grifin.ru Опубликовано 12 июля, 2015 · Жалоба В одной железка , обязательно 1U хочется увидеть функционал, позволяющий организовать единую сеть ПД между сотней географически распределенных точек, имеющих выход в интернет и реальный IP адрес. Схема следующая предполагается: 1 Этап Одно ядро в хорошем ЦОДе в Москве, в ядре некая железка (на этом этапе - сервер с линуксом), которая может держать много туннелей Сто территориально-распределенных железок, держащих туннели с ядром. Пропускная способность каждого соединения до ядра - 50мбит хватит На каждой железке минимум 8, 16 или 24 порта FE (интересуют все три варианта) Возможность от каждого порта железки пробросить самостоятельный шифрованный туннель до ядра 2 Этап Тоже самое, но количество ядер - более одного. LINUX будет заменен на что-то железное. Каждая оконечная железка делает минимум два туннеля, основной и резервный. До двух разных ядер. Туннели все L3. Шифрование интересует буржуинское ГОСТ не нужен под эти задачи. А вот бюджет ограничен, так что хочется разумный компромис без переплаты за бренд и ненужный функционал, но чтоб оно надежно работало и каши не просило. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 июля, 2015 · Жалоба В центр - ASR1001-X, если на него денег жалко/нет, то ASR1001 б/у(только IPSEC throughput у него меньше, чем у -X, сами смотрите сколько вам надо). По краям как я понял, нет требований по юнитам, так что туда какой-нибудь juniper srx/мелкую cisco/d-link dfl + свитч как расширитель портов + изолента P.S. кто первый скажет слово на букву М, тот будет гореть в аду вечно P.P.S. Можно вообще Linux-сервер так и оставить в центре. ipsec, l2tp и роутинг оно щас всё в ядре и работает очень даже стабильно. Тем более, что щас в 1U запихивают неплохое железо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 12 июля, 2015 · Жалоба 1U принципиально именно по-краям. DFL- рассматривается как вариант на случай ужесточения законодательства и требований шифровать трафик ГОСТом. Мне кажется это не за горами... И в DFL маловато портов... Так что вопрос открыт, нужно подобрать на концы железки 1U c 8/16/24 порта. Кстати 4 пота тоже может быть интересно в некоторых точках. Но в основном 8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 июля, 2015 · Жалоба На 8 портов это будет Juniper SRX100. проходит по бюджету? Если не проходит, то дальше это будет какой-нибудь SOHO-роутер+свитч+изолента - в 1U вписывается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 13 июля, 2015 · Жалоба найти сервер 1U с двумя riser. К примеру: http://www.nix.ru/autocatalog/server_systems_supermicro/SuperMicro-1U-6018R-WTR-LGA2011-3-C602-2xPCI-E-WIO-SVGA-SATA-RAID-4xHS-SAS-SATA-2xGbLAN-16DDR4-700W-HS_189679.html 2 порта на борту + 2 карты I350-T4. итого отличный тазик на 10 гигабитных портов. Все это приправить линуксом или CheckPoint по вкусу. Если хорошо поискать, то можно найти у supermicro 1U с 3-мя PCI-E (получится 14 портов). пару Процессор CPU Intel Xeon E5-2623 V3 3.0 GHz / 4core / 1+10Mb / 105W / 104W / 8 GT / s LGA2011-3 Возможно уложиться в 150тыр. край 200тыр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 июля, 2015 · Жалоба dmvy это вы предлагаете в бранч, где требуется 8 портов? А ничего, что srx100/110/210 выйдет в несколько раз дешевле и при этом проходит по требованиям? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 июля, 2015 · Жалоба В центр ASRки либо SRX650 + Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 июля, 2015 · Жалоба myst с каких пор srx650 стал 1U? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 13 июля, 2015 (изменено) · Жалоба HP MSR2004-24 AC Router (JG734A) Да, под 8 портов например HP MSR1003-8 AC Router (JG732A) Изменено 13 июля, 2015 пользователем uxcr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 13 июля, 2015 · Жалоба если требуется экономия, то 5015A-EHF-D525 + i350-t4. получится 6 портов с линуксом. 300-400мбит с NAT такая система проворачивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 июля, 2015 · Жалоба myst с каких пор srx650 стал 1U? Вот про U1 пропустил, сорри. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 июля, 2015 · Жалоба HP MSR2004-24 AC Router (JG734A) Да, под 8 портов например HP MSR1003-8 AC Router (JG732A) А ими в РФ вообще кто-нибудь торгует? Или напрямую у буржуев заказывать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 13 июля, 2015 · Жалоба s.lobanov Продают, если интересно - могу спросить у наших доставальщиков про контору. Но например тот же яндекс-маркет кого-то выдавал, можно и оригинально подойти google: "JG734A" site:ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 июля, 2015 · Жалоба насколько мне известно HP MSR=H3C=Huawei AR routers. Тогда в принципе можно брать, это enterprise-уровень, а не SOHO Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 14 июля, 2015 · Жалоба Как вариант посмотрите еще на Palo-Alto. У них, вообще-то, фаерволы, но SRX-то тоже фаервол... SRX не вписывается по юнитам, увы. Все многопортовое у них идет на 2U Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 июля, 2015 · Жалоба Как вариант посмотрите еще на Palo-Alto. У них, вообще-то, фаерволы, но SRX-то тоже фаервол... SRX не вписывается по юнитам, увы. Все многопортовое у них идет на 2U PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX. Для ТС (создание филиально VPN сети) оно ну уаще не подходит. Оно роутинг умеет со скрипом в самой примитивной его форме. Пальто подразумевает что уже есть СПД на другом железе, а оно смотрит одним хвостом в лан другим в ван на границе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 14 июля, 2015 · Жалоба насколько мне известно HP MSR=H3C=Huawei AR routers. Тогда в принципе можно брать, это enterprise-уровень, а не SOHO cli неплохо так отличается, и на msr например нет vpls. Плюс HP пока завоёвывает рынок, и не зверствует с лицензиями, на msr 1k/2k/3k только разве что лицензия на экспорт шифрования под требования фсбшников. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 июля, 2015 · Жалоба uxcr я когда смотрел виртуальный msr, cli почти такой же как у h3c/huawei на msr 1k/2k/3k только разве что лицензия на экспорт шифрования под требования фсбшников. так будет ipsec на нём или нет при поставке в РФ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 14 июля, 2015 · Жалоба Ну почти, да не совсем, можно встретить всякие мелочи. так будет ipsec на нём или нет при поставке в РФ? Минимальные размеры ключей (<=56bit) и так работают, всякие aes256 придут с лицензией. Тыц Выдают через форму на сайте без проблем: >dis dev manu slot 0 DEVICE_NAME : MSR2003 JG411A DEVICE_SERIAL_NUMBER : XXXXXX MAC_ADDRESS : CC3E-5FD8-454C MANUFACTURING_DATE : 2013-09-30 VENDOR_NAME : HP >dis license flash:/license/XXXXXX.ak Feature: StrongCryptography Product Description: HP MSR High Encryption E-LTU Registered at: 2014-12-09 18:37:21 License Type: Permanent Current State: In use Признаться, мы например ipsec не используем, и лицензия скорее для форсу. Используется в основном как bgp+nat. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 июля, 2015 · Жалоба uxcr я их не замечаю(разницу по мелочам), т.к. работаю с множеством разных CLI - и huawei VRP и Cisco IOS и IOS-XR и прочее куча всего Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 14 июля, 2015 · Жалоба Коллеги, интересует выбор железки на концы. Про центр пока вопрос не стоит. Максимальный трафик между каждым концом и центром - 50мбит ! Прошу предлагать адекватные решения а не из пушки по воробьям, спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 14 июля, 2015 · Жалоба Да что ж такое. srx не нравится, msr не нравится. На сцену выходит M Ну ещё можно вспомнить хуавеи AR201 (8x100,1x100WAN), AR2201-48FE (где нужны 16 и 24 порта), но там лицензии на ipsec покупные, и по-моему по конечной стоимости оно перекроет srx в разы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 15 июля, 2015 · Жалоба PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX. BGP/OSPF умеет, статику тем более. Может и подойдет... Максимальный трафик между каждым концом и центром - 50мбит ! SRX100H Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 15 июля, 2015 · Жалоба PaloAlto это NGFW, какбэ несколько другого плана железка нежели фаервол SRX. BGP/OSPF умеет, статику тем более. Может и подойдет... Максимальный трафик между каждым концом и центром - 50мбит ! SRX100H У меня пачка PA-3050 стоит. OSPF с BGP оно умеет чисто для галочки. Можно сказать что вообще не умеет. Завести ospf между сей железкой и c3750e так и не получилось, оно отказывается слать hello по таймерам. БГП не пробовал но думаю история та же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 июля, 2015 · Жалоба Коллеги, интересует выбор железки на концы. Про центр пока вопрос не стоит. Максимальный трафик между каждым концом и центром - 50мбит ! Прошу предлагать адекватные решения а не из пушки по воробьям, спасибо. Решение на букву М вы знаете, оно дешевое, но SOHO. Всё адекватное уровня энтерпрайз стоит денег. опускаться ниже железа hp msp/huawei ar - дело ваше. можно и tplink с openwrt+свитч поставить, запихнув в коробу 1U Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...