Перейти к содержимому
Калькуляторы

Подбор оборудования. VPN шлюз + коммутатор

В одной железка , обязательно 1U хочется увидеть функционал, позволяющий организовать единую сеть ПД между сотней географически распределенных точек, имеющих выход в интернет и реальный IP адрес.

Схема следующая предполагается:

1 Этап

Одно ядро в хорошем ЦОДе в Москве, в ядре некая железка (на этом этапе - сервер с линуксом), которая может держать много туннелей

Сто территориально-распределенных железок, держащих туннели с ядром.

Пропускная способность каждого соединения до ядра - 50мбит хватит

На каждой железке минимум 8, 16 или 24 порта FE (интересуют все три варианта)

Возможность от каждого порта железки пробросить самостоятельный шифрованный туннель до ядра

 

2 Этап

Тоже самое, но количество ядер - более одного. LINUX будет заменен на что-то железное.

Каждая оконечная железка делает минимум два туннеля, основной и резервный. До двух разных ядер.

 

Туннели все L3. Шифрование интересует буржуинское ГОСТ не нужен под эти задачи.

А вот бюджет ограничен, так что хочется разумный компромис без переплаты за бренд и ненужный функционал, но чтоб оно надежно работало и каши не просило.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В центр - ASR1001-X, если на него денег жалко/нет, то ASR1001 б/у(только IPSEC throughput у него меньше, чем у -X, сами смотрите сколько вам надо). По краям как я понял, нет требований по юнитам, так что туда какой-нибудь juniper srx/мелкую cisco/d-link dfl + свитч как расширитель портов + изолента

 

P.S. кто первый скажет слово на букву М, тот будет гореть в аду вечно

 

P.P.S. Можно вообще Linux-сервер так и оставить в центре. ipsec, l2tp и роутинг оно щас всё в ядре и работает очень даже стабильно. Тем более, что щас в 1U запихивают неплохое железо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1U принципиально именно по-краям.

DFL- рассматривается как вариант на случай ужесточения законодательства и требований шифровать трафик ГОСТом. Мне кажется это не за горами... И в DFL маловато портов...

Так что вопрос открыт, нужно подобрать на концы железки 1U c 8/16/24 порта. Кстати 4 пота тоже может быть интересно в некоторых точках. Но в основном 8

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На 8 портов это будет Juniper SRX100. проходит по бюджету?

 

Если не проходит, то дальше это будет какой-нибудь SOHO-роутер+свитч+изолента - в 1U вписывается

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

найти сервер 1U с двумя riser. К примеру:

http://www.nix.ru/autocatalog/server_systems_supermicro/SuperMicro-1U-6018R-WTR-LGA2011-3-C602-2xPCI-E-WIO-SVGA-SATA-RAID-4xHS-SAS-SATA-2xGbLAN-16DDR4-700W-HS_189679.html

 

2 порта на борту + 2 карты I350-T4. итого отличный тазик на 10 гигабитных портов. Все это приправить линуксом или CheckPoint по вкусу. Если хорошо поискать, то можно найти у supermicro 1U с 3-мя PCI-E (получится 14 портов).

пару Процессор CPU Intel Xeon E5-2623 V3 3.0 GHz / 4core / 1+10Mb / 105W / 104W / 8 GT / s LGA2011-3

Возможно уложиться в 150тыр. край 200тыр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dmvy

это вы предлагаете в бранч, где требуется 8 портов? А ничего, что srx100/110/210 выйдет в несколько раз дешевле и при этом проходит по требованиям?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

HP MSR2004-24 AC Router (JG734A)

Да, под 8 портов например

HP MSR1003-8 AC Router (JG732A)

Изменено пользователем uxcr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если требуется экономия, то 5015A-EHF-D525 + i350-t4. получится 6 портов с линуксом. 300-400мбит с NAT такая система проворачивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst

с каких пор srx650 стал 1U?

Вот про U1 пропустил, сорри.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

HP MSR2004-24 AC Router (JG734A)

Да, под 8 портов например

HP MSR1003-8 AC Router (JG732A)

 

А ими в РФ вообще кто-нибудь торгует? Или напрямую у буржуев заказывать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

s.lobanov

Продают, если интересно - могу спросить у наших доставальщиков про контору.

Но например тот же яндекс-маркет кого-то выдавал, можно и оригинально подойти

google: "JG734A" site:ru

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

насколько мне известно HP MSR=H3C=Huawei AR routers. Тогда в принципе можно брать, это enterprise-уровень, а не SOHO

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как вариант посмотрите еще на Palo-Alto. У них, вообще-то, фаерволы, но SRX-то тоже фаервол...

SRX не вписывается по юнитам, увы. Все многопортовое у них идет на 2U

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как вариант посмотрите еще на Palo-Alto. У них, вообще-то, фаерволы, но SRX-то тоже фаервол...

SRX не вписывается по юнитам, увы. Все многопортовое у них идет на 2U

PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX.

Для ТС (создание филиально VPN сети) оно ну уаще не подходит. Оно роутинг умеет со скрипом в самой примитивной его форме. Пальто подразумевает что уже есть СПД на другом железе, а оно смотрит одним хвостом в лан другим в ван на границе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

насколько мне известно HP MSR=H3C=Huawei AR routers. Тогда в принципе можно брать, это enterprise-уровень, а не SOHO

 

cli неплохо так отличается, и на msr например нет vpls.

Плюс HP пока завоёвывает рынок, и не зверствует с лицензиями, на msr 1k/2k/3k только разве что лицензия на экспорт шифрования под требования фсбшников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

uxcr

я когда смотрел виртуальный msr, cli почти такой же как у h3c/huawei

 

на msr 1k/2k/3k только разве что лицензия на экспорт шифрования под требования фсбшников.

так будет ipsec на нём или нет при поставке в РФ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну почти, да не совсем, можно встретить всякие мелочи.

 

так будет ipsec на нём или нет при поставке в РФ?

 

Минимальные размеры ключей (<=56bit) и так работают, всякие aes256 придут с лицензией.

Тыц

 

Выдают через форму на сайте без проблем:

 

>dis dev manu
slot 0
DEVICE_NAME          : MSR2003 JG411A
DEVICE_SERIAL_NUMBER : XXXXXX
MAC_ADDRESS          : CC3E-5FD8-454C
MANUFACTURING_DATE   : 2013-09-30
VENDOR_NAME          : HP
>dis license
flash:/license/XXXXXX.ak
Feature: StrongCryptography 
Product Description: HP MSR High Encryption E-LTU
Registered at: 2014-12-09 18:37:21
License Type: Permanent
Current State: In use

 

Признаться, мы например ipsec не используем, и лицензия скорее для форсу.

Используется в основном как bgp+nat.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

uxcr

я их не замечаю(разницу по мелочам), т.к. работаю с множеством разных CLI - и huawei VRP и Cisco IOS и IOS-XR и прочее куча всего

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, интересует выбор железки на концы. Про центр пока вопрос не стоит.

Максимальный трафик между каждым концом и центром - 50мбит !

Прошу предлагать адекватные решения а не из пушки по воробьям, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да что ж такое. srx не нравится, msr не нравится.

На сцену выходит M

Ну ещё можно вспомнить хуавеи AR201 (8x100,1x100WAN), AR2201-48FE (где нужны 16 и 24 порта), но там лицензии на ipsec покупные, и по-моему по конечной стоимости оно перекроет srx в разы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX.

BGP/OSPF умеет, статику тем более. Может и подойдет...

 

Максимальный трафик между каждым концом и центром - 50мбит !

SRX100H

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX.

BGP/OSPF умеет, статику тем более. Может и подойдет...

 

Максимальный трафик между каждым концом и центром - 50мбит !

SRX100H

У меня пачка PA-3050 стоит. OSPF с BGP оно умеет чисто для галочки. Можно сказать что вообще не умеет. Завести ospf между сей железкой и c3750e так и не получилось, оно отказывается слать hello по таймерам.

БГП не пробовал но думаю история та же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, интересует выбор железки на концы. Про центр пока вопрос не стоит.

Максимальный трафик между каждым концом и центром - 50мбит !

Прошу предлагать адекватные решения а не из пушки по воробьям, спасибо.

 

Решение на букву М вы знаете, оно дешевое, но SOHO. Всё адекватное уровня энтерпрайз стоит денег. опускаться ниже железа hp msp/huawei ar - дело ваше. можно и tplink с openwrt+свитч поставить, запихнув в коробу 1U

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.