования под требования фсбшников.

Share this post


Link to post
Share on other sites

uxcr

я когда смотрел виртуальный msr, cli почти такой же как у h3c/huawei

 

на msr 1k/2k/3k только разве что лицензия на экспорт шифрования под требования фсбшников.

так будет ipsec на нём или нет при поставке в РФ?

Share this post


Link to post
Share on other sites

Ну почти, да не совсем, можно встретить всякие мелочи.

 

так будет ipsec на нём или нет при поставке в РФ?

 

Минимальные размеры ключей (<=56bit) и так работают, всякие aes256 придут с лицензией.

Тыц

 

Выдают через форму на сайте без проблем:

 

>dis dev manu
slot 0
DEVICE_NAME          : MSR2003 JG411A
DEVICE_SERIAL_NUMBER : XXXXXX
MAC_ADDRESS          : CC3E-5FD8-454C
MANUFACTURING_DATE   : 2013-09-30
VENDOR_NAME          : HP
>dis license
flash:/license/XXXXXX.ak
Feature: StrongCryptography 
Product Description: HP MSR High Encryption E-LTU
Registered at: 2014-12-09 18:37:21
License Type: Permanent
Current State: In use

 

Признаться, мы например ipsec не используем, и лицензия скорее для форсу.

Используется в основном как bgp+nat.

Share this post


Link to post
Share on other sites

uxcr

я их не замечаю(разницу по мелочам), т.к. работаю с множеством разных CLI - и huawei VRP и Cisco IOS и IOS-XR и прочее куча всего

Share this post


Link to post
Share on other sites

Коллеги, интересует выбор железки на концы. Про центр пока вопрос не стоит.

Максимальный трафик между каждым концом и центром - 50мбит !

Прошу предлагать адекватные решения а не из пушки по воробьям, спасибо.

Share this post


Link to post
Share on other sites

Да что ж такое. srx не нравится, msr не нравится.

На сцену выходит M

Ну ещё можно вспомнить хуавеи AR201 (8x100,1x100WAN), AR2201-48FE (где нужны 16 и 24 порта), но там лицензии на ipsec покупные, и по-моему по конечной стоимости оно перекроет srx в разы.

Share this post


Link to post
Share on other sites

PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX.

BGP/OSPF умеет, статику тем более. Может и подойдет...

 

Максимальный трафик между каждым концом и центром - 50мбит !

SRX100H

Share this post


Link to post
Share on other sites

PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX.

BGP/OSPF умеет, статику тем более. Может и подойдет...

 

Максимальный трафик между каждым концом и центром - 50мбит !

SRX100H

У меня пачка PA-3050 стоит. OSPF с BGP оно умеет чисто для галочки. Можно сказать что вообще не умеет. Завести ospf между сей железкой и c3750e так и не получилось, оно отказывается слать hello по таймерам.

БГП не пробовал но думаю история та же.

Share this post


Link to post
Share on other sites

Коллеги, интересует выбор железки на концы. Про центр пока вопрос не стоит.

Максимальный трафик между каждым концом и центром - 50мбит !

Прошу предлагать адекватные решения а не из пушки по воробьям, спасибо.

 

Решение на букву М вы знаете, оно дешевое, но SOHO. Всё адекватное уровня энтерпрайз стоит денег. опускаться ниже железа hp msp/huawei ar - дело ваше. можно и tplink с openwrt+свитч поставить, запихнув в коробу 1U

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this